Segundo notícia veiculada pelo jornal O Estado de São Paulo¹, replicada por outros veículos de comunicação, os dados pessoais de pacientes com diagnóstico suspeito ou confirmado de COVID-19, acabaram sendo divulgados de forma inadequada, após as senhas do Ministério da Saúde² terem sido publicadas em uma plataforma aberta que permitia acesso a dados como CPF, endereço, telefone, doenças pré-existentes, entre outros dados de saúde.
Trata-se de um caso clássico de incidente com dados pessoais por conta de falha humana. E isso apenas reforça um dado estatístico já amplamente divulgado e conhecido, qual seja, que o fator humano é a principal causa de vazamentos de dados pessoais no Mundo³.
E é justamente sobre esse ponto que gostaríamos de jogar um pouco de luz e provocar a devida reflexão.
A segurança da informação, a cada dia que passa, se torna cada vez mais importante e relevante em nosso dia a dia profissional. E é por este motivo que existem massivos investimentos na área, como por exemplo, ferramentas de criptografia, monitoramento de ambientes lógicos e analógicos, sistemas de proteção de perímetro, entre tantas outras.
Contudo, apesar dos expressivos esforços e investimentos, um dos maiores riscos acaba sendo, de certa forma, negligenciado. E qual risco seria este? A figura humana. Ou seja, os verdadeiros usuários das ferramentas de tecnologia e que, de fato, acabam por ser os responsáveis pela coleta e tratamento dos dados pessoais.
Estes usuários, ao cometerem erros básicos, como por exemplo, deixar senhas de acesso expostos em bilhetes que outras pessoas possam ver ou até mesmo compartilhá-las com pessoas não autorizadas, utilizar planilhas sem controles de acesso ou ferramentas de autenticação, clicar em links suspeitos recebidos via e-mails ou ferramentas de mensagens não homologadas, conectar dispositivos pessoais à redes corporativas, entre outra inúmeras práticas temerárias, acabam abrindo portas e janelas sistêmicas que podem levar a incidentes relevantes do ponto de vista de segurança e vazamento de dados.
Mas nem sempre tais atitudes são deliberadas e visam prejudicar as companhias ou os próprios titulares dos dados. Muitas das vezes, seja por ignorância, falta de treinamento e sem a intenção de prejudicar, com omissão, negligência, imprudência e/ou imperícia, estes usuários acabam por ocasionar falhas que geram incidentes importantes, como aparentemente aconteceu no recente caso divulgado pela mídia.
O fator humano é, e sempre será, o elo mais fraco da equação. E isso se deve, justamente, por conta do baixo investimento no tripé CONSCIENTIZAÇÃO – CULTURA – TREINAMENTO.
A má-fé é muito difícil de controlar. Quem está mal intencionado, por mais seguro que seja o programa de privacidade e proteção de dados, sempre vai achar uma brecha para provocar a violação, ainda que programas sólidos e eficazes tendam a inibir o mal feitor.
Todavia, aquela falha não intencional, derivada de falta de conhecimento, pode, e deve, ser minimizada mediante a oferta de treinamentos periódicos e eficazes, que gerem efeitos concretos nos níveis de conhecimento e conscientização dos usuários dos dados pessoais.
A divulgação de material relacionado e oferta de treinamentos contínuos pelas empresas possuem como objetivo principal uma mudança real da cultura das pessoas e da própria companhia em relação a questões de privacidade e proteção de dados nos ambientes corporativos.
É necessário um esforço contínuo, e não meramente pontual, para evitar que incidentes de segurança de dados pessoais ocorram por conta de falhas humanas não treinadas ou não conscientizadas
Obviamente, o processo de conscientização realizado através dos treinamentos, workshops, seminários, entre outras atividades, deve ser combinado com outras medidas que visem diminuir a incidência do fator humano, como o monitoramento das práticas cotidianas, na qual é possível detectar erros nas atividades do dia a dia de forma consistente, bem como os investimentos em inovação e novas tecnologias, que garantam uma segurança efetiva dos dados.
A construção desse tripé de forma sólida e eficaz, portanto, não pode ser esquecido e negligenciado pelos agentes de tratamento de dados pessoais. Os investimentos na edificação de uma cultura de privacidade e proteção de dados, pautados em uma conscientização genuína, com treinamentos periódicos e eficazes, além de gerar os benefícios de um ambiente mais íntegro e ético, certamente ajudará a reduzir as chances de ocorrência de incidentes gerados por falha humana e, assim, a redução de prejuízo potenciais por conta de violação de dados pessoais.
[1] https://www1.folha.uol.com.br/colunas/painel/2020/11/ministerio-da-saude-diz-que-houve-erro-humano-e-posta-nova-mensagem-sem-recomendar-isolamento.shtml
[2] Aas senhas estavam em uma planilha de um funcionário do Hospital, que atuava em um projeto conjunto com o Ministério da Saúde.
[3] https://www.bakerdatacounsel.com/cybersecurity/deeper-dive-human-error-is-to-blame-for-most-breaches/
Vetor vetor criado por freepik – br.freepik.com
Foto de Markus Spiske no Pexels
Marcello Junqueira Franco Cunha é graduado em Direito pela Universidade Presbiteriana Mackenzie em 2003. Especializado em Finanças pelo INSPER (2013). LL.M em Direito Societário pelo INSPER (2007-2009). Especializado em Direito dos Contratos pelo CEU Law School (2004-2006).
Allan de Carvalho Signorini é advogado no Escritório Thomazinho, Monteiro, Bellangero e Jorge Sociedade de Advogados na área de Privacidade e Proteção de Dados. É graduado pela Faculdade de Direito de São Bernardo do Campo e Membro da Comissão de Direito Digital e Proteção de Dados da OAB/SP – Santo André.