LGPD é utilizada na justiça em prol de colaboradores

Recentemente, uma cooperativa foi condenada em primeira instância a aplicar a nova legislação em sua empresa para a proteção de dados de funcionários, com prazo de 90 dias, sob pena de multa diária de R$ 1 mil. 

             A decisão é um marco para a justiça do trabalho, já que foi a primeira favorável em 12 ações civis públicas ajuizadas pelo Sindicato dos Trabalhadores nas Indústrias da Alimentação de Montenegro e Região, no Rio Grande do Sul.

           Até o momento, das 12 ações civis públicas ajuizadas pelo sindicato, há apenas duas sentenças beneficiando empregadores, uma vez que teriam comprovado em juízo que já fizeram adaptações necessárias. 

             No caso da Cooperativa, o Sindicato representante alega descumprimento sistemático na proteção de dados e o compartilhamento de informações, sem os cuidados exigidos pela Lei. Ainda argumenta que o tratamento de dados é compartilhado pela internet, e está em desarmonia com o Marco Civil da Internet (Lei nº 12.965/14), ao não observar o respeito à intimidade e à privacidade, além disso, o sindicato também pede indenização por danos morais.

         De acordo com a decisão da juíza do caso, a cooperativa não “demonstrou por nenhum meio a implementação de um único dispositivo da LGPD”. Logo, exigiu que a organização implemente e comprove nos autos as práticas relacionadas à segurança e sigilo de dados, sob pena de multa, indicando também um encarregado, o DPO.

         Após o exposto neste caso, vale lembrar que a utilização da LGPD segue durante toda vigência do contrato de trabalho e após a rescisão, considerando a finalidade do tratamento de tais dados pessoais, os prazos de retenção obrigatória por lei dos mesmos e política de eliminação pela empresa.

         A lei assegura que o empregador respeite o direito dos titulares dos dados, como a confirmação da existência de tratamento dos dados; acesso aos dados; correção; anonimização; portabilidade; eliminação; consentimento, quando aplicável, e revogação do consentimento. Portanto, é imprescindível que a empresa comece a adequação à LGPD, uma vez que são processos que envolvem a empresa como um todo. 

         Por fim, as ações públicas começarão a servir de alerta para os empresários que precisam se adequar à nova legislação, que abrange não só os dados de clientes e terceiros, mas também de funcionários da empresa. 

Por Vitória Ribeiro

 

REFERÊNCIA:

https://valor.globo.com/legislacao/noticia/2021/07/23/justica-aplica-lgpd-para-proteger-dados-de-trabalhadores.ghtml



A importância de orientar os funcionários sobre os ataques cibernéticos

Quando as empresas começam o processo de se preocupar com a segurança cibernética dos dados pessoais processados em seu cotidiano, é comum que o primeiro passo seja o de buscar a solução em tecnologias que ajudem nesse objetivo e evite ataques ou vazamento de informações, uma vez que imaginam que ataques cibernéticos são somente aqueles em que existe a invasão e ataque nas máquinas de uma forma muito bem elaborada e de difícil execução, e que nada que um bom software não possa resolver. 

        No entanto, uma invasão muito comum, devido a sua alta taxa de conversão, são aqueles feitos por meio de um simples e-mail enviado intencionalmente a um funcionário despreparado que ao abrir o e-mail e clicar no link, faz com que, não somente seu computador, mas a rede inteira da empresa seja invadida, que é o que chamamos de Phishing.

      Phishing se trata de roubo de identidade online.  Essa ação fraudulenta é caracterizada por tentativas de adquirir ilicitamente dados pessoais de outra pessoa ou da empresa como um todo, sejam senhas, dados financeiros, dados bancários, números de cartões de crédito ou simplesmente dados pessoais. É um ataque que pode acontecer de várias maneiras, mas com o mesmo objetivo. O fraudador utiliza e-mail, aplicativos e sites que são projetados especificamente para roubar dados pessoais. O criminoso se faz passar por uma pessoa ou empresa confiável enviando uma mensagem para conseguir atrair suas vítimas.

         Os conteúdos podem ser dos mais variados, em nome de bancos, governo, instituições financeiras, como meios de pagamentos digitais ou até mesmo Correios, sempre solicitando uma ação ou informação. Por exemplo, pode ser pedido para que abra determinado link ou arquivo, faça ligação ou instale/ atualize um software específico.

         Apesar de muitas pessoas acreditarem que Phishing é a mesma coisa que Spam, é preciso deixar claro: Phishing é bem diferente de Spam. Na prática, enquanto o Spam se relaciona apenas com uma grande quantidade de e-mails e mensagens, sem qualquer finalidade criminosa, o Phishing, como visto, é uma prática que tem como objetivo prejudicar a vítima, acessando dados e informações pessoais que vão muito além de e-mails.

         O envio de Phishing ocorre por meio do envio de mensagens eletrônicas que:

  • tentam se passar pela comunicação oficial de uma instituição conhecida, como um banco, uma empresa ou um site popular;
  • procuram atrair a atenção do usuário, seja por curiosidade, por caridade ou pela possibilidade de obter alguma vantagem financeira;
  • informam que a não execução dos procedimentos descritos pode acarretar sérias consequências, como a inscrição em serviços de proteção de crédito e o cancelamento de um cadastro, de uma conta bancária ou de um cartão de crédito;
  • tentam induzir o usuário a fornecer dados pessoais e financeiros, por meio do acesso a páginas falsas, que tentam se passar pela página oficial da instituição; da instalação de códigos maliciosos, projetados para coletar informações sensíveis; e do preenchimento de formulários contidos na mensagem ou em páginas Web.

         Para atrair a atenção do titular as mensagens apresentam diferentes tópicos e temas, normalmente explorando campanhas de publicidade, serviços a imagem de pessoas e assuntos em destaque no momento, alguns exemplos são:

– Páginas falsas de comércio eletrônico ou Internet Banking: você recebe um e-mail, em nome de um site de comércio eletrônico ou de uma instituição financeira, que tenta induzi-lo a clicar em um link. Ao fazer isto, você é direcionado para uma página Web falsa, semelhante ao site que você realmente deseja acessar, onde são solicitados os seus dados pessoais e financeiros.

– Mensagens contendo links para códigos maliciosos: você recebe um e-mail que tenta induzi-lo a clicar em um link, para baixar e abrir/executar um arquivo. Ao clicar, é apresentada uma mensagem de erro ou uma janela pedindo que você salve o arquivo. Após salvo, quando você abri-lo/executá-lo, será instalado um código malicioso em seu computador.

– Solicitação de recadastramento: você recebe uma mensagem, supostamente enviada pelo grupo de suporte da instituição de ensino que frequenta ou da empresa em que trabalha, informando que o serviço de e-mail está passando por manutenção e que é necessário o recadastramento. Para isto, é preciso que você forneça seus dados pessoais, como nome de usuário e senha.

          Como podem ver, é um tipo de ataque que pode enganar qualquer funcionário. Na realidade, é um ataque que acontece muito dentro das empresas, justamente porque os funcionários não estão treinados e orientados o bastante para conseguir identificar que se trata de um golpe. E é aí onde muitas empresas sofrem nas mãos desses ladrões e hackers, simplesmente por ter sido negligente com parte humana da empresa. 

            Não adianta a melhor tecnologia, se quem está ali no dia a dia da operação não está qualificado e treinado para evitar que tais golpes possam acontecer na organização. 

         E como se prevenir desses ataques indesejados? Separamos algumas dicas para identificar o Phishing.

1) primeiro de tudo: Criar uma cultura de orientação recorrente de todos os funcionários da empresa;

1) ficar atento a mensagens, recebidas em nome de alguma instituição, que tentam induzi-lo a fornecer informações, instalar/executar programas ou clicar em links;

2) questionar porquê instituições com as quais não tem contato estão lhe enviando mensagens, como se houvesse alguma relação prévia entre vocês (por exemplo, se você não tem conta em um determinado banco, não há porque recadastrar dados ou atualizar módulos de segurança;

3) não considere que uma mensagem é confiável com base na confiança que você deposita em seu remetente, pois ela pode ter sido enviada de contas invadidas, de perfis falsos ou pode ter sido forjada;

4) seja cuidadoso ao acessar links. Procure digitar o endereço diretamente no navegador Web;

5) verifique o link apresentado na mensagem. Golpistas costumam usar técnicas para ofuscar o link real para o Phishing. Ao posicionar o mouse sobre o link, muitas vezes é possível ver o endereço real da página falsa ou código malicioso, dentre outras.

         Phishing é uma ameaça sem prazo para acabar. Pela simplicidade na divulgação por parte dos criminosos e porque ainda tem muitas pessoas sem conhecimento e que não estão atentas, principalmente quando usam máquinas da empresa.    

     Por isso, é preciso criar uma cultura de sempre educar e relembrar os colaboradores sobre tais golpes e quais as medidas básicas para evitar ser vítima de roubos e fraudes na rede.

Por Priscila Dacêncio e Vitória Ribeiro

REFERÊNCIA

https://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf

https://www.meuportoseguro.com.br/minha-vida/tecnologia/o-que-e-phishing-e-por-que-voce-precisa-fugir-disso/