Setor de TI e implantação de regras de proteção de dados: uma intersecção necessária.

um aspecto fundamental da governança de TI é a proteção da informação e de sua confidencialidade, integridade e disponibilidade

O Regulamento Geral de Proteção de Dados (GDPR) entrou em vigor no dia 25/05 afetando profundamente o modo como os dados pessoais dos cidadãos europeus devem ser tratados. Um ponto tem me chamado a atenção (aqui pelos lados do Brasil) muita gente do direito envolvida com os acontecimentos, mas pouca gente da área de Segurança da Informação – pelo menos essas pessoas não tem se manifestado – interessante esta constatação visto que a área mais afetada é a de SI especialmente na subárea de Governança de TI. Normas de proteção de dados afetam profundamente todo o processo de desenvolvimento, implantação e utilização de um sistema, afetam também a elaboração das políticas de segurança que devem ser muito mais rigorosas especialmente no quesito concessão de acesso. Tenho comigo a velha máxima de que as pessoas só devem ter acesso aos dados de que precisam para exercer bem sua função dentro de uma organização, nem mais, nem menos. Por exemplo, em um consultório a secretária não deve sob hipótese alguma ter acesso aos resultados dos exames dos pacientes que constam no sistema, porque essa informação é sensível, confidencial e possui alto valor de mercado . Diante disso, não tenho dúvidas de que o setor de TI é o mais afetado pelas mudanças trazidas por esse tipo de norma. Como o #GDPR não é um guia de como a proteção de dados deve ser implementada, mas é uma norma que prevê punições para quem não estiver em conformidade com os seus ditames, cabe ao profissional de TI, generalista ou especialista em #SI buscar na família #ISO27000 as especificações para a implantação de um sistema efetivo de gerenciamento de segurança da informação. Implementar a #ISO27001 é estar em conformidade com o GDPR e estar alinhado com a NIS Directive – legislação da EU sobre cibersegurança – o que significa estar apto para aproveitar oportunidades que surgirem ao redor do mundo. #direitodigital #digitalsecurity #womanintech #informationsecurity

“Quem cala não diz nada” – em épocas de GDPR o ditado popular se aplica perfeitamente.

IMG_20180523_112247_848

Assunto de maior importância para profissionais das áreas de #direito, #administração, #tecnologia abrangendo todos aqueles que coletam, utilizam ou tratam dados pessoais é a compreensão do que é CONSENTIMENTO.

Sexta – 25/05/2018 – entra em vigor a #GDPR – responsável por implementar novas regras acerca da proteção de dados – e traz consigo a imprescindibilidade do respeito à vontade do indivíduo, empoderando-o a partir da necessidade de CONSENTIMENTO claro e inequívoco para a realização de operações que envolvam os seus dados.

Pesquisa publicada ontem (22/05) pela Securityreport (http://www.securityreport.com.br/destaques/apenas-7-das-empresas-estao-em-conformidade-com-gdpr-ate-agora/#.WwWAX-4vxQI) apresenta o dado de que apenas 7% das empresas estão em conformidade com o GDPR e que cerca de 46% das organizações globais ouvidas acreditam que atingirão essa conformidade antes da entrada em vigor do novo regulamento.

Conforme Ronaldo Lemos, uma das referências brasileiras na área de #Direito Digital em entrevista concedida para o site meio&mensagem (http://www.meioemensagem.com.br/home/midia/2018/05/21/a-gdpr-tera-um-efeito-viral.html) a nova regulamentação terá efeito sobre todo o mundo empresarial, inclusive sobre as grandes de tecnologia que estão adaptando suas políticas de privacidade para estarem em acordo com a normatização europeia.

Para quem tiver interesse o texto da GDPR está disponível em português no link: http://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=OJ:L:2016:119:FULL&from=PT

Importante todos ficarmos atentos, grandes mudanças tendem a ocorrer em se tratando de Proteção de Dados Pessoais, basta perceber a crescente movimentação do legislativo brasileiro em torno da aprovação de um Projeto de lei que contemple a perspectiva brasileira em torno do tema.

#tech #direitodigital #direitoeletronico #protecaodedados #privacidade #direitosfundamentais #technology

 

AUTODETERMINAÇÃAO A

“Este é um mundo de executivos visionários, médicos idealistas, cientistas de dados, vendedores inteligentes e pacientes assediados porque dados médicos são tão ou mais vitais para o comércio e para a ciência quanto são potencialmente perigosos para o bem-estar do indivíduo” (Adam Tanner)

Os negócios estão cada vez mais dependentes dos dados dos indivíduos. De pequenas gotas fornecidas diariamente por cada um de nós para as mais variadas empresas surge um oceano de informação que se corretamente tratada tem valor comercial de diamante.

De um lado a ciência que enxerga os dados médicos como fonte de pesquisa para evolução de tratamentos, por outro um mercado que os trata como fonte de lucro há ainda um terceiro elemento nessa relação, o paciente, é ele que pode ser o mais prejudicado mas também o mais beneficiado pelo uso desses dados.

Um exemplo de como esse tipo de informação ao ser ventilada pode prejudicar o indivíduo aconteceu com o ator Charlie Sheen que após ser diagnosticado com HIV foi vítima de #extorsão por cerca de quatro anos, que lhe custou muito transtorno e cerca de $ 10 mi.

Não há mais como simplesmente proibir o uso desses dados, é algo inviável que beira ao impossível. Assim, resta-nos construir alternativas legais e soluções tecnológicas para que o tratamento de dados seja feito de forma ética. Legalmente é provável que o melhor caminho seja oferecer garantias concretas de #autodeterminação informativa aos indivíduos. Tecnologicamente uma solução possível é a utilização de #blockchain – apesar das discussões sobre a sua sustentabilidade energética –  em artigo publicado na página do #Serpro a utilização dessa tecnologia é uma possibilidade para “permitir que dados médicos […] sejam digitalizados e fiquem disponíveis para toda rede, mas com o acesso controlado pelo paciente”. Seria essa também uma forma de impedir que esses dados fiquem em bases de dados esparramadas nos mais diferentes locais que armazenam dados médicos e que são alvos fáceis para atacantes e também para aqueles que de má-fé resolvam comercializar essas informações. #direitodigital #tech #techandlaw #health #ehealth #lawstudents

“What is wrong with replacing imperfect bits of your body with artificial parts that will allow you to perform better – or which might allow you to live longer?” Kevin Warwick – The Guardian.

 

transumanismo

 

Há pouco tempo um seriado nos apresentou hipóteses de vida eterna para o ser humano – eu não assisti todos os episódios por falta de tempo –  mas #Altered Carbon – categorizado como ficção científica – tratava de seres humanos que não morriam e mais do que isso, continuavam jovens para sempre, desde que tivessem dinheiro para substituir partes do seu corpo por próteses desenvolvidas a partir de altíssima tecnologia.

Hoje encontro no The Guardian a reportagem intitulada – No death and an enhanced life: Is the future transhuman? Disponível aqui: https://www.theguardian.com/technology/2018/may/06/no-death-and-an-enhanced-life-is-the-future-transhuman que apresenta uma discussão sobre o #transumanismo e o que já é realidade, como, por exemplo, atletas que utilizam próteses conseguindo correr cada vez mais rápido, até mais rápido do que aqueles que usam as próprias pernas.

Esquecendo o lado da tecnologia o que importa aqui é a discussão #ética em torno no assunto: quanto ético é alterar humanos para que adquiram performance, para que vivam “eternamente”? Talvez o principal ponto aqui é se essa tecnologia estaria disponível para todos ou apenas para quem por ela pudesse pagar.  Por outro lado quanto ético é deixar pessoas sofrendo e morrerem de forma prematura por não considerarmos ético o uso dessas tecnologias?

Outro ponto a ser discutido e agora envolvendo o #direito – esses avanços tecnológicos serão considerados #crime? Uma pessoa que permita alterar seu corpo para que se torne melhor do que os outros em uma determinada área, poderia ser considerada uma #fraude? Como lidar com situações de desigualdade social cada vez mais agravada pela utilização desse tipo de tecnologia?

Essa é mais uma discussão pairando sobre a sociedade entre tantas outras que talvez sejam mais urgentes e também mais importantes… os avanços tecnológicos são um fato, quanto rápido eles acontecerão ainda não é possível prever.

#direitodigital #ia #inteligenciaartificial #transhumanism #tech

Sobre a digitalização de documentos de saúde no Brasil, carroças, bois e abóboras.

IMG_20180402_133723_912

Colocar a carroça na frente dos bois, é um ditado bem comum aqui na região onde vivo e tem o significado de atropelar as coisas, de tomar decisões sem planejar, é um velho problema do Brasil. Sabe aquele projeto que o cliente “queria pra ontem” e ao invés da gente fazer o desenho, analisar, corrigir, partimos direto para a execução. Quem nunca fez isso que atire a primeira pedra.

Resultado: paredes tortas, cômodos sem janelas, calçadas sem escoamento de água, pontes que caem, casas que afundam, prédios que desmoronam. Mal do Brasil e do brasileiro e na área tecnológica não seria diferente, a inovação vem nos atropelando e sequer paramos para analisar qual o melhor passo ou pelo menos o passo menos inseguro a dar.

Quando ocorre a junção saúde – no quesito dados dos pacientes – e tecnologia, chegamos ao ápice da tragédia anunciada.

Se a solução para nos livrarmos de um monte de papel é digitalizar tudo, lá vamos nós, sem o menor preparo, editamos uma lei e está tudo certo.

A melhor tecnologia de armazenamento é na cloud (armazenamento na nuvem)? Ok, vamos pegar todos os prontuários e colocar lá e os crackers -ah esses duendes que vivem de surrupiar nossos dados – fazem a festa.

Com a iminente aprovação do PLS 167/2014 (que permite a digitalização de todos os prontuários médicos existentes) estamos a beira de banqueteá-los com milhões de dados e em consequência com milhões de dólares, porque como venho rotineiramente afirmando, dados médicos valem muito dinheiro, e o mercado está repleto de compradores.

Qual a solução? Armazenar tudo em papel? Do jeito que tratamos a segurança digital no Brasil, eu diria que sim, essa é a melhor solução, contudo, é uma solução impraticável.

Precisamos sim usar tudo de melhor que a tecnologia nos traz, a economia de espaço no armazenamento e a de tempo na busca de qualquer informação sobre um paciente, a possibilidade de se estar com a informação a um clique na hora que for necessária faz parte da universalização do atendimento médico e certamente favorece o atendimento do fundamento constitucional da dignidade humana, sem contar com a economia de recursos, que pode ser feita ao evitar repetições de exames, por exemplo.

Incontestável também é que não adianta esperar por nossos legisladores, a construção de qualquer lei no Brasil anda a passos lentos, vide a famosa lei de proteção de dados que até hoje não foi aprovada.

A mobilização mais uma vez terá que partir da sociedade civil, começando pela elaboração de um Código de Boas Práticas na área de armazenamento de registros médicos, como existe na Inglaterra, onde existe um guia, que apoiado em outros documentos técnicos – como por exemplo, um que define os critérios de confidencialidade – que prevê padrões e práticas para o armazenamento seguro de dados médicos.

Quanto ao PLS 167/2014, em minha opinião, novamente estamos produzindo uma lei com buracos, onde dizemos o que se pode fazer, mas não como se deve fazer. Confiar somente à certificação digital a confidencialidade e a integridade de uma base de dados com informações absolutamente sensíveis e que se divulgadas ao mercado podem submeter o ser humano às mais desprezíveis práticas discriminatórias, é no mínimo temeroso.

Definitivamente não podemos aplicar para assunto tão importante aquele outro ditado “é no andar da carroça que as abóboras se ajeitam” – que significa algo como: deixa estar que com o tempo as coisas se ajeitam sozinhas – uma vez que dados sensíveis violados causam um dano de tal magnitude ao indivíduo, que será impossível voltar a situação para o que ela era antes, ou para o status quo ante, como queiram.

Em se tratando de segurança digital a prevenção sempre será o melhor caminho. Precisamos lembrar que: todos os sistemas são violáveis, uns mais do que os outros.

Ou como diz alguém que eu não recordo o nome agora “todos os sistemas serão invadidos, só não sabemos o dia e a hora”.

Até o próximo post!

 

Credit Score, Sistemas de Cadastro Positivo, Compartilhamento de Dados de Crédito entre os bancos: Bem-vindos ao mundo da Discriminação Digital

O Cadastro Positivo (Lei 12414 de 2011) o Projeto de Lei 8184/2017 e o PLS 212/2017


Você já tentou criar um perfil diferente do seu no Facebook? Não estou falando de um perfil fake para perturbar ainda mais esse mundo já tão bagunçado, estou falando de um perfil diferente, onde você interaja com pessoas de um meio social completamente diferente do seu “habitat natural”. Se isso te despertou curiosidade, faça essa experiência, você vai perceber que a rede se comportará de acordo com os dados que coletar de você.

Você já se perguntou de onde vêm tantos spams no seu email? Ou o porquê de de repente começarem a aparecer tantas propagandas de um objeto que você tem pesquisado? E ainda mais grave do que isso: você já se pegou conversando com outras pessoas sobre taxas de juros de um empréstimo e percebeu que estava pagando mais do que seus colegas? Ou já se perguntou porque para algumas pessoas é exigida a apresentação de um caminhão de documentos para realizar um financiamento e para outras a aprovação de crédito é quase imediata?


Dados pessoais como insumo da economia …


Tudo isso tem uma explicação muito simples: nossos dados são o insumo que movimenta a atual economia. Fotos que publicamos, check ins que fazemos, remédios que compramos, posts que curtimos, contas que atrasamos, empréstimos que pedimos, a localização do lugar onde moramos dada pelo GPS do nosso celular, o meio de transporte que utilizamos, a escola que frequentamos ou que nossos filhos frequentam, páginas da internet que acessamos. TUDO, eu disse TUDO mesmo é utilizado pelas empresas para determinar a que mundo nós pertencemos e o que esse mundo pode nos proporcionar. Você já conseguiu perceber como isso pode estar afetando a sua vida? Se sim, esse texto talvez seja mais do mesmo pra você, se não, eu sugiro que você me acompanhe até o final para compreender um pouquinho como tudo isso afeta a nossa vida.


A análise de perfis do Facebook, apenas a ponta do Iceberg …


Na última semana estourou nas mídias, primeiramente nos jornais internacionais (eu particularmente vi a notícia no The Guardian) a notícia de que dados de pelo menos 50 milhões de usuários do Facebook foram utilizados indevidamente na última campanha dos EUA para presidente, esse foi o caso que apareceu, ganhou a mídia e fez as ações do Facebook desvalorizarem e uma parte da sociedade se mobilizar para que as pessoas excluíssem a referida rede social de suas vidas. Mas essa é só a ponta do Iceberg chamado USO INDEVIDO DE DADOS PESSOAIS.

Em outros textos já falei sobre como informações médicas podem ser usadas contra o cidadão, já falei também sobre o valor que nossos dados tem para a economia, hoje vou me concentrar na questão de como os Sistemas de Cadastro Positivo podem ser responsáveis pela discriminação de indivíduos.


O que é o credit score e o sistema adotado nos EUA


Os EUA são pioneiros na utilização desse sistema para concessão de crédito, há algum tempo eles vem utilizando o FICO scored que em uma definição superficial é um sistema de pontuação de crédito, que se comporta mais ou menos assim: quanto mais você consome e quanto mais você paga em dia suas contas, melhor será o seu credit score e mais fácil será a obtenção de crédito ou de um empréstimo, por exemplo. Em sua concepção original esse sistema deveria utilizar apenas dados de consumo das pessoas, mas não foi o que ocorreu, na verdade além dos dados de consumo o sistema passou a associá-los aos dados pessoais que estão disponíveis nos mais diversos locais da Internet inclusive nas redes sociais para fazer inferências de modo a prever gastos dos consumidores e se eles eram potencialmente lucrativos ou perdedores de dinheiro. Ou seja, se você mora em uma região menos favorecida da cidade, em um bairro mais popular, provavelmente você terá mais dificuldade em conseguir crédito. Conforme artigo publicado no site www.thenation.com em 2015 (disponível aqui: https://www.thenation.com/article/how-companies-turn-your-facebook-activity-credit-score/), a gestora do sistema de cadastro positivo americana já utilizava essas funcionalidades em seus algoritmos de cálculo de score em 2011 e era o resultado obtido do cruzamento de todos esses dados que ao cabo de tudo determinava se o indivíduo poderia obter crédito ou não. Um sistema altamente discriminatório. Não bastasse isso, há o agravante de que essas informações de score do consumidor são compartilhadas com todas as entidades bancárias, com toda a rede empresarial, prendendo o consumidor em uma teia de desigualdade da qual ele não tem como fugir.


Sistema de Cadastro Positivo: propulsor da economia ou mecanismo de exclusão social

Assim, o Sistema de Cadastro Positivo,  que deveria funcionar como um mecanismo propulsor da economia, onde bancos e financeiras emprestariam dinheiro cobrando menos juros de quem é bom pagador – o que em um primeiro olhar aparenta ser uma ótima ideia – tornou-se na verdade uma ferramenta de exclusão social.

Me explico: pessoas com pouco consumo ou que não tenham acesso a bancos ou ainda que não interajam no mundo virtual terão pouca ou nenhuma pontuação e na ausência dessa pontuação ou na existência de uma pontuação baixa – abaixo de determinados patamares estipulados – se por ventura necessitarem fazer um empréstimo pessoal ou financiar um bem ou ainda precisarem de crédito para fazer uma compra parcelada dificilmente conseguirão ter crédito e se conseguirem serão apenadas com aplicação de maiores taxas de juros. A consequência disso é a formação de um ciclo vicioso em que taxas de juros altas implicam em maior número de atrasos e de inadimplência, diminuindo mais ainda a pontuação do consumidor de forma que quanto menor a pontuação mais ele será cobrado e quanto mais ele for cobrado mais difícil de fazer os pagamentos, formando-se então uma economia de exclusão. Resumindo, quanto menor a pontuação (score) do indivíduo no Cadastro Positivo mais difícil conseguir um empréstimo ou um crediário e quando conseguir os juros que serão dele cobrados serão mais altos de forma que fique mais difícil manter-se adimplente.


Cadastro Positivo no Brasil

Leis nº 12.414/2011, LC nº 105/2001, PLS nº 212/2017 e PL nº8.184/2017

Embora poucos saibam no Brasil esse sistema de pontuação de crédito existe desde 2011 instituído pela Lei nº 12.414  que disciplina a formação e a consulta a banco de dados com informações de adimplência, de pessoas naturais ou de pessoas jurídicas para formação do histórico de crédito essa lei conjugada como a Lei Complementar nº 105 que dispõe sobre o sigilo das instituições financeiras até hoje regulamentam o funcionamento  do compartilhamento dos dados dos consumidores. Essas leis determinam o sigilo nas operações e nos serviços prestados pelas instituições financeiras e que o registro dos dados no sistema de Cadastro Positivo depende de autorização expressa por parte do consumidor.


Posicionamento do STJ


É esse também o posicionamento do STJ, que decidiu recentemente que nos contratos de adesão dos cartões de crédito não pode haver cláusula que autorize o compartilhamento dos dados de cartões de crédito de clientes pelos bancos. A manifestação do relator do processo se deu nos seguintes termos:

“A partir da exposição de dados de sua vida financeira abre-se leque gigantesco para intromissões diversas na vida do consumidor. Conhece-se seus hábitos, monitora-se sua maneira de viver e a forma com que seu dinheiro é gasto. Por isso a imprescindibilidade da autorização real e espontânea quanto a essa exposição.”

Posicionou-se o tribunal no sentido de que esse tipo de compartilhamento de informações exige o consentimento inequívoco do consumidor.

Ocorre que no final do ano passado foi aprovado no Senado o PLS nº 212 de 2017 (está aguardando votação na Câmara) que altera significativamente a LC nº 105, liberando o compartilhamento de dados financeiros e de pagamentos e de operações de crédito das pessoas físicas e jurídicas, um belo golpe no direito fundamental à privacidade. Paralelamente está em fase de parecer conclusivo na Câmara dos Deputados o PL nº 8.184 de 2017 que dá nova redação ao art. 4º da Lei do Cadastro Positivo, prevendo que a abertura do cadastro no Sistema de Cadastro Positivo será automática e ainda inclui uma nova disposição no mesmo artigo, criando o parágrafo 2º- A prevendo que a autorização concedida a um banco de dados específico aproveita a todos os demais, possibilitando assim o compartilhamento indiscriminado dos dados do consumidor.


Sistema do Cadastro Positivo e a discriminação social


O que isso em a ver com discriminação? Pois bem, tudo.

Tomemos o Brasil como exemplo, menos de 60% da população tem acesso à internet, conforme dados da Febraban em 2017 pelo menos 10% da população não tem nenhum tipo de acesso à rede bancária e somente 34% daqueles que possuem acesso aos bancos utilizam algum tipo de relacionamento de crédito, ou seja, um grande número da população está excluída desse sistema de pontuação implementado pelo cadastro positivo.

Mas o que acontece com quem não tem pontuação no credit score? Bem, essa pessoa está automaticamente fora da economia. Quer comprar uma geladeira? Sinto muito, junte seus “caraminguás” e espere 5 anos para fazer isso, você não tem pontuação, você não consegue crédito. Precisa de um empréstimo pessoal para uma situação de emergência? Você não tem pontuação no sistema de crédito? Então você não existe para a economia creditícia.


Numa conta rápida hoje no Brasil quase metade das pessoas não teriam pontuação, ou seja, meio país de excluídos, com crédito cada vez mais restrito, sendo verdadeiros fantasmas para uma economia baseada no credit score.


Dificuldades para produzir esse material


Escrever esse texto foi especialmente difícil, tentei condensar o máximo possível as informações porque esse é um tema que exige nossa atenção. A tecnologia que tem sido tão maravilhosa em unir pessoas, em extirpar fronteiras, em fornecer plataformas para fomentar a economia colaborativa, que pode nos servir com mecanismos anticorrupção, tem também um lado discriminatório que está sendo cada vez mais explorado. Os fatos apresentados nos remetem  à preocupação já expressa por Rodotà em sua obra “A vida na sociedade da vigilância”:

“A difusão do recurso aos perfis pode ocasionar a discriminação das pessoas que não correspondem ao modelo geral, acentuando a estigmatização dos comportamentos desviantes e a penalização das minorias… ao se privilegiar os comportamentos ‘conformes’ aos perfis predominantes, torna-se mais difícil a criação de novas identidades coletivas, com riscos para a própria dinâmica social e para a organização democrática”.

O sistema de credit score como hoje implementado e utilizado é um profundo desrespeito à dignidade humana, fundamento da democracia onde o sistema atua para privilegiar os privilegiados, agregado a tudo isso há um requinte de crueldade, não haverá o gerente do banco para ir conversar, a classificação de quem tem direito ou não será feita automaticamente por alguém a quem chamamos de bot*.


Bem-vindos ao novo (velho) modelo de mundo!


*Programa de computador capaz de automatizar procedimentos – robot (robô).

ATAQUES DIGITAIS QUE MATAM

“Ataques digitais irão provocar eventos físicos causando desde distração até a destruição em potencial de ativos do mundo físico” (Leonardo Scudere)

E eu acrescento:

ATAQUES DIGITAIS VÃO MATAR

Indivíduo X, portador de problemas cardíacos para as quais a única solução para continuar a viver é implantar um marcapasso. Vida salva, vida nova, recuperação 100%. O que ele e a maioria de nós não sabe é que embora seu problema de saúde tenha sido contornado ele pode ter virado alvo de hackers (crackers, na verdade).

IMG_20180313_150137

Certamente não estamos acostumados a falar em crimes digitais contra a vida humana, e possivelmente imaginemos que um ataque desse tipo ocorreria numa usina nuclear, no setor energético ou mesmo nos equipamentos de uma UTI da unidade hospitalar, mas não, o que tenho para falar hoje é sobre o risco de ataques direcionados a uma vítima bastando para isso a condição de portadora de um equipamento médico habilitado para monitoramento remoto implantado em seu corpo.


Como assim Angela? Alguns modelos de marcapasso, muito comumente utilizados nos EUA permitem o acesso remoto (por bluetooth e wi-fi). Esse acesso remoto possibilita o monitoramento dos dados de saúde do paciente, evitando assim visitas desnecessárias ao médico, pois, é possível ajustar o equipamento à distância, de forma que qualquer sinal anormal possa ser identificado imediatamente. Não há dúvidas sobre quanto isso beneficia o paciente, contudo, como TUDO que está conectado pode ser invadido, esses equipamentos se tornaram um problema para a segurança dos usuários, pois da mesma forma que o ajuste pode ser feito para evitar a morte do paciente, um acesso de má-fé pode causar-lhe a morte.

Isso não ocorre somente com os marcapassos, há também os neuroestimuladores, bombas de insulina pré-programadas, implantes cocleares, ou seja, todo o tipo de equipamento que possa ser implantado no corpo humano e que aceite monitoramento remoto. Isso não seria um problema tão grande se o número de usuários fosse pequeno, entretanto, o número de pessoas utilizando esse tipo de equipamento já ultrapassa de longe a cifra de um milhão e tem aumentado muito anualmente (somente nos EUA esse número ultrapassa 300.000 novos usuários por ano) isso se deve ao fato de que a existência do monitoramento proporciona melhoria na qualidade de vida de portadores de doenças crônicas.

No Brasil, a portaria nº 26 de agosto de 2017 incorporou esse tipo de tecnologia no âmbito do SUS, o que certamente deve ampliar o número de usuários desse equipamento, essa liberação veio após muita luta de uma ONG que representa os interesses dos usuários de marcapasso e por isso uma conquista bastante comemorada.

O que preocupa quem entende um pouco sobre esse mundo hiperconectado é a precariedade de que se revestem as políticas de segurança da informação adotadas em nosso país, especialmente no que diz respeito ao setor da saúde. Para ratificar essa preocupação, ontem, dia 12/03/2018, a McAfee divulgou um relatório que mostra que no ano de 2017 houve um aumento em 211% no número de incidentes de segurança envolvendo tecnologia na área da saúde. Segundo o relatório a maior parte dessas invasões poderia ter sido evitada com cuidados básicos no desenvolvimento e na utilização dos softwares médicos. Esse relatório apenas comprova que o Brasil é um terreno fértil para o cibercrime, e como já escrevi anteriormente as informações médicas valem muito dinheiro no mercado negro. Para termos uma ideia informações de janeiro desse ano destacam que o Brasil é o segundo país que mais perdeu dinheiro em 2017 com crimes cibernéticos (estamos aqui falando de um valor de aproximadamente U$ 22 bilhões (vinte e dois bilhões de dólares) ) de acordo com relatório da Symantec. Somos alvo fácil ficando apenas atrás da China.


Há quem aposte que crimes como sequestro relâmpago possam migrar do mundo físico para o mundo virtual se utilizando, por exemplo, desses equipamentos que podem ser acessados remotamente para concretizar a prática. Por exemplo, o cibercriminoso invadiria o equipamento médico e com a vítima totalmente vulnerável ao seu comando exigiria transferência de valores e de bens, tal método também poderia ser empregado para realizar outros tipos de chantagens.

Parece tudo muito futurístico? Meio coisa de filme? Mas não é, ainda em 2012 um hacker americano comprovou que essa invasão é possível e totalmente factível. Nos EUA um processo que correu perante a FDA (Food and Drug Administration) uma fabricante de implantes cardíacos monitorados admitiu que vários de seus modelos de dispositivos médicos implantáveis estão sujeitos a ameaças de segurança cibernética (https://www.fda.gov/medicaldevices/safety/alertsandnotices/ucm535843.htm). Essa foi uma das empresas que se manifestou, mas isso só ocorreu após um longo processo movido por um usuário de marcapasso que desconfiou da segurança do equipamento que portava. Mas e quanto aos demais fabricantes? Tem sido submetido algum processo de verificação da segurança de seus equipamentos? Há fiscalização em torno dos mecanismos de segurança disponíveis, e falo de segurança digital, não segurança física, em relação a essa a preocupação sempre foi grande.


É certo que diante dos fatos quando pensarmos em segurança digital para a área da saúde a preocupação deve ir muito além do que aquela que já motivei aqui sobre segurança dos dados, que nem de longe deve ser negligenciada visto que dados médicos relacionam-se diretamente com a dignidade humana, deve existir também preocupação com os equipamentos que são utilizados pois como foi possível perceber a falta de atenção com a segurança neles empregada pode custar a vida das pessoas. E vejamos que estou falando aqui somente daqueles equipamentos implantados, mas a ameaça se alastra também para equipamentos de quimioterapia, por exemplo, ou ainda aqueles utilizados para dosar medicamentos para o controle da dor, se estiverem conectados em uma rede vulnerável serão alvos fáceis.


Dentro da minha linha de estudo a pergunta que eu tenho me feito é: se alguém for vítima de um crime praticado através da invasão de um equipamento desses, qual será a responsabilidade penal do fabricante? E da casa de saúde? E do profissional que implantou o equipamento?

Quanto à responsabilidade civil ela é objetiva, fundamentada na Teoria do Risco, aqui não cabe muita discussão, bastando que se comprove que o incidente ocorreu através do equipamento o que certamente demandará a participação de um perito digital. Mais do que nunca nesses casos recorrer ao perito digital se faz primordial, a necessidade da coleta correta de provas é o diferencial para esclarecer o que de fato ocorreu no caso concreto e se for o caso estabelecer o nexo de causalidade entre o incidente ocorrido e o meio (equipamento monitorado) utilizado.


Encerrando eu deixo dois alertas:

Primeiramente para as casas de saúde e profissionais que utilizam o monitoramento remoto de pacientes a orientação é: invista em uma consultoria em segurança da informação para identificar quais os pontos falhos da segurança digital que podem ser encontrados em seu negócio para que possam ser sanados e assim evitar uma série de transtornos.

Por fim para os pacientes: informem-se antes sobre a marca do equipamento, procure informações sobre ele é seu direito como consumidor.


A conclusão quando tratamos de crimes cibernéticos é sempre a mesma:

No mundo hiperconectado em que vivemos a única certeza que temos é que uma hora nossos sistemas serão atacados, apenas não sabemos quando.

 Para saber mais sobre como adotar medidas preventivas entre em contato comigo.

Reportagens sobre o tema:


http://www.securityreport.com.br/destaques/saude-sofre-aumento-de-211-no-numero-de-incidentes-de-seguranca/#.WqfWr-zwZQI

https://www.fda.gov/medicaldevices/safety/alertsandnotices/ucm535843.htm

https://canalcienciascriminais.com.br/dispositivos-medicos-eletronicos-na-mira-dos-hackers/

https://canaltech.com.br/hacker/perigos-da-tecnologia-e-possivel-hackear-um-marcapasso-e-matar-o-paciente-82795/

http://www.lex.com.br/legis_27481775_PORTARIA_N_26_DE_2_DE_AGOSTO_DE_2017.aspx

 

SEXTORSÃO: crime e sexo se encontram na internet.

Olá pessoal!

1

Lembra aquela foto? Aquela em que você está sem roupas? Lembra aquela conversa “quente” que tivemos? Então… eu estou com essas imagens aqui e se você não quiser que seus pais, seu namorado, seu chefe e seus amigos vejam, você vai ter que fazer o que eu quiser. Porque se você não fizer, eu compartilho essas imagens ainda hoje, todos vão saber e sua vida se transformará em um verdadeiro inferno.

Ou talvez:

Estou com saudades de você… me manda uma foto sem roupas? Ah não!? Não é essa a resposta que eu queria ouvir, mas, já que você está fazendo “jogo duro” eu tenho algumas imagens suas aqui comigo que vão fazer você mudar de ideia rapidinho….

Ou ainda:

Estou com imagens suas extremamente comprometedoras, para que eu não as divulgue você tem até dia xx para me mandar xxx mil reais. Caso você não pague vou publicar nossas conversas, você pode não saber mas eu gravei suas imagens você e vou divulgar em os todos os lugares e em poucos minutos todos saberão @ vadi@ que você é …

As palavras podem não ser exatamente essas… a abordagem pode mudar, afinal chantagistas são o que são e utilizarão de qualquer meio que tiverem a disposição para conseguirem o que incutindo verdadeiro para em suas vítimas. Isso é SEXTORSÃO: uma chantagem realizada a partir de uma imagem de conteúdo íntimo para obtenção de dinheiro ou de favores sexuais em troca da não divulgação do conteúdo.

Em relação às vítimas, não há distinção por gênero, em Portugal, por exemplo, pelo menos metade das vítimas são homens, na verdade adolescentes, entre 12 e 16 anos de acordo com informação disponibilizada pela unidade de combate ao cibercrime em janeiro de 2018. (https://lifestyle.sapo.pt/familia/noticias-familia/artigos/metade-das-vitimas-de-extorsao-sexual-na-internet-sao-rapazes-ate-aos-16-anos). Já na Inglaterra, levando-se em conta todos os casos de sextorsão registrados em 2016, 95% das vítimas eram homens, de todas as idades, de forma predominante, entretanto, naqueles com mais de 20 e menos de 30 anos.

As mulheres não são vítimas? Quer me parecer que as mulheres adotam um comportamento mais desconfiado em se tratando de conversas com estranhos na Internet, e elas acabam sendo vítimas de pessoas próximas em quem de certa forma confiam, e aí se enquadram nas estatísticas de “porn revenge”. Outro motivo, talvez, seja que os homens aparecem mais na estatística porque eles se sentem menos constrangidos em procurar as autoridades competentes para denunciar os fatos.

Quem é o chantagista? Em regra é alguém que utilizando-se de uma identidade falsa (quando se trata de homens a isca é em geral um perfil feminino disposto a ter um “momento quente”) procura suas vítimas através das redes sociais e por meio de uma conversa persuasiva induz a vítima a se utilizar da webcam para estabelecer um contato mais íntima. Em regra a vítima é convencida a despir-se e aí o criminoso grava essas imagens sem autorização e depois as usa para pedir dinheiro (vantagens patrimoniais) ou favores sexuais em troca da não divulgação desse conteúdo. Ou seja, na maioria dos casos há a prática de sexting (interações de conteúdo sexual explícito entre pessoas através da internet) antes da sextorsão.

Quando abordada pelo chantagista a tendência natural da vítima é desesperar-se, algumas assumem pensar em suicídio e há quem chegue mesmo a praticá-lo, outras cedem ao criminoso e pagam a quantidade exigida ou ainda enviam novas fotos ou concordam com um encontro sexual, fazem isso com a intenção de aplacar o criminoso acreditando que somente assim evitarão a constrangedora exposição. Contudo, atender aos desejos do criminoso não resolverá o problema, uma vez tendo obtido sucesso em seu intento, em breve ele voltará a contatar a vítima, tornando-a “prisioneira” de seus planos sórdidos.

O caminho correto a ser adotado pela vítima nesses casos é:  munida das provas que conseguir coletar, procurar a polícia para oferecer uma denúncia contra o chantagista. A depender da exigência feita por ele é possível enquadrá-lo em condutas previstas no Código Penal, que vão de um mero constrangimento ilegal, previsto no artigo 146 até um estupro que pode ser consumado ou tentado, dependendo dos fatos ocorridos, conforme artigo 213.

Vale ressaltar que sextorsão não é a mesma coisa que pornografia de vingança, neste último, em regra há um envolvimento afetivo anterior entre a vítima e o autor, já na sextorsão, inexiste vínculo entre os indivíduos. O que ocorre, todavia, é que como em quase tudo que envolve a rede mundial de computadores dificilmente se identificará o criminoso.

Chamo a atenção para o fato de que tem aumentado o número de crianças e adolescentes praticando sexting, a causa antecedente da sextorsão, dados apresentados no começo deste ano pelo periódico pediátrico JAMA mostram que um em cada quatro adolescentes já trocou mensagens de conteúdo sexual e um em cada sete já enviou material explícito.

Como sempre afirmo, todos temos liberdade para fazer o que desejarmos, mas, especialmente no mundo virtual antes de tomar determinadas atitudes é preciso que saibamos e aceitemos as consequências de nossos atos.

Para finalizar deixo esse link com um vídeo de conscientização feito no ano de 2016 pela autoridade britânica, que assustada com a explosão de casos de sextorsão movimentou-se e produziu um vídeo de alerta. O vídeo merece ser assistido: http://www.bbc.com/portuguese/38168015

Até o próximo post!

 

Dados médicos a venda. Quem deseja comprar?

A notícia no The Guardian é clara – “Nossos dados médicos estão à venda, um negócio que vale bilhões”

flying-2891745_1280

 

Confessionário, essa palavra poderia ser perfeitamente usada para descrever um consultório médico. Para muitos de nós o médico é quase um sacerdote para quem revelamos nossos segredos mais íntimos…

Agora você já pensou se imediatamente ao sair da consulta o médico começasse a gritar por todos os corredores tudo que contamos? Ou se ele entrasse em contato com nosso parceiro, nosso empregador ou nossos amigos e lhes contasse o resultado de todos nossos exames? Como nos sentiríamos? Qual o impacto que essa atitude teria em nossa vida?

Muitos podem dizer que não tem nada a esconder talvez até por nunca terem parado para refletir sobre algumas situações. Assim, façamos uma breve reflexão: como nosso parceiro reagiria se soubesse por outras pessoas que somos portadores de HIV? O que nosso empregador faria se fosse notificado por nosso médico sobre possuirmos algum tipo de doença que eventualmente nos afastaria do trabalho?  Como nosso plano de saúde nos trataria se nosso histórico médico anterior à contratação fosse revelado? Honestamente, a maioria de nós nem conseguiria tirar uma carteira de motorista porque uma das perguntas presentes no formulário da avaliação médica é se já tivemos alguma tontura ou desmaio.

O que ocorre é que pessoas portadoras de doenças, inclusive as que podem ser facilmente tratadas, são discriminadas. Nenhum empregador fica feliz quando apresentamos um atestado médico, assim como a seguradora de saúde também não dá pulos de alegria ao ter que pagar mais uma consulta ou bancar uma cirurgia, por exemplo. E por todos esses motivos que os nossos dados médicos são (ou deveriam ser sigilosos), é o que dizem os Códigos de Ética da área de saúde. Ou seja, o sigilo é direito do paciente e dever do médico. Vale lembrar que o médico goza da prerrogativa do sigilo profissional.

Porém (e tudo na vida tem um porém), hoje os resultados dos nossos  exames, as doenças que temos e o histórico familiar médico, os remédios que tomamos, além de nossos hábitos tais como a prática de atividade física, se bebemos ou fumamos, nossos traços genéticos (e que fique claro que não é preciso fazer um exame de DNA para isso), tudo isso consta no nosso PEP -Prontuário Eletrônico do Paciente – tudo digital, aquela ficha antiga guardada no arquivo do consultório ou do hospital é coisa do passado. A modernidade chegou no setor da saúde trazendo benefícios obviamente, hoje, nosso médico pode carregar o consultório no bolso, literalmente, porque é possível através do smartphone acessar os dados dos pacientes. E aí nos vemos às voltas com o problema da segurança digital, tudo porque com a digitalização de nossas informações médicas elas estão mais expostas e essa exposição desperta interesse nos criminosos porque dados médicos valem muito dinheiro. Para termos noção do valor monetário dessas informações elas são negociadas no mercado negro (Deep Web) por valores que variam entre quatro e seis vezes o valor pago por um número de cartão de crédito válido.

medical-563427_1280

Os altos valores atribuídos a esse tipo de informação se justificam por vários motivos, a título de exemplo, vou enumerar apenas três:

1 – golpes, pessoas de má-fé ao terem acesso às nossas informações médicas se passam por falsos médicos oferecendo produtos que milagrosamente curaram “qualquer doença”, ou ainda criminosos que se utilizam dessas informações para chantagearem os familiares se aproveitando do momento de fragilidade emocional;

2 – indústria farmacêutica – aqui o interesse é dúbio, se por um lado se utilizam dessas informações para pesquisas sobre novos medicamentos, por outro também atuam com interesses escusos ao explorarem essas informações para elaborarem seu marketing direcionado para um nicho específico da população;

3 – empresas de seguro saúde (planos de saúde) – que ao terem acesso a esses dados se negam a oferecer seu serviço para uma determinada pessoa, ou dificultam o acesso a determinadas coberturas;

Essas são situações mais palpáveis, mas tudo pode ficar muito pior se considerarmos que essas informações poderiam chegar ao conhecimento do empregador. E aqui sejamos honestos, quem contrataria alguém doente? Ou ainda pior, já chegando numa espécie de “teoria da conspiração”, que empresa contrataria alguém que pelo perfil traçado nos exames médicos tem altas chances de ser portador (embora ainda não saiba) de uma doença degenerativa? Stefano Rodotà trata um pouco sobre essa questão em sua obra “A vida na sociedade da vigilância”.

Aqueles com maior conhecimento tecnológico podem alegar que existem formas de anonimizar (desvincular o nome do paciente dos dados médicos, tratando essas informações apenas como estatística), contudo, essa promessa apresenta falhas, e é o que defende Adam Tanner em seu livro Nossos corpos nossos dados (em tradução livre). Se há um algoritmo que consegue separar nome e dados médicos, existem algoritmos que conseguem cruzar os dados “anonimizados” obtidos de uma ficha de saúde com os nossos dados pessoais que estão em nossas redes sociais e emails e tornam possível a repersonalização de qualquer paciente. Importante aqui lembrar que ao falarmos de Internet estamos falando de uma grande rede onde basta a utilização de alguns algoritmos para que tudo se interligue.

A pergunta que fica é: como dados que são sigilosos vão parar na Internet?

A exposição indevida ocorre principalmente de duas formas:

  1. ataques cibernéticos como os ocorridos no ano passado (https://g1.globo.com/sp/ribeirao-preto-franca/noticia/apos-ciberataque-hospital-de-cancer-de-barretos-estima-5-dias-para-normalizar-atendimentos-em-todo-o-pais.ghtml)
  2. ou porque algum colaborador da empresa de saúde copia os dados e os repassa.

Por estarmos tratando de uma situação tão delicada com dados extremamente sensíveis e diante da qual a impotência do paciente é absoluta, compete exclusivamente às casas de saúde trabalharem para minimizar os riscos. Digo minimizar porque quando se trata de segurança digital sempre haverá uma brecha e a eliminação total do risco é tarefa praticamente impossível.

A regra de ouro é atuar de modo preventivo. Investir na qualificação dos colaboradores de forma que entendam as consequências dos seus atos, investir em uma boa política de segurança da informação de forma a garantir que cada pessoa acesse somente aqueles dados que são necessários para a realização do seu trabalho e por fim em ambientes digitalmente seguros: redes isoladas, firewall, atualização do sistema operacional utilizado nas estações de trabalho associados a bons antivírus diminuem substancialmente o risco.

Pelo lado jurídico a utilização correta e integrada desses mecanismos preventivos pode proporcionar uma boa tese de defesa culminando com o afastamento da responsabilidade civil em caso de ações de reparação de danos motivadas pelo vazamento desses dados sigilosos.  Considerando ainda que a relação jurídica estabelecida entre o estabelecimento de saúde e os pacientes é de consumo ensejando, portanto, responsabilidade civil objetiva, e que segundo o Marco Civil da Internet a correta guarda dos dados é responsabilidade de quem os coleta, armazena e trata, é prudente que o profissional/estabelecimento de saúde opte por adotar todas as precauções possíveis por se tratarem de dados com alta carga valorativa monetária e também emocional.

Uma observação final, uma regra que vale para a coleta, armazenamento e tratamento de qualquer dado no caso se pretender utilizá-los, utilizar a regra do consentimento do paciente, de forma clara e inequívoca, por escrito, deixando detalhadamente especificado para quais finalidades eles serão utilizados.

Link para a reportagem completa clique aqui.