Por Alberto Quirino, sócio do escritório de Advocacia Alves Duarte e especialista em startups e proteção de dados.
Ontem pela manhã, a Insanity Security Lab (autodesignada no facebook como empresa de tecnologia da informação, página criada em 27 de março de 2020) divulgou no facebook uma vulnerabilidade na Ordem dos Advogados do Brasil Nacional que permite que qualquer pessoa navegando na internet acesse os dados pessoais de todos os advogados do país com cadastro na OAB.
Os seguintes dados pessoais (incluindo dados pessoais sensíveis) estariam disponíveis:
Nome completo, nome da mãe e pai, nome profissional, data de nascimento, RG, CPF, número do título eleitoral, cidade eleitoral, endereço residencial, número de telefone e celular, e-mail, fotografia.
A vulnerabilidade detectada é a comum InsecureDirectObjectReference (IDOR), que ocorre quando qualquer usuário da internet pode acessar dados que não deveria apenas substituindo o ID de referência a esses dados: ou seja, quando você muda algumas letrinhas no endereço de um site, por exemplo, e consegue acessar dados e documentos sem a autorização devida.
Na postagem, a Insanity Security Lab informa que avisou a OAB Nacional desde 08 de maio e nada foi feito para resolver o problema, razão pela qual estariam expondo a vulnerabilidade: para chamar a atenção para o fato e exigir providências.
A OAB ainda não se pronunciou formalmente, nem para confirmar, nem para desmentir.A LGPD cria a obrigação para o Controlador de Dados, em seu capítulo VII, seção I, não só da implementação de medidas de segurança técnicas e administrativas, como da comunicação de eventuais incidentes de segurança não só à ANPD, como ao titular de dados em “prazo razoável”.
Convenhamos, confirmando-se o “vazamento” de dados, trata-se de um erro trivial, o qual foi deliberadamente ignorado desde o dia 08 de maio:nós, advogados, não fomos comunicados tempestivamente (03 meses certamentesão suficientes).O erro é trivial, mas as consequências são gravíssimas.
Em caso similar, mas de proporções bem menores, a Digi, empresa húngara de telecomunicações, realizou as notificações necessárias dentro do prazo legal de 72 (setenta e duas) horas- prazo determinado na lei europeia, o GDPR – consertou a vulnerabilidade em tempo hábil, comprovou não existirem indícios de acesso ao banco de dados pelo público em geral e ainda assim foi multada em 290 mil euros pela Autoridade Nacional de Proteção de Dados húngara[1].
Dito isto, clamamos resposta para os seguintes questionamentos:
- A falha de fato existe/existiu?
- Quais dados pessoais de fato estão expostos?
- Quais medidas estão sendo tomadas para mitigar os riscos e reverter os prejuízos?
- A quais riscos estamos expostos?
- Por que não fomos informados anteriormente?
Em tempos de fakenews, é temerário emitir juízo de valor antes da confirmação dos fatos. Noutro norte, como sempre diz o célebre Fabrício da Motta Alves: a proteção de dados no Brasil depende da anuência das entidades públicas, e a OAB, por tudo que representa, não pode se furtar a esse dever. E é exatamente em momentos como esses que determinaremos se a preocupação nacional com a proteção de dados acompanha as tendências globais, ou se trataremos o tema com contempto.
[1]https://www.naih.hu/files/NAIH-2020-1160-10-hatarozat.pdf