São vários os temas relacionados à privacidade e proteção de dados que têm merecido a nossa atenção desde a promulgação da Lei Geral de Proteção de Dados (LGPD), em 2018. Entre esses temas, merece destaque o cuidado quando descartamos ou doamos equipamentos eletrônicos que podem possuir em seus registros dados pessoais, como por exemplo, nome completo, CPF, endereço, atestados e receitas médicas, fotos e contas pagas, entre outros.

Em 2018, foi promulgada a LGPD. Em 2019, nova legislação promoveu alterações com o intuito de aperfeiçoar a lei e de criar a Autoridade Nacional de Proteção de Dados (ANPD). Em 2022, o direito à privacidade e à proteção de dados pessoais foi elencado como direito fundamental, por meio da Emenda Constitucional 115/2022. Recentemente foi publicada a Medida Provisória nº 1124/2022, que transforma a Autoridade Nacional de Proteção de Dados (ANPD) em autarquia em regime especial, vinculada à Presidência da República. Isso demonstra a importância do tema para toda a sociedade.

O objetivo principal da LGPD é estabelecer direitos ao cidadão, como titular dos dados, e obrigações àqueles que, de alguma forma, como controladores ou operadores, tratam esses dados. Obviamente que obrigações geram cuidados a serem tomados, mas nem todos os cuidados necessários à segurança e privacidade dos dados são de conhecimento das pessoas físicas e jurídicas.

Nesse contexto, trazemos o caso de uma empresa que decidiu atualizar seu parque tecnológico, adquirindo novos equipamentos, e se desfez dos antigos, como por exemplo, computadores, pendrives e discos rígidos externos.

Os equipamentos sem condições de uso foram descartados e os demais foram doados às instituições filantrópicas. Como medida protetiva, a empresa formatou os discos rígidos dos computadores doados para apagar todos os dados de clientes e de seus funcionários. As instituições filantrópicas ao receberem esses computadores, verificaram que seus discos rígidos estavam “limpos”, disponibilizando-os para o uso público nas suas comunidades. Aconteceu que alguns usuários desses computadores recuperaram informações que não foram devidamente apagadas e obtiveram acesso aos dados pessoais de várias pessoas, tais como endereço, fotos, números de CPF, receitas médicas, boletos de contas pagas. Nesse cenário a violação de dados pessoais está configurada.

Embora as precauções tenham sido tomadas, não foram suficientes. Cabe esclarecer que numa simples formatação de dispositivos de armazenamento nem sempre eliminamos dados existentes, pois esse processo poderá excluir apenas os identificadores numéricos (id) desses arquivos, e a utilização de ferramentas pode recuperar esses identificadores e os arquivos podem ficar disponíveis novamente.

A solução é a sanitização dos dados dos seus equipamentos, ou seja, utilizar meios, por software ou hardware, que apaguem bit a bit os espaços de armazenamento de dados, de modo que não seja possível a recuperação parcial ou total dos dados antigos.

Para conhecimento trazemos alguns padrões de sanitização, sendo eles:

1. O método DoD 5220.22-M surgiu em 1995 e consiste na substituição de todos os locais endereçáveis por zeros binários nas duas primeiras etapas e na etapa final (terceira) substitui todos os locais endereçáveis com um padrão de bits aleatórios;
2. Algoritmo de Bruce Schneier: Consiste na gravação de “11111111” na primeira etapa, “00000000” na segunda, e um padrão de bits aleatórios nas 5 etapas subsequentes;
3. Algoritmo de Peter Gutmann: possui 35 passos de sobrescrita do disco para a exclusão de dados.
   
   

De acordo com os resultados da pesquisa de Resíduos Eletrônicos do Brasil, publicados no dia 07/10/2021 pela Agência Brasil, nosso país é o quinto maior gerador mundial de lixo eletrônico. Sendo assim, fica demonstrada a importância de que as empresas estabeleçam regras e procedimentos técnicos a serem adotados, por toda a organização, para o descarte seguro dos equipamentos, atendendo aos princípios de segurança e prevenção constantes do art. 6º da Lei Geral de Proteção de Dados Pessoais.

____________

Sobre o autor

Mario Nascimento Moreira possui graduação em Redes de Computadores e Ambiente de Internet pela Universidade Nove de Julho - UNINOVE. Cursou pós-graduação Latu Senso em Engenharia de Software pela Universidade Cidade de São Paulo - UNICID. Tem formação em Professional and Personal Coach pelo Instituto Brasileiro de Coach-IBC.

No Serpro, iniciou a carreira como Analista de Sistemas em 2004, em São Paulo. Exerceu atividades na área de desenvolvimento, processos de negócio, e corregedoria. Atualmente atua na Superintendência de Privacidade e Proteção de Dados Pessoais.

Bibliografia

Academia de forense digital. Sanitização de Mídias de Armazenamento de Dados. Disponível em: < https://academiadeforensedigital.com.br/sanitizacao-de-midias-de-armazenamento-de-dados/ >. Acesso em: 18 Mar 2022.

Agência Brasil. Brasil é o quinto maior produtor de lixo eletrônico. Disponível em: < https://agenciabrasil.ebc.com.br/geral/noticia/2021-10/brasil-e-o-quinto-maior-produtor-de-lixo-eletronico > Acesso em: 24 março 2022

Academia de forense digital. Sanitização de Mídias de Armazenamento de Dados. Disponível em: < https://academiadeforensedigital.com.br/sanitizacao-de-midias-de-armazenamento-de-dados/ >. Acesso em: 18 Mar 2022.

Agência Brasil. Brasil é o quinto maior produtor de lixo eletrônico. Disponível em: < https://agenciabrasil.ebc.com.br/geral/noticia/2021-10/brasil-e-o-quinto-maior-produtor-de-lixo-eletronico > Acesso em: 24 março 2022