in Artigos

LGPD – A requisição de direitos como uma forma de vazamento de dado

1.7k Visualizações

Odélio Porto Júnior*

Introdução

Com o objetivo de implementar adequadamente os requisitos da Lei Geral de Proteção de Dados Pessoais (LGPD), os agentes de tratamento têm se deparado com dificuldades em implementar procedimentos internos para recebimento, análise e resposta das requisições de direitos dos titulares. Dentre eles destacam-se o direito de acesso aos dados pessoais e o direito à portabilidade, que permitem a um titular requisitar uma cópia de seus dados pessoais. Contudo, se o agente de tratamento não estabelece procedimentos internos de verificação da identidade dos titulares requerentes, o que a princípio seria uma ação para estar em conformidade com LGPD, pode acabar se tornando uma violação da própria lei: o fornecimento de dados a terceiros que fraudulentamente se passem pelo titular, configurando um incidente de segurança da informação.

O objetivo deste texto é mostrar como o problema do atendimento ao direito de acesso tem se desenvolvido em empresas que precisam estar em conformidade com o Regulamento Geral sobre a Proteção de Dados (referido neste texto pela sigla em inglês GDPR) da União Europeia (UE), e quais seriam possíveis soluções para endereçar o problema. Desse modo, a experiência comparada com o cenário europeu pode servir de parâmetro para atuação das empresas brasileiras em suas ações de adequação à LGPD. 

Direito de acesso e portabilidade como instrumento para vazamentos de dados

Tanto a legislação europeia como a brasileira estabelecem que os titulares podem requisitar cópia de seus dados pessoais ao controlador, seja pelo direito de acesso ou pelo direito à portabilidade (artigos 15 e 20 da GDPR). Neste texto não iremos entrar no mérito sobre a diferença entre os dois direitos, já que, para efeitos práticos, ambos permitem a obtenção de uma cópia dos dados. Entretanto, esses direitos podem ser instrumentalizados por agentes maliciosos que busquem se passar por determinado titular, requisitando cópia de seus dados pessoais a fim de, por exemplo, os utilizarem ilicitamente em fraudes posteriores. Caso o agente de tratamento não implemente mecanismos de autenticação adequados, o direito à obtenção de cópias dos dados pessoais podem se transformar numa ferramenta de violação à privacidade facilmente disponível. 

Nesse sentido, vale citar estudo empírico realizado pelos pesquisadores de segurança da informação Pavur e Knerr, que testaram cerca de 150 empresas a fim de verificar se conseguiriam obter dados de forma indevida através de requisições de direito de acesso baseadas na GDPR[1]. Na metodologia utilizada pelos autores, Pavur tentava obter dados pessoais relativos à Knerr, fingindo se passar pela pesquisadora por meio de e-mail padronizado de requisição enviado às empresas selecionadas. No texto do e-mail era feita a requisição da cópia dos dados em nome de Knerr e eram utilizadas apenas informações publicamente acessíveis (nome completo, e-mail, local de trabalho e número de telefone). Os autores concluíram que 40% das empresas testadas estavam aquém da metodologia utilizada por eles para obtenção fraudulenta de dados, o que demonstra, portanto, que os agentes de tratamento estavam adotando procedimentos insuficientes de verificação da identidade dos requerentes.

Em outra pesquisa realizada com metodologia semelhante — tentativa de obtenção de cópias de dados pessoais de agentes de tratamento por meio de técnicas de engenharia social — Di Martino e outros pesquisadores também testaram os procedimentos de atendimento do direito de acesso da GDPR de 41 agentes de tratamento, dos quais 15 falharam nos testes tendo vazado dados pessoais a terceiros que se passavam pelos titulares dos dados[2].

Mecanismos de verificação de identidade

Para receberem as requisições de direitos as empresas têm utilizado, principalmente, e-mail dedicado e formulários padronizados em seus websites, o que ocorre tanto no Brasil como na UE. Em alguns casos, as empresas também têm implementado funcionalidades por software para requisição e, em alguns casos, atendimento de direitos de forma automatizada.

Independente do canal de contato fornecido, após o recebimento de uma requisição de direitos, o agente de tratamento deverá ter implementado procedimentos para confirmação da identidade do titular. Em pesquisa realizada em 2019 por Bufarieli e outros pesquisadores da Universidade de Sapienza de Roma (Itália), foram analisados os mecanismos de verificação de identidade utilizados pelos 341 websites, os mais acessados com base no ranking Alexa[3]. Os autores listaram os principais mecanismos de autenticação de identidade utilizados pelos websites, seja de forma combinada ou isolada:

  • foto de um ou mais documentos de identidade;
  • funcionalidade de requisição de direitos acessível apenas a usuários com login e senha individualizada;
  • requisição por ligação telefônica;
  • pergunta de autenticação (p. ex. endereço do titular, resposta para pergunta secreta);
  • autodeclaração do titular (“sworn declaration”);
  • confirmação da requisição através de mensagem enviada ao e-mail cadastrado na conta do usuário; e
  • cookie ID.

Quantitativamente, uma das principais formas de verificação utilizadas pelos websites avaliados na pesquisa era a requisição de cópia de um documento de identificação. 

Falhas na requisição de cópia do documento de identidade

Os pesquisadores da Universidade de Sapienza detectaram uma série de problemas associados à requisição de cópia de documento de identificação que colocava em risco a privacidade e proteção de dados do titular, sendo eles[3]:

  • ausência de orientação do controlador sobre como enviar a cópia do documento de forma segura (p. ex. uso de criptografia na imagem e na mensagem de e-mail);
  • ausência de informação ao titular sobre o que é feito com a cópia do documento recebido (p. ex. prazo de armazenamento, se era eliminado ou não); e
  • ausência de mecanismos adequados para verificação da autenticidade do documento enviado.

A ausência de mecanismos de autenticação dos documentos foi inferida pelos pesquisadores ao enviarem imagens editadas aos controladores, as quais ou (a) mostravam apenas o nome e data de nascimento do titular (uso de tarjas); ou (b) com a qualidade da imagem da documentação deteriorada para dificultar a verificação da autenticidade (redução do número de pixels). De um total de 25 websites que exigiam apenas uma cópia de documento de identidade como procedimento de autenticação do titular, todos aceitaram as imagens no formato (a) ou (b) enviadas pelos pesquisadores, o que foi considerado pelos pesquisadores como uma prática inadequada.

Recomendações

Os riscos ou eventuais danos gerados pelo fornecimento indevido de dados pessoais a terceiros são amplos, variando conforme a natureza do dado vazado. Nessa linha, os agentes de tratamento devem adotar um ou mais mecanismos de verificação da identidade dos requerentes, com base na criticidade das informações requisitadas. Analisando os possíveis mecanismos de verificação a serem utilizados, Knerr e Pavur assim discorrem[1]:

“Para a maioria das organizações, isso era simplesmente uma questão de exigir que as requisições do direito de acesso fossem originadas de um e-mail anteriormente conhecido pelo controlador como pertencente ao titular dos dados, ou de exigir que o titular fizesse login de sua conta online para realizar a requisição. Se esses dois modos de verificação da identidade não estiverem disponíveis, pode-se solicitar um documento de identidade oficial com foto, sendo esta provavelmente a maneira mais robusta de se evitar esse tipo ataque.” (tradução nossa) 

Assim, por exemplo, é recomendável que um controlador que atua no tratamento de dados de saúde adote mecanismos proporcionalmente robustos, o que pode incluir, inclusive, duas ou mais camadas de verificação da identidade.

Conclusão

A partir dos estudos empíricos citados verifica-se como o direito à obtenção de cópia dos dados pessoais pode ser facilmente instrumentalizado para obtenção fraudulenta de dados pessoais por agentes maliciosos. Portanto, cabe aos agentes de tratamento verificar o nível de risco gerado por esse tipo de requisição em relação aos dados sob sua responsabilidade. 

Devem ser adotados medidas técnicas e administrativas proporcionais para se evitar incidentes de segurança, principalmente em relação a verificação da identidade do requerente dos dados, o que pode incluir a utilização simultânea de duas ou mais técnicas de verificação. Dados de cunho mais crítico devem levar os agentes de tratamento a adotar mecanismos de autenticação de identidade proporcional mais robustos, a depender das características do caso específico.

Bibliografia

  1. PAVUR, James; KNERR, Casey. GDPArrrrr: Using Privacy Laws to Steal Identities. Blackhat USA 2019 Whitepaper. 2019. Disponível em: <https://arxiv.org/abs/1912.00731v1>. Acesso em: 01/10/2021.
  1. BUFALIERI, Luca; MORGIA, Massimo La; MEI Alessandro; STEFA Julinda. GDPR: When the Right to Access Personal Data Becomes a Threat. 2020 IEEE International Conference on Web Services (ICWS). 2020. pp. 75-83.  Disponível em: <https://ieeexplore.ieee.org/document/9283991>. Acesso em: 30/09/2021.
  1. MARTINO, Mariano Di; ROBYNS, Pieter; WEYTS, Winnie; QUAX, Peter; LAMOTE, Wim; ANDRIES, Ken. Personal Information Leakage by Abusing the GDPR “Right of Access”. Fifteenth Symposium on Usable Privacy and Security is sponsored by USENIX. 2019. Disponível em: https://www.usenix.org/conference/soups2019/presentation/dimartino. Acesso em: 01/10/2021.

*Odélio Porto Júnior é formado em Direito pela UFMG, e é graduando em Sistemas de Informação na USP. Faz parte da área de Proteção de Dados Pessoais do Baptista Luz Advogados, tendo também atuado no Instituto de Referência em Internet & Sociedade (IRIS). Realizou cursos de especialização em direito e tecnologia na University of Kent, University of Geneva, e National Law University (Delhi).

Reportar

lgpd e os desafios do compliance

LGPD e os desafios do compliance de dados pessoais

Só empresas de tecnologia tratam dados pessoais?