Um estudante de engenharia de software e pesquisador de segurança afirma que teve acesso aos dados de alunos e funcionários da Universidade Estadual de Maringá (UEM), além de vários outros arquivos, que estariam expostos para qualquer usuário na internet.
A falha de configuração identificada em servidores da rede da instituição, foi publicada pelo portal de noticias de tecnologia Canaltech, e de acordo com imagens divulgadas na reportagem, diversos documentos contendo informações pessoais de alunos e funcionários teriam sido acessados pelo pesquisador, sem a necessidade de burlar controles de segurança.
Ainda de acordo com a apuração da reportagem, apesar de vários documentos estarem relacionados a outros portais de governo, como forma de manter a transparência de suas atividades, havia também documentos contendo informações pessoais como nomes completos, CPF, estado civil, assinaturas, endereços e e-mails pessoais de alunos e parcialmente, de funcionários.
Mas segundo a nota divulgada na Assessoria de Comunicação Social da da Universidade Estadual de Maringá, a falha de configuração não causou vazamento de dados pessoais de alunos, pois boa parte dos documentos que estavam acessíveis já são disponíveis para consulta pública. De qualquer forma, a brecha de segurança foi corrigida pela equipe técnica da instituição.
O fato é que casos semelhantes a este, se repetem no nosso país e nos mais variados segmentos do mercado, sem que fique realmente claro a responsabilidade dos envolvidos e a real dimensão do vazamento. Em 2018 tivemos inúmeros casos envolvendo empresas dos setores financeiro, varejo, turismo, saúde e educação e em quase todos eles, a negação do fato ou a minimização do impacto fazem parte do discurso padrão dos responsáveis pelos vazamentos. É mais do que necessário a adoção rigorosa da Lei Geral de Proteção de Dados (LGPD) para orientar, fiscalizar e principalmente advertir aqueles que insistem em não cumprir as recomendações de segurança que envolvam os dados de seus clientes e colaboradores.
É importante mencionar que as organizações que sofrerem algum tipo de vazamento de dados contendo informações pessoais, sejam de clientes ou de funcionários, estarão sujeitas às seguintes sanções da LGPD:
– Sanções administrativas (art.52°): os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas na Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
i.Advertência, com indicação de prazo para adoção de medidas corretivas;
ii.Multa simples, de até 2% do faturamento da pessoa jurídica no seu último exercício, limitada a 50 milhões por infração;
iii.Multa diária, observado o limite total anterior;
iv.Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
v.Eliminação dos dados pessoais a que se refere a infração.
Lembrando que a LGPD entrará definitivamente em vigor no mês de agosto de 2020 e pelo movimento do mercado, muitas empresas serão pegas de surpresa ao término do prazo de adequação. É pagar pra ver!
Fontes consultadas: Canaltech / ASC-UEM
Imagens: Pixabay
Texto: Comunicação – ABCTec
