LGPD: Segurança é o que pedimos
Prezados amigos:
Já comentei este assunto aqui sobre segurança e já postei um artigo sobre fraudes e formas de proteção contra crimes e extorsões.
Vocês notaram que mudei meu nome no LinkedIn?
Sim, tive que fazer isto também. Eu sei que o LinkedIn tem uma forma de proteção de ocultar a foto para quem não é contato e abreviar o nome, por exemplo, mas não tive tempo de fazê-lo, mas prometo postar no dia em que encontrar esta orientação neste emaranhado de informações e configurações.
Ocorre que as empresas estão recebendo uma saraivada de tentativas de golpes por todo tipo de oportunista e meliantes. Eu acredito que no Rio Grande do Sul é o maior foco.
São crimes batidos e comuns como pegar minha foto do LinkedIn (aberta ao público) e colar num WhatsApp fake e tentar contatar algum conhecido pedindo dinheiro.
Infelizmente, ontem eles extrapolaram o limite do exagero criminal, o meliante entrou em contato se identificando claramente como do "tráfico", mesmo não acreditando que alguém do "tráfico" venha a se expor desta maneira, trata-se de algo muito sério e grave. A ideia básica era pedir para conversar com o proprietário da empresa e ameaçá-lo a pagar algum tipo de pedágio, mas nosso atendente foi ágil e não deixou a ameaça tornar-se velada, como se diz na forma da Lei.
Vocês acham que somos os únicos? Não, infelizmente aconteceu com amigos que se identificaram para o meliante com nome real e ele mostrou saber todos os dados da empresa e onde ele residia, além de dados pessoais.
É algo estarrecedor e preocupante e as autoridades têm muito a se preocupar, além desta enxurrada de tentativas (parece que aumenta à medida que o final do ano chega).
Diante disto começamos a tomar precauções importantes para evitar que qualquer um tenha acesso a dados da empresa foco e dos administradores:
📌 1 - Sites de consulta:
Os sites de consulta dizem que utilizam a LGPD para divulgar os dados, pois trata-se de uma mentira e falha grave da própria Receita Federal do Brasil que expõe dados de contribuintes abertamente para o bem e para o mal, infelizmente. A LGPD é para proteger os dados e não abrir os dados, então, tanto os sites quanto a Receita Federal estão fora da LEI. Quer um absurdo, tivemos que pedir sigilo para o site do Serasa porquê os dados estavam todos abertos ao público sem um login adequada e checado em duas etapas, por exemplo.
1.1. Pedir a ocultação e retirada imediata dos sites de consultas, seja qual for, é um direito seu. Apesar de eles alegar ser pública a informação, sim, ela é, mas na Receita Federal do Brasil, mas não para exploração comercial. Motivo: a exposição de dados pessoal põe você, sua família e seus empregados em risco.
1.2. Faça como nós, envie uma sugestão a Secretaria da Receita Federal pedindo mais zelo e respeito a LGPD, permitindo somente uma consulta de dados abertos por vez, que somente empresas públicas e entidades governamentais consigam consultar em massa os dados dos contribuintes e as demais somente sob aprovação e cadastro aprovado para a utilização, tais como o próprio Serasa, que se tem a impressão de ser uma empresa pública, mas é privada, que lucra com a divulgação de seus dados.
1.3. Estava esquecendo, acione as operadoras de telefonia para não permitir a divulgação em massa de seus dados pessoais e telefone. Ora, deveria ser o contrário, começar com o bloqueio e, se você quisesse liberaria, pois isto é uma inversão do ônus e dá um trabalho para fazê-lo, vocês não têm noção.
1.4. Bloquear imediatamente o telefone do agente propagador da extorsão, gravando seu número com um nome identificável como risco e depois bloqueando via Whatsapp também. Existe alguma possibilidade da operadora identificar o motivo de seu bloqueio e tomar uma atitude, mas existem aplicativos que te protegem, que são particulares e podem servir de alerta para outros (demos um exemplo de aplicativo abaixo).
📌 2 – Orientação à colaboradores:
Oriente seus colaboradores, especialmente atendentes, a jamais dar informações pessoais de gerentes, diretores e proprietários a contatos por telefone. Exemplo: solicite para enviar um e-mail informando o propósito do contato e o motivo de expor os dados pessoais. Depois, encaminhe para um setor de compliance analisar os riscos de exposição.
Recomendados pelo LinkedIn
📌 3 – Segurança da informação:
Crie um website seguro e rastreável, com chat boot e com FAQ de perguntas e respostas sobre o negócio, empresa e forma de agir e lidar, demonstrando que se preocupa muito com a segurança de dados e, também, deixando claro que tudo é monitorado, assim qualquer tentativa fará o meliante pensar melhor sobre os riscos que ele corre.
📌 4 - Informações da empresa:
Divulgar nomes de diretores em matérias, artigos é um grande risco para qualquer instituição hoje em dia. Evitem este modelo de exposição, pois somente trará riscos a pessoa e não publicidade a empresa. Existem muitas maneiras de tornar a publicidade menos pessoal e criar engajamento, então, readéque-se.
O telefone da empresa pode se tornar obsoleto ao criar uma interação amigável e constantemente monitorada no site da empresa. Então, o ideal é retirá-lo do Google e do website. Infelizmente seu telefone pode ser usado pelo crime organizado também. Antes disto análise quem contata a empresa e de que forma contata, pois poderá surpreender-se com os dados que encontrará.
📌 5 - Crie uma comunicação direta:
Conhecemos muitas empresas e setores que somente se comunicavam pelo Skype, mas agora temos o WhatsApp Business, onde o telefone ramal pode ser uma excelente ferramenta de contatos, deixando um histórico das conversas com os contatos e negócios.
Existem inúmeras ferramentas de controle interno e externo que possibilita mais interação. Eu, por exemplo, já estudei e fiz um projeto para utilizar o Yammer na função interna entre setores, mas sei que existem outras formas de se comunicar com os stakeholders da empresa. O ideal para todos os casos é que o funcionário nunca atenda no telefone pessoal, mas que deixe um histórico para seus substitutos no futuro.
📌 6 - O que fizemos para evitar e como cidadãos?
Sim, se você ficar parado o mundo só muda para o lado ruim.
Não levou 10 minutos para aflorar uma ideia que é simples e, sim, os meliantes utilizam as operadoras. E o que as operadoras fazem para garantir a segurança do serviço? Nada, todavia, lhes demos a chance de se defenderem aqui neste documento.
As operadoras transferem o papel da segurança, especialmente no caso desta ameaça quase que velada, para a polícia. E polícia faz o quê? Sem ter dados e denuncia não faz nada.
Se todos se unirem e junto com a Anatel criar um aplicativo de segurança, teremos resultados imediatos. O documento enviado a Anatel está a disposição das pessoas de TI das operadoras que se identifiquem e provem que são da responsáveis e representantes.
Resultados:
1. Imediatamente entramos em contato com a Anatel sugerindo um aplicativo de responsabilidade das operadoras de telefonia com diversas funcionalidades de segurança e gravação de dados.
2. Como sugestão a vocês, existe um aplicativo chamado True Caller que você pode identificar o meliante ou qualquer marketing abusivo, por exemplo, entre outros tipos de exageros e ao inserir uma denúncia outros usuários enxergarão e evitará o risco para outras pessoas de bem.
3. Acionamos a Receita Federal para demonstrar o quanto os dados expostos podem prejudicar as empresas e, também, pedir que dados de empresa sejam tratados pela LGPD que serve para a Receita e para todos, pois a Lei de exposição de dados serve para todos, inclusive os entes públicos.
4. Acionaremos a junta comercial do RS para demonstrar os riscos e, dá mesma forma que pedimos a Receita Federal, somente permitam o acesso com certificado digital e uma consulta por vez.
Para nós, todos os itens são importantes, mas o número um é o que mais trará segurança, pois servirá para uma mulher com relacionamento abusivo com o companheiro, servirá para denuncias de telemarketing, mas especialmente para casos graves, onde as operadoras poderão repassar a polícia um ranking de tentativas denunciados pelos cidadãos em tempo real, dando hora, origem, destino, mensagens e áudio, quem sabe até chamada de vídeo. O modelo que idealizamos pode ser uma grande revolução na segurança e proteção dos cidadãos brasileiros.
Por favor, divulguem e comentem.