Introdução
Está a bater à porta o novo regulamento geral de proteção dos dados pessoais (RGPD). Este novo quadro será implementado em todas as organizações que processam dados de cidadãos na União Europeia a partir de 25 de maio de 2018. Traduzindo-se num conjunto de obrigações e direitos, todas as organizações que tratem dados pessoais, sejam elas do setor público ou privado, terão de responder a estas novas exigências.
O incumprimento é rigoroso, e estabelece um quadro de aplicação uniforme e assente em dois escalões. Nos casos menos graves, a coima pode ter um valor de até 10 milhões de euros ou 2% do volume de negócios anual a nível mundial. Nos casos mais graves, a coima poderá ter um valor de até 20 milhões de euros ou 4% do volume de negócios anual.
Uma das obrigações impostas obriga as organizações a controlar as circunstâncias em que foi obtido o consentimento dos titulares dos dados quando isso for base legal do tratamento dos dados pessoais.
Quando devo recolher o consentimento
Recolhe ou trata dados pessoais de cidadãos?
Consegue provar o consentimento do titular dos dados?
Tem alguma base legal definida para o tratamento de dados pessoais?
Em seguida, são destacados alguns exemplos para o qual deve ser realizado o pedido de consentimento sobre os dados pessoais tratados por uma organização.
- Possui uma newsletter de contactos para fins de marketing? Consegue provar o consentimento dos titulares dos dados?
- Gere os aniversários dos colaboradores num ficheiro ou sistema partilhado na empresa? A data de nascimento é um dado pessoal, e portanto, também é necessário obter o consentimento.
- Marca almoços da empresa e costuma fornecer aos restaurantes algumas indicações alimentares derivado à situação médicas dos colaboradores (como p.ex., alergias)? Está a fornecer dados pessoais sem consentimento a uma terceira parte sem qualquer consentimento do titular dos dados.
- É comum encaminhar um Curriculum Vitae a fim de obter segundas opiniões? Não se esqueça de retirar o cabeçalho ou informações pessoais do candidato.
Processo de obtenção de consentimento
Para que a organização recolha o consentimento dos dados junto dos seus titulares, normalmente recorre-se a um e-mail, que informa o utilizador acerca das novas alterações face ao RGPD, e que a partir de 25 de maio, o utilizador terá de subscrever o serviço e/ou efetuar um double-opt-in para que a organização possa tratar os seus dados.
Por norma, esta comunicação acontece por e-mail, e em baixo segue um exemplar legítimo deste tipo de notificações.
Figura 1: Notificação da ONEPLUS.
Muito resumidamente, se o utilizador não subscrever não voltará a ser comunicado pelo sistema e não verá os seus dados serem tratados pela organização. Internamente, os dados serão eliminados e deverá desaparecer qualquer tipo de relação que permita perfilar um utilizador.
Porque o RGPD pode ser oportuno para os criminosos
É com naturalidade que percebemos que este tipo de campanhas poderá ser proveitosa para os ciber atacantes — ainda mais numa fase em que recebemos nas caixas de entrada do nosso e-mail dezenas de e-mails com pedidos de subscrição de newsletters ou outro tipo de serviços ao qual supostamente estamos associados.
Mas todos os e-mails recebidos serão legítimos e enviados pela organização que aparenta ser?
Embora essa divulgação seja essencial (o Artigo 7 do RGPD exige que os processadores de dados “demonstrem que o titular de dados consentiu com o processamento de seus dados pessoais”), esta vaga de comunicações por email proporciona aos cibercriminosos uma oportunidade oportuna de espalhar malware e obter dados sensíveis dos utilizadores.
Um exemplo real deste problema ocorreu recentemente com a Airbnb. Os criminosos personificaram a equipa de suporte ao cliente da Airbnb. O e-mail solicita que os clientes atualizem as suas informações pessoais e sugere mesmo clicar numa hiperligação endereçada no e-mail (é claro, uma hiperligação maliciosa).
Nesta campanha de phishing os criminosos usaram um endereço de e-mail similar ao oficial — @mail.aribnb.work (dominio malicioso) em vez de @airbnb.com.
É importante ressaltar que as notificações RGPD enviadas pelas organizações e empresas para os e-mails dos clientes não solicitam os dados de autenticação dos utilizadores. Portanto, tenha cuidado e cautela com os e-mails que recebe e tente analisar a sua natureza antes de mergulhar numa piscina contaminada.
Powered by RISEMA
Este artigo é patrocinado pela RISEMA, uma empresa da área da informática fundada em 1992, com soluções para micro, pequenas e médias empresas, e com experiência junto dos clientes na prevenção de Phishing.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.