Virtus Junxit Mors Non Seperabit

Sugestões para preparar sua empresa para a nova lei de proteção de dados no Brasil

Brasil se junta a diversos países do mundo, que já possuem legislação sobre o tema. O projeto agora vai a sanção do presidente Michel Temer

O plenário do Senado aprovou ontem (10/7) o Projeto de Lei número 53, da Câmara, que disciplina a proteção dos dados pessoais e define as situações em que estes podem ser coletados e tratados tanto por empresas quanto pelo Poder Público. O texto foi aprovado nos termos do conteúdo votado na Câmara dos Deputados no fim de maio.

Com isso, o Brasil se junta a diversos países do mundo, que já possuem legislação sobre o tema. O projeto agora vai a sanção do presidente Michel Temer.

Vaine Luiz Barreira, especialista em segurança da informação e atualmente gestor da área na itbox.online, destaca que, com a nova Lei Geral de Proteção de Dados (LGPD), as empresas deverão ter cuidado com a coleta, armazenamento e processamento de dados pessoais como nome, endereço, identidade, localização, endereço IP, cookies e também dados sensíveis, como origem racial ou étnica, convicções religiosas, opiniões políticas, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos. Saiba mais: 10 mitos sobre o GDPR, novo regulamento de proteção de dados da Europa

E MAIS:
>8 coisas que você precisa saber sobre a lei de proteção de dados brasileira

O executivo destaca também que, caso a lei de fato seja aprovada, as empresas terão o prazo de 18 meses para adequar processos e controles a fim de garantir a segurança dos dados. "A lei prevê multas de até 2% do faturamento ou R$ 50 milhões em casos de vazamentos de dados ou outros descumprimentos. A nova lei também inclui um capítulo específico sobre governança de dados, o qual aborda as normas de segurança, as ações educativas e os mecanismos internos de supervisão e de mitigação de riscos, além da necessidade de um plano de resposta a incidentes e remediação", diz.

Barreira listou cinco recomendações para que empresas se preparem para a nova lei:

1. Busque aconselhamento jurídico sobre os impactos na sua empresa

2. Adote um programa de segurança da informação, revise controles e processos existentes

3. Faça um mapeamento dos dados sensíveis e estabeleça níveis de proteção

4. Elabore um programa de conscientização e educação dos colaboradores

5. Integre as áreas jurídica, de segurança da informação e TI para compartilhamento de informações

Imprimir Email

Enfim, uma Lei Geral de Proteção de Dados

Mesmo diante de tantas leis setoriais, há anos se discutia no Brasil um marco legal em proteção de dados pessoais

Acaba de ser aprovado, também no Senadoo PLC n. 53/2018, que agora segue para sanção presidencial.

Nos EUA, há leis federais setoriais, todas com mais de 20 anos, como o Health Insurance Portability and Accountability Act (1996), o Electronic Communications Privacy Act (1986), o Video Privacy Protection Act (1988), o Children's Online Privacy Protection Act (1998), com a relevância do Federal Trade Comission Act, que na sua sessão 5 proíbe atividades comerciais desleais ou enganosas e impõe notificações e práticas razoáveis de segurança da informação, sendo a FTC o órgão federal fiscalizador e sancionador.

Já na Europa, o assunto precede, e muito, o GDPR, recente regulamento que passou a ter sua eficácia plena em 25.05.18, após 02 (dois) anos de vacatio legis, e serviu como base para a Lei brasileira, assim como já é utilizado em fundamentação para decisões por tribunais brasileiros. Em 1983, a Suprema Corte da Alemanha, no denominado Julgamento do Censo, estabeleceu uma verdadeira Magna Carta em termos de proteção de dados, pela primeira vez reconhecendo-o como direito fundamental, declarando que o cidadão tem direito a "autodeterminação informacional", de modo que ele possa, em princípio, decidir sobre a divulgação e o uso de seus dados pessoais.

A Carta de Direitos Fundamentais de 2002, da União Europeia, em seu art. 8º, dispõe que todos têm o direito de proteção de dados, devendo ser processados de forma justa para fins específicos e com base no consentimento ou em alguma outra base legítima estabelecida por lei.

No Brasil, além da nossa Constituição Federal, já tínhamos ao menos 30 (trinta) legislações setoriais que permeavam o assunto, como o Código de Defesa do Consumidor, o Código Civil, a Lei do Cadastro Positivo, o Marco Civil da Internet, apenas para citar alguns exemplos.

Porém, mesmo diante de tantas leis setoriais, há anos se discutia no Brasil um marco legal em proteção de dados pessoais, diante da sua relevância para o nosso país, principalmente para trazer maior segurança jurídica mediante a harmonização de conceitos, elevando a proteção aos direitos individuais das pessoas e ao fomento da economia digital, bem como, com um nível de legislação compatível com outros países, da facilitação ao fluxo de transferência internacional de dados.

E finalmente estamos sendo brindados com a Lei Geral de Proteção de Dados brasileira (LGPD). Vejamos os principais pontos:

Aplicação extraterritorial: aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que a operação de tratamento seja realizada no território nacional; a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou os dados pessoais objeto do tratamento tenham sido coletados no território nacional.

Princípios do tratamento: 

·  Finalidade: para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

·  Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

·  Necessidade: limitação do tratamento ao mínimo necessário para a realização das suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

·  Transparência: informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

·  Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; e

·  Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

o  Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

o  Responsabilização e prestação de contas: demonstração pelo agente da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais, inclusive da eficácia das medidas;

o  Livre acesso: consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade dos seus dados pessoais;

o  Qualidade dos dados: exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.

Definições relevantes: 

·  Dado pessoal: informação relacionada à pessoa natural identificada ou identificável;

·  Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

·  Titular: a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

·  Responsável: a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

·   Operador: a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do responsável;

·  Agentes do tratamento: o responsável e o operador.

Requisitos taxativos para o tratamento: 

·   Consentimento:

o  Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

o  Por escrito ou por outro meio que demonstre a manifestação de vontade do titular. Se for fornecido por escrito, este deverá constar de cláusula destacada das demais;

o  Deverá referir-se a finalidades determinadas e serão nulas as autorizações genéricas para o tratamento de dados pessoais;

o  Será considerado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca;

o  Se houver mudanças da finalidade para o tratamento de dados pessoais não compatível com o consentimento original, o titular deverá ser informado sobre as mudanças de finalidade, podendo revogar o consentimento, caso discorde das alterações;

o  Quando o tratamento for condição para o fornecimento de produto ou de serviço ou para o exercício de direito, o titular será informado com destaque sobre esse fato e sobre os meios pelos quais poderá exercer seus direitos;

o  Pode ser revogado a qualquer momento, mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob o amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação;

o  É dispensada a exigência do consentimento para os dados tornados manifestamente públicos pelo titular.

·  Legítimo interesse:

o  Para atender aos interesses legítimos do responsável ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;

o  Somente poderá ser fundamentado para finalidades legítimas, consideradas a partir de situações concretas, que incluem o apoio e a promoção de atividades do responsável e, em relação ao titular, a proteção do exercício regular de seus direitos ou a prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele;

o  Somente o tratamento de dados pessoais estritamente necessários para a finalidade pretendida;

o  Mediante a adoção de medidas para garantir a transparência do tratamento de dados baseado no seu legítimo interesse;

o  Órgão competente poderá solicitar relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento o seu interesse legítimo, observados os segredos comercial e industrial.

·  Cumprimento de obrigação legal ou regulatória pelo responsável;

·  Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas;

·  Estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

·  Execução de contrato ou de procedimentos preliminares relacionados a contrato do qual é parte o titular, a pedido do titular dos dados;

·  Exercício regular de direitos em processo judicial, administrativo ou arbitral;

·   Proteção da vida ou da incolumidade física do titular ou de terceiro;

·   Tutela da saúde, com procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; ou

·   Proteção do crédito.

Dados sensíveis: dados pessoais sobre a origem racial ou étnica, as convicções religiosas, as opiniões políticas, a filiação a sindicatos ou a organizações de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural, com hipóteses de tratamento mais restritas.

Dados anonimizados: dados pessoais relativos a um titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

·  Porém, somente serão considerados dados pessoais, para os fins da Lei, quando o processo de anonimização for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido;

·  A determinação do que seja razoável deve levar em consideração fatores objetivos, tais como custo e tempo necessário para reverter o processo de anonimização, de acordo com as tecnologias disponíveis, e a utilização exclusiva de meios próprios;

·  Poderão ser igualmente considerados como dados pessoais, para os fins da Lei, aqueles utilizados para a formação do perfil comportamental de uma determinada pessoa natural, se identificada;

·  Órgão competente poderá dispor sobre padrões e técnicas utilizadas em processos de anonimização e realizar verificações acerca de sua segurança.

Direitos do titular: tem direito a obter do responsável, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:

·  A confirmação da existência de tratamento e o acesso aos dados. Quando o tratamento tiver origem no consentimento do titular ou em contrato, o titular poderá solicitar cópia eletrônica integral dos seus dados pessoais, observado os segredos comercial e industrial, em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento;

·  A correção de dados incompletos, inexatos ou desatualizados;

·   A anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a Lei. Neste caso, o responsável deverá informar imediatamente aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento;

·  A portabilidade dos dados pessoais a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, não incluindo dados que já tenham sido anonimizados pelo responsável;

·   A eliminação dos dados pessoais tratados com o consentimento do titular;

·   A informação das entidades públicas e privadas com as quais o responsável realizou o uso compartilhado de dados;

·   A informação sobre a possibilidade de não fornecer o consentimento e sobre as consequências da negativa;

·    A revogação do consentimento.

Tratamento automatizado: o titular dos dados tem direito a solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, inclusive as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo, de crédito ou os aspectos de sua personalidade.

·   O responsável deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial;

·    Em caso de não oferecimento de referidas informações, órgão competente poderá realizar auditoria para verificação de aspectos discriminatórios em tratamento automatizados.

Relatório de impacto à proteção de dados pessoais: documentação do responsável que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

·   O órgão competente poderá:

o  Solicitar o relatório, quando o tratamento tiver como fundamento o seu interesse legítimo, observados os segredos comercial e industrial; e

o  Determinar ao responsável que elabore o relatório, inclusive de dados sensíveis, referente às suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.

·  O relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para sua coleta e para a garantia da segurança das informações, bem como a análise do responsável com relação às medidas, salvaguardas e mecanismos de mitigação de risco adotados.

Data Protection Officer (Encarregado): pessoa natural, indicada pelo responsável, que atua como canal de comunicação entre o responsável e os titulares e o órgão competente.

·  É obrigatório e o responsável deverá indicar um encarregado pelo tratamento de dados pessoais;

·   Órgão competente poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados;

·   A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, preferencialmente no sítio eletrônico do responsável;

·   Atividades do encarregado:

o  Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

o  Receber comunicações do órgão competente e adotar providências;

o  Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

o  Executar as demais atribuições determinadas pelo responsável ou estabelecidas em normas complementares.

Security by Design:  o tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais: o modo pelo qual é realizado; o resultado e os riscos que razoavelmente dele se esperam; as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.

·  Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;

·  Órgão competente poderá dispor sobre padrões técnicos mínimos, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados sensíveis;

·   As medidas deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução;

·   Qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação;

·    Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança, aos princípios gerais previstos na Lei e às demais normas regulamentares.

Comunicação em casos de incidentes: o responsável deverá comunicar ao órgãocompetente e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

·   A comunicação será feita em prazo razoável, conforme definido pelo órgão competente;

·    Deverá mencionar, no mínimo:

o  A descrição da natureza dos dados pessoais afetados;

o  As informações sobre os titulares envolvidos;

o  A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;

o  Os riscos relacionados ao incidente;

o  Os motivos da demora, no caso de a comunicação não ter sido imediata; e

o  As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

·   Órgão competente verificará a gravidade do incidente e poderá, caso necessário, determinar ao responsável a adoção de providências, tais como:

o  Ampla divulgação do fato em meios de comunicação; e

o  Medidas para reverter ou mitigar os efeitos do incidente.

·    No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los.

Governança Corporativa:  os responsáveis e operadores poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

·  Levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados de titular;

·  O responsável, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados, a probabilidade e a gravidade dos danos para os titulares dos dados, poderá:

o  Implementar programa de governança em privacidade que, no mínimo:

§ Demonstre o comprometimento do responsável em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;

§ Seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo em que se realizou sua coleta;

§ Seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;

§ Estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;

§ Tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;

§ Esteja integrado à sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;

§ Conte com planos de resposta a incidentes e remediação; e

§ Seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;

o  Demonstrar a efetividade de seu programa de governança em privacidade quando apropriado, e, em especial, a pedido do órgão competente ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta.

·   As regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pelo órgão competente;

·   Órgão competente estimulará a adoção de padrões técnicos que facilitem o controle pelos titulares dos seus dados pessoais.

Transferência internacional: transferência de dados pessoais para um país estrangeiro ou organização internacional da qual o país seja membro, que somente é permitida nos seguintes casos:

·   Para países ou organizações internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na Lei, mediante avaliação pelo órgão competente, que levará em consideração:

o  As normas gerais e setoriais da legislação em vigor no país de destino ou na organização internacional; a natureza dos dados; a observância dos princípios gerais de proteção de dados; a adoção de medidas de segurança previstas em regulamento; a existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados; e as outras circunstâncias específicas relativas à transferência.

·  Quando comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na lei, com definição do seu conteúdo por órgão competente, na forma de:

o  Cláusulas contratuais específicas para uma determinada transferência;

o  Cláusulas-padrão contratuais;

o  Normas corporativas globais;

o  Selos, certificados e códigos de conduta regularmente emitidos;

·  Para cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;

·   Para a proteção da vida ou da incolumidade física do titular ou de terceiros;

·   Quando o órgão competente autorizar a transferência;

·    Quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;

·    Para a execução de política pública ou atribuição legal do serviço público;

·   Com consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades.

Crianças e adolescentes: o tratamento deverá ser realizado no seu melhor interesse, com o consentimento específico e em destaque dado por pelo menos um dos pais ou responsável legal, mediante todos os esforços razoáveis para verificar que o consentimento foi dado pelo responsável pela criança ou adolescente, consideradas as tecnologias disponíveis.

Autoridade Nacional de Proteção de Dados: o órgão competente, integrante da administração pública federal indireta, submetido a regime autárquico especial e vinculado ao Ministério da Justiça.

·  Será composta pelo Conselho Diretor, como órgão máximo, e pelo Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, além das unidades especializadas para a aplicação desta Lei;

·  É caracterizada por independência administrativa, ausência de subordinação hierárquica, mandato fixo e estabilidade de seus dirigentes e autonomia financeira;

·   O regulamento e a estrutura organizacional serão aprovados por decreto do Presidente da República;

·    O Conselho Diretor será composto por 3 (três) conselheiros e decidirá por maioria;

·    Atribuições, entre outras:

o  Zelar pela proteção dos dados pessoais, nos termos da legislação;

o  Zelar pela observância dos segredos comercial e industrial em ponderação com a proteção de dados pessoais e do sigilo das informações;

o  Elaborar diretrizes para Política Nacional de Proteção de Dados Pessoais e da Privacidade;

o  Fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;

o  Atender petições de titular contra responsável;

o  Promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;

o  Promover estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;

o  Estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais;

o  Promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;

o  Dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, observado o respeito aos segredos comercial e industrial;

o  Editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, assim como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco para a garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei;

o  Ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante, assim como prestar contas sobre suas atividades e planejamento.

·   Receitas, entre outras:

o  O produto da execução da sua dívida ativa;

o  As dotações consignadas no orçamento geral da União, os créditos especiais, os créditos adicionais, as transferências e os repasses que lhe forem conferidos;

o  As doações, legados, subvenções e outros recursos que lhe forem destinados;

o  O produto da cobrança de emolumentos por serviços prestados;

o  Os recursos provenientes de acordos, convênios ou contratos celebrados com entidades, organismos ou empresas, públicos ou privados, nacionais e internacionais;

o  O produto da venda de publicações, material técnico, dados e informações, inclusive para fins de licitação pública.

Conselho Nacional:

·   Será composto por 23 (vinte e três) representantes titulares, e seus suplentes, dos seguintes órgãos:

o  6 (seis) representantes do Poder Executivo federal;

o  1 (um) representante indicado pelo Senado Federal;

o  1 (um) representante indicado pela Câmara dos Deputados;

o  1 (um) representante indicado pelo Conselho Nacional de Justiça;

o  1 (um) representante indicado pelo Conselho Nacional do Ministério Público;

o  1 (um) representante indicado pelo Comitê Gestor da Internet no Brasil;

o  4 (quatro) representantes da sociedade civil com atuação comprovada em proteção de dados pessoais;

o  4 (quatro) representantes de instituição científica, tecnológica e de inovação; e

o  4 (quatro) representantes de entidade representativa do setor empresarial afeto à área de tratamento de dados pessoais.

·   Mandato de 2 (dois) anos, permitida 1 (uma) recondução;

·    Será considerada atividade de relevante interesse público, não remunerada;

·    Funções:

o  Propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e de atuação da Autoridade Nacional de Proteção de Dados;

o  Elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade;

o  Sugerir ações a serem realizadas pela Autoridade;

o  Realizar estudos e debates sobre a proteção de dados pessoais e da privacidade; e

o  Disseminar o conhecimento sobre proteção de dados pessoais e da privacidade à população em geral.

Responsabilidades

·   O responsável ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo;

·   O operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação ou quando não tiver seguido as instruções lícitas do responsável, hipótese em que o operador equipara-se a responsável;

·   Os responsáveis que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente;

·   Há possibilidade de inversão do ônus da prova a favor do titular dos dados quando for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa;

·   Aquele que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso;

·   Exceções, que impedem a responsabilização:

o  Não realizaram o tratamento de dados pessoais que lhes é atribuído;

o  Não houve violação à legislação;

o  O dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.

protecaodedados

Sanções administrativas:

·   Aplicáveis pelo órgão competente, independentemente de outras sanções administrativas, civis ou penais definidas em legislação específica. São elas:

o  Advertência, com indicação de prazo para adoção de medidas corretivas;

o  Multa simples ou diária, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 por infração.

§ No cálculo do referido valor, o órgão competente poderá considerar o faturamento total da empresa ou grupo de empresas, quando não dispuser do valor do faturamento no ramo de atividade empresarial em que ocorreu a infração, definido pelo órgão competente, ou quando o valor for apresentado de forma incompleta ou não for demonstrado de forma inequívoca e idônea;

§ Deverá observar a gravidade da falta e a extensão do dano ou prejuízo causado e ser fundamentado pelo órgão competente;

§ A intimação deverá conter, no mínimo, a descrição da obrigação imposta, o prazo razoável e estipulado pelo órgão para o seu cumprimento e o valor da multa diária a ser aplicada pelo seu descumprimento.

o  Publicização da infração após devidamente apurada e confirmada a sua ocorrência;

o  Bloqueio de dados pessoais a que se refere a infração até a sua regularização;

o  Eliminação dos dados pessoais a que se refere a infração;

o  Suspensão parcial ou total de funcionamento de banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período até a regularização da atividade de tratamento pelo responsável;

o  Suspensão do exercício de atividade de tratamento de dados pessoais a que se refere a infração pelo período máximo de 6 meses, prorrogáveis por igual período; e

o  Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

·   Serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios:

o  A gravidade e a natureza das infrações e dos direitos pessoais afetados;

o  A boa-fé do infrator;

o  A vantagem auferida ou pretendida pelo infrator;

o  A condição econômica do infrator;

o  A reincidência;

o  O grau do dano;

o  A cooperação do infrator;

o  A adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano;

o  A adoção de política de boas práticas e governança;

o  A pronta adoção de medidas corretivas; e

o  A proporcionalidade entre a gravidade da falta e a intensidade da sanção.

·  Órgão competente definirá, por meio de regulamento próprio sobre sanções administrativas a infrações a Lei que deverá ser objeto de consulta pública, as metodologias que orientarão o cálculo do valor-base das sanções de multa.

o  As metodologias a que se refere a disposição acima, devem ser previamente publicadas, para ciência dos agentes de tratamento, e devem apresentar objetivamente as formas e dosimetrias para o cálculo do valor-base das sanções de multa, que deverão conter fundamentação detalhada de todos os seus elementos.

o  O regulamento de sanções e metodologias correspondentes deve estabelecer as circunstâncias e as condições para a adoção de multa simples ou diária.

Tratamento pelo poder público: há capítulo próprio contendo as regras para tratamento de dados pessoais pelo poder público.

Vacatio Legis: 18 (dezoito) meses de sua publicação oficial.

Assim, finalmente o Brasil conta com uma robusta legislação em termos de proteção de dados pessoais, o que possivelmente aprimorará o desenvolvimento tecnológico, práticas de negócios, crescimento do mercado digital e ao mesmo tempo proteção aos dados pessoais dos cidadãos em nosso país.

Ademais, um cuidado que se deve ter, é que a Autoridade de Proteção de Dados, sob pena de ausência de confiança do mercado, priorize um engajamento construtivo com a indústria, no seguinte sentido:

·   Em vez de inquisição e sanção, dar prioridade ao diálogo, apoio, mutua cooperação, orientação, conscientização e informação;

·   Estimular relações abertas e construtivas com negócios que lidem com dados pessoais, primando pela boa-fé das empresas e nos seus esforços em cumprir a lei;

·   Criação de ambientes para inovações responsáveis, como “Regulatory Sandboxes”, nos quais novos projetos são testados em atmosferas controladas visando avaliar eventuais e futuras necessidades regulatórias, conforme o caso, mas a posteriori;

·  Empresas que se esforcem em agir de forma responsável, sejam encorajadas a demonstrar seus programas de privacidade, segurança da informação, códigos de conduta e gerenciamento de risco, visando gerar o reconhecimento do mercado por suas boas práticas, incluindo certificações, entre outros padrões de accountability;

·  As sanções devem ser a ultima ratio, principalmente e somente quando houver alguma violação dolosa, ou práticas exponencialmente negligentes, condutas reiteradas ou extremamente graves.

Portanto, é com grande satisfação que vejo aprovação da nossa LGPD, que traz um equilíbrio entre interesses sociais e econômicos, entre o público e o privado, entre liberdade, proteção e segurança, buscando tutelar, ao mesmo tempo, a proteção de dados pessoais, a dignidade da pessoa humana, a privacidade, a honra e a imagem das pessoas, assim como a livre iniciativa e o uso econômico dos dados, de forma legítima, séria, responsável, proporcional e razoável.

(*) Rony Vainzof é sócio do Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados, Mestre em Soluções Alternativas de Conflitos, Coordenador e Professor da Pós Graduação em Direito Eletrônico da Escola Paulista de Direito e Diretor do Departamento de Defesa e Segurança da FISP

Imprimir Email

Blockchain: O que é seguro hoje pode não ser amanhã

Tecnologia é precoce em seu desenvolvimento e investimentos de longo prazo podem ser arriscados, alerta o Gartner

Há diversos mitos e expectativas infladas em torno de Blockchain, devido ao entendimento incompleto das funcionalidades e vulnerabilidades dessa tecnologia. Na opinião do Gartner, a tecnologia ainda tem muito a oferecer, para muitas indústrias, de instituições financeiras a entidades de governo, além de todo o negócio digital. No entanto, com a promessa surgem os riscos.

"Executivos de segurança e gerenciamento de riscos (SRM) precisam ter um olhar crítico não apenas sobre os possíveis benefícios de Blockchain, mas também para as ameaças", diz Mark Horvath, Diretor de Pesquisa do Gartner. "Se considerar o uso de um modelo multicamadas de segurança Blockchain, os riscos são claros ao negócio, em níveis técnicos e criptográficos".

Na opinião da consultoria, como muitas organizações visam capitalizar os benefícios do Blockchain, executivos de segurança e gerenciamento de riscos precisam garantir que seu envolvimento nos processos de planejamento. Sua principal responsabilidade será definir, estruturar, recomendar e implementar as melhores práticas de segurança para mitigar o risco organizacional. No entanto, com a tecnologia relativamente nova no empreendimento, os executivos precisarão extrair as melhores práticas de certa variedade de fontes.

"Uma das forças do Blockchain é que ela usa tecnologias estabelecidas para construir propriedades de criptografia comuns, como a identidade e integridade para um documento com alteração dinâmica", explica Horvath. "A tecnologia pode ser considerada como um protocolo – e como tal, precisa suportar um processo de negócio existente ou necessário, do mesmo jeito que o protocolo HTTP suporta o e-commerce", acrescenta.

Segundo o analista, "garantir que o Blockchain faça sentido para o negócio é a prioridade. Empreendimentos deveriam assegurar que a implementação da tecnologia estimule ou crie iniciativas de negócios digitais que, de outra forma, não poderiam ser reconhecidos".

Tendo decidido que o Blockchain pode resolver os problemas de negócios, as empresas precisam analisar se há necessidade de uma tecnologia pública, na qual todos podem participar, ou de uma tecnologia privada, na qual apenas membros selecionados têm acesso, ou até mesmo um modelo hibrido que combine características dos dois formatos. Adicionalmente, muitas tecnologias Blockchain operam dentro de um contexto de negócios que inclui diversos outros grupos ou organizações que formam um consórcio como os modelos praticados pelo governo.

blockchain

O Gartner destaca que Blockchain depende de network, da empresa e de terceiros – e do software do cliente. Ambos têm histórias de longa data sobre compromissos, segurança e falha humana. Portanto, faz sentido olhar para essas camadas e planejar como recuperar informações se algo der errado. Blockchain pública pode estar mais exposta, mas problemas similares também podem surgir nos modelos privados.

Códigos privados podem ser administrados tanto em software quanto por smart cards, mas ambos requerem certo nível de manutenção e proteção para mantê-los em segurança. Isso está adicionado a já mencionada questão de gerenciamento de network. Se um projeto com Blockchain envolve bens físicos – dinheiro ou carga, por exemplo-, será fundamental para o sucesso da empresa o entendimento de como traduzir dados provenientes dessa tecnologia ou de smart contracts para um processo físico será fundamental.

Sabe-se que algoritmos hash, considerados seguros nos dias atuais, podem, em alguns anos, serem considerados arriscados. O SHA-1 é um bom exemplo de algoritmo hash amplamente usado que perdeu força com o tempo e foi substituído.

O Gartner espera um período de forte consolidação das tecnologias Blockchain e plataformas. "Esteja preparado para uma rotatividade na tecnologia e pronto para momentos críticos de segurança", diz Horvath. "Isso irá possibilitar aos executivos de SRM elaborar métodos de resiliência no centro das abordagens de segurança e risco".

Imprimir Email

O melhor software antivírus? Kaspersky, Symantec e Trend Micro lideram

Ameaças zero day cosntumam passam pela proteção antivírus, dando-lhe uma má reputação. No entanto, os antivírus do Windows ainda desempenham papel importante na estratégia de segurança corporativa

O AV-TEST Institute testou recentemente os produtos antivírus mais populares do Windows 10 em três critérios principais: proteção, desempenho e usabilidade. Os produtos que obtiveram as classificações mais altas em todas as três áreas foram o Kaspersky Lab Endpoint Security 10.3, o Symantec Endpoint Protection 14.0, o Endpoint Protection Cloud 22.11 e o Trend Micro Office Scan 12. 

Um infográfico da AV-Test Institute resume os resultados, juntamente com os dados de teste anteriores do Windows 7 e do Windows 8. 

antivirus

Por que o melhor software antivírus pode não ser suficiente

O antivírus tradicional baseado em assinaturas é notoriamente ruim para impedir ameaças mais recentes, como malware e ransomware zero day, mas ainda assim tem um lugar nas empresas, dizem os especialistas, como parte de uma estratégia de proteção de segurança de terminais. Os melhores produtos antivírus atuam como a primeira camada de defesa, impedindo a grande maioria dos ataques de malware, deixando o software de proteção de endpoints mais amplo com uma carga menor para lidar.

De acordo com uma pesquisa entre os participantes do Black Hat deste ano, 73% acreditam que o antivírus tradicional é irrelevante ou obsoleto. "A percepção dos recursos de bloqueio ou proteção do antivírus certamente diminuiu", diz Mike Spanbauer, vice-presidente de estratégia e pesquisa da NSS Labs, Inc.

Muitas pesquisas recentes apoiam esse ponto de vista. Em dezembro de 2017, a empresa de segurança WatchGuard Technologies divulgou os resultados de um teste abrangente de antivírus tradicionais. Eles calcularam o desempenho de um produto antivírus tradicional líder em detectar ameaças zero day observando clientes que tinham antivírus tradicionais e produtos de proteção de endpoint de última geração instalados. O antivírus tradicional detectou 9.861.318 variantes de malware, mas perdeu 3.074.534 outras que foram capturadas por uma plataforma de próxima geração que usava uma abordagem baseada em comportamento. Essa é uma taxa de falha de cerca de 24%.

O produto antivírus tradicional era da AVG Technologies, um produto bem revisado. De fato, em um relatório divulgado no final de 2017 pela AV Comparatives, a AVG obteve 99,6% das amostras testadas, tornando-se um dos dez principais produtos no mercado.

O antivírus é particularmente ruim na captura de ransomware, uma das maiores ameaças que as empresas enfrentam. Em uma pesquisa realizada em março de 2017 com 500 organizações, o fornecedor anti-phishing KnowBe4 descobriu que apenas 52% das empresas conseguiram impedir um ataque simulado de ransomware. Para o resto, o ransomware foi capaz de superar as defesas antivírus.

Uma nova ameaça chamada Process Doppelganging aproveita a capacidade do recurso de transações no sistema de arquivos NTFS do Windows. O malware executa operações em arquivos que os tornam invisíveis para o software de segurança. "Do ponto de vista técnico, [nossa] pesquisa mostra que os mecanismos de verificação de arquivos corretos são difíceis de acertar e, especificamente, que o tratamento correto das transações é ainda mais difícil", diz Udi Yavo, pesquisador da enSilo, que descobriu o Process Doppelganging. 

"No entanto, acho que a principal conclusão desta pesquisa é que ter uma única linha de defesa não é suficiente, e às vezes até mesmo pequenos truques podem levar a desvios, mesmo em produtos maduros. As empresas devem migrar para soluções que possam bloquear ataques em cenários pré e pós-execução ”, diz Yavo.

O NSS Labs também está executando testes de ferramentas de proteção de terminais tradicionais e de próxima geração. Em suas últimas rodadas de testes, a empresa concentrou-se apenas em fornecedores que possuem recursos avançados de detecção. No ano passado, quando os testes incluíram também fornecedores exclusivos, os produtos tradicionais tiveram um desempenho ruim. 

O problema é agravado se as novas ameaças forem projetadas para se espalhar rapidamente em uma empresa e causar o máximo de danos o mais rápido possível, e agravadas novamente se as empresas atrasarem o lançamento de atualizações de antivírus. Além disso, a quantidade de malware está crescendo exponencialmente, de acordo com o AV-TEST, portanto, mesmo que um determinado produto tenha uma alta taxa de detecção, mais e mais malwares, em termos absolutos, passarão despercebidos. Além disso, se os invasores perceberem que um determinado tipo de malware está sendo processado, eles poderão duplicá-lo.

Esses quatro fatores combinados ajudaram a impulsionar o recente ransomware WannaCry para mais de 400 mil dispositivos infectados e o potencial impacto financeiro total de até US$ 8 bilhões. Isso não significa que o antivírus tradicional seja completamente obsoleto. Ele ainda tem um lugar na empresa, dizem os especialistas, porque é muito eficaz em identificar e bloquear ameaças conhecidas de maneira rápida, eficiente e com mínima intervenção humana. Além disso, o antivírus tradicional é uma exigência de conformidade em alguns setores.

ransomware

O caso do antivírus tradicional

Uma empresa que não tem escolha sobre o uso de antivírus tradicionais é a National Mortgage Insurance Corp, sediada em Emeryville, na Califórnia. “Nossos clientes são bancos e muitos exigem um antivírus tradicional baseado em assinaturas como parte da defesa que oferecemos", diz Bob Vail, diretor de segurança da informação da empresa.

A Sophos, fornecedora de antivírus da empresa, tem um bom histórico de detecção e é muito leve, diz ele. Isso faz com que seja uma boa primeira rodada de defesa, mas Vail diz que sabe que não é suficiente. 

A empresa também possui um segundo nível de proteção para proteger contra o malware que passa, um sistema baseado em comportamento da enSilo. Os dois produtos funcionam bem juntos, diz Vail. "Se um vírus conhecido cair, a Sophos colocará o arquivo em quarentena antes que ele tenha a chance de ser executado", diz ele. "Mas as coisas que passam, o enSilo vai processá-las, então é uma defesa clássica em profundidade."

O antivírus tradicional é um bom complemento às tecnologias mais recentes, como as que envolvem análise de comportamento, sandbox e Machine Learning. As ferramentas mais avançadas podem exigir mais capacidade de processamento, o que pode reduzir a velocidade dos computadores. Se o produto executar testes comportamentais ou outros em ameaças potenciais antes de permitir o acesso do usuário, isso poderá afetar a produtividade. Se o produto permite que as ameaças passem, para realizar testes separadamente, o malware tem uma janela de oportunidade para obter acesso aos sistemas corporativos.

Finalmente, quando uma nova ameaça é detectada, um trabalho adicional é necessário para mitigar a ameaça e gerar assinaturas para proteger contra a ameaça no futuro. "O primeiro nível de defesa será sempre algum tipo de defesa baseada em assinaturas", diz Raja Patel, VP de produtos corporativos da McAfee LLC. 

Sem essa seleção inicial baseada em assinaturas, as empresas terão que gastar muito mais tempo, esforço e dinheiro para lidar com todas as ameaças que surgem, diz ele. "Você pode imaginar quanto uma equipe de segurança teria que suportar". Se uma ameaça pode ser capturada e interrompida imediatamente, é a opção mais barata. "O antivírus baseado em assinatura economiza o esforço humano e reduz os falsos positivos e os atrasos de tempo", diz ele. "É uma primeira camada fantástica e será por muito tempo".

Ferramentas tradicionais de última geração estão convergindo

À medida que a indústria amadurece, as empresas poderão obter o pacote completo de ferramentas de proteção contra malware de um único fornecedor, se ainda não o fizerem. Os fornecedores de antivírus tradicionais estão adicionando recursos de próxima geração, enquanto os fornecedores de próxima geração estão incluindo proteções baseadas em assinatura em suas suítes.

A startup de segurança Endpoint CrowdStrike, por exemplo, lançou sua plataforma Falcon tudo-em-um há três anos, permitindo que clientes como o Centro de Estudos Estratégicos e Internacionais, um think tank de Washington, DC, conseguissem tudo em um só lugar. "Nós já tínhamos o CrowdStrike e confiamos nele como parte da segurança de endpoint", diz Ian Gottesman, CIO da organização. "Estender essa solução para incluir antivírus foi vantajoso para o CSIS. Eu recomendaria que qualquer outra organização fizesse o mesmo."

De acordo com uma pesquisa divulgada em 2017 pelo SANS Institute, cerca de 95% dos entrevistados esperam ver a proteção antivírus incluída em sua solução de endpoint de próxima geração. Os fornecedores de antivírus tradicionais também não estão à margem.

Em vez disso, muitos estão comprando ou construindo as ferramentas da próxima geração que podem ajudar a capturar os ataques que recebem defesas baseadas em assinaturas. "O antivírus será extinto nos próximos anos, a menos que seja capaz de evoluir", afirma Luis Corrons, diretor técnico do PandaLabs na Panda Security, um fornecedor tradicional de antivírus. "Nós da Panda temos plena consciência disso."

A empresa tem invstido na detecção de malware baseada em comportamento há vários anos, mas mesmo isso não é suficiente. Muitas violações de segurança bem sucedidas não envolvem nenhum software malicioso, diz ele. "Para deixar bem claro, um antivírus tradicional é inútil contra esses ataques, já que não há malware envolvido", diz ele. Por exemplo, os invasores podem aproveitar o software não malicioso existente.

A empresa lançou recentemente novas ferramentas para monitorar o comportamento de todos os aplicativos ativos em uma empresa. "Isso nos permite ter total visibilidade do que está acontecendo em nossa rede", diz ele.

A McAfee também acrescentou novas camadas de proteção, diz Patel. "As defesas baseadas em assinaturas irão protegê-lo depois que você souber sobre as ameaças, mas elas não protegerão o paciente zero e o período de tempo após a infecção", diz ele. "Adicionamos dois novos recursos de proteção no ano passado -  Machine Learning e contenção dinâmica de aplicativos".

Mas algumas empresas ainda confiam apenas no antivírus tradicional
As taxas de infecção por ransomware mostram que muitas empresas ainda não possuem proteção adequada de endpoint. De acordo com uma pesquisa da IBM , quase metade de todas as empresas foram vítimas de ransomware em 2016, com 70% delas decidindo pagar o resgate.

As pequenas empresas também são atingidas. Uma pesquisa de 2017, realizada peloInstituto Ponemon mostrou que 51% das pequenas e médias empresas sofreram um ataque de ransomware, mas, apesar disso, 57% disseram que eram "muito pequenas" para serem alvos de ransomware.

De acordo com um relatório de maio de 2017, da VIPRE Security, 48% dos gerentes de TI e pequenas e médias empresas dizem que uma empresa de seu porte não precisa de segurança de endpoint com recursos avançados de defesa contra malware.

Isso é um erro, diz Spanbauer, da NSS Labs. Há tantas boas opções disponíveis no mercado hoje, e preços muito competitivos, que nenhuma empresa deveria estar usando antivírus baseado em assinatura, diz ele. "Não há um argumento de preço ou proteção que possa ser feito para tornar o antivírus tradicional a primeira escolha ou a recomendação preferida para qualquer ambiente específico." Uma proteção mais abrangente é mais fácil de encontrar do que nunca, com até mesmo produtos básicos oferecendo controles avançados, acrescenta. "É difícil encontrar um produto antivírus estritamente exclusivo para assinatura atualmente."

Imprimir Email

Você confia totalmente na Microsoft com o GitHub?

Com a aquisição do GitHub pela Microsoft, os usuários precisam decidir se deixam seus códigos no repositório ou movem cópias de backup para o GitLab

Há muito desconforto nas interwebs, já que mais de 28 milhões de desenvolvedores serão afetados pela aquisição do GitHub pela Microsoft. Alguns podem estar lidando bem com isso, mas você pode ter certeza que nem todos estão.

O CEO da Microsoft, Satya Nadella, tentou afastar qualquer temor dizendo: “A Microsoft é, primeiro, uma empresa que desenvolve e, ao unir forças com o GitHub, fortalecemos nosso compromisso com a liberdade, abertura e inovação dos desenvolvedores. Reconhecemos a responsabilidade da comunidade que assumimos com este acordo e faremos o nosso melhor trabalho para capacitar cada desenvolvedor a construir, inovar e resolver os desafios mais prementes do mundo. ”

O GitHub manterá seu etos desenvolvedor e operará de forma independente para fornecer uma plataforma aberta para todos os desenvolvedores em todos os setores. Os desenvolvedores continuarão a poder usar as linguagens de programação, ferramentas e sistemas operacionais de sua escolha para seus projetos - e ainda poderão implementar seu código em qualquer sistema operacional, qualquer nuvem e qualquer dispositivo.

Antes mesmo de o negócio ser concluído, o GitLab aumentava dez vezes o número normal diário de códigos movidos para os seus repositórios.

Estamos vendo um aumento de 10x a quantidade diária normal de repositórios #movingtogitlab https://t.co/7AWH7BmMvM Estamos ampliando nossa frota para tentar nos manter atualizados. Siga o progresso em https://t.co/hN0ce379SC e @movingtogitlab - GitLab (@gitlab) 3 de junho de 2018

Esta semana, depois que a Microsoft anunciou oficialmente que estava comprando o GitHub por US $ 7,5 bilhões em ações da Microsoft, os repositórios importados dispararam.

Agora, com certeza, a Microsoft não é a mesma empresa de anos atrás quando abominava código aberto - quando o CEO Steve Ballmer chamou o código aberto de “câncer”. Isso foi algo apontado em 2014, quando o funcionário da Microsoft Scott Hanselman explicou que algumas pessoas que odeia a Microsoft o fazem com “raiva geracional”. Ele apontou várias maneiras pelas quais a empresa mudou ao colocar código-fonte no GitHub, abrir partes de .Net, Azure e Visual Studio .

Desde que o drama Microsoft-buys-GitHub começou, algumas pessoas lembram como a Microsoft “arruinou” o Skype quando o adquiriu por US $ 8,5 milhões em 2011. Na mesma linha de pensamento, outros apontam como a Microsoft lidou com o LinkedIn após a aquisição de US $ 26,2 em 2016.

github

A Microsoft mudou, mas você confia?

Mas o The Wall Street Journal acredita que, ao comprar o GitHub, a antiga reputação da Microsoft finalmente será abandonada. A empresa tem sua mão na RedHat , juntou - se à Linux Foundation, abriu o PowerShell e disponibilizou-a no Linux, trabalhou com a Canonical para executar o Ubuntu no Windows e é um dos principais contribuidores do GitHub .

Se você olhar para o passado recente, desde que Nadella se tornou CEO, a Microsoft parece ter mudado muito. Supondo que você odiava Microsoft em um ponto, e que você não pode, agora, a questão é:  Mas você pode confiar nela?

O especialista em segurança, Dr. Vesselin Bontchev, sugeriu que seria sensato ter cópias de backup de seu trabalho transferidas para o GitLab.

Qualquer pessoa que tenha projetos "cinzentos" no GitHub (prevenção de censura, explorações, ferramentas de ataque, malware governamental, etc.) deve fazer uma cópia deles no GitLab.

Não estou dizendo "Não use o GitHub"; Estou dizendo "Tenha uma cópia de reserva para o caso de a Microsoft decidir remover seu código".

- Vess (@VessOnSecurity) 4 de junho de 2018Como diz @ErrataRob , as ferramentas de combate à censura provavelmente serão as primeiras a sair, porque a China tem influência sobre a Microsoft.

Apesar do que a maioria pensa, eles provavelmente não tocarão nas PoCs.

Provavelmente, não tocarão em malware existente, mas os futuros serão inúteis.

- Vess (@VessOnSecurity) 5 de junho de 2018

Dos cerca de 85 milhões de repositórios do GitHub, alguns pertencem a concorrentes da Microsoft, como Amazon e Google, para citar apenas alguns grandes nomes. Concorrentes da Microsoft provavelmente vão deixar GitHub, mas você vai embora Microsoft jure que quer ser amigos com os desenvolvedores?

(*) Smith (nome fictício) é uma escritora e programadora freelancer com um interesse especial e um pouco pessoal em questões de privacidade e segurança de TI

Imprimir Email

Pesquisar

Visualizações

Ver quantos acessos teve os artigos
188761

On-Line

Temos 35 visitantes e Nenhum membro online