Os 10 Maiores Riscos de Privacidade (de acordo com o OWASP)

Histórico do OWASP Top 10 Riscos de Privacidade 

O OWASP é uma fundação sem fins lucrativos cujo intuito é produzir materiais no campo da segurança de aplicações web e softwares. Uma das iniciativas do OWASP foi o lançamento do projeto OWASP Privacy Risks em 2014 que indicou, através de pesquisas realizadas, quais eram os 10 maiores riscos de privacidade percebidos naquela época, mediante um cálculo aritmético da frequência em que determinadas situações aconteciam multiplicada pelo impacto de sua ocorrência. Em 2016, o OWASP publicou a lista das contramedidas indicadas para cada um dos riscos percebidos. 

No entanto, tais listas foram publicadas em um momento anterior à entrada em vigor da GDPR e também da LGPD (bem como de várias outras leis de privacidade que surgiram ao redor do mundo desde então), motivo pelo qual essa lista acaba de ser atualizada para a sua nova versão, o OWASP Top 10 Privacy Risks 2021. 

É possível perceber como o mundo mudou de lá pra cá e quais os maiores riscos de privacidade encontrados em um cenário em que este tema é cada vez mais difundido e debatido.  

Vejamos quais são os 10 maiores riscos identificados pelo OWASP Top 10 Privacy Risks 2021:  

P1 – Vulnerabilidades de aplicações Web 

Assim como no ranking de 2014, a vulnerabilidade de aplicações web permanece em primeiro lugar e é o maior risco de privacidade percebido pelo OWASP. 

Sistemas que tratam ou protegem dados confidenciais dos usuários estão sujeitos a conterem vulnerabilidades que podem ser exploradas por atacantes e causar danos inestimáveis aos titulares de dados pessoais. Como mencionado pelo próprio OWASP, “a falha em projetar e implementar adequadamente um aplicativo, detectar um problema ou aplicar imediatamente uma correção (patch) provavelmente resultará em uma violação de privacidade”. 

P2 – Vazamento de dados pelo lado do operador 

Da mesma forma que o item acima, o risco de vazamento de dados pelo operador permanece no 2º lugar da lista, assim como identificado em 2014. Esses vazamentos podem ocorrer por situações como violação maliciosa intencional ou erro não intencional, por exemplo causados ​​por controles de gerenciamento de acesso insuficientes, armazenamento inseguro, duplicação de dados ou falta de conscientização dos colaboradores do operador. 

O controlador deve exigir que os operadores adotem medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, bem como que possuam um plano de respostas a incidentes e os comuniquem ao controlador, caso ocorram, em tempo hábil. A falha em evitar incidentes de segurança envolvendo qualquer dado pessoal ou informação que esteja relacionada a dados pessoais, para qualquer parte não autorizada pode resultar na perda da confidencialidade, integridade e/ou disponibilidade dos dados. 

É por isso que controladores de dados pessoais devem escolher bem as empresas que irão integrar a sua cadeia de fornecedores e, consequentemente, operar dados pessoais, bem como amarrar contratualmente as obrigações de cada uma das partes. 

 P3 – Resposta de violação de dados insuficiente 

Até o momento, o top 3 permanece o mesmo de 2014. A falta de respostas adequadas a incidentes de segurança envolvendo dados pessoais ainda é um dos maiores riscos de privacidade percebidos pelo OWASP. 

As organizações devem adotar medidas de segurança, técnicas e administrativas aptas a evitar e/ou remediar adequadamente tais situações (além de corrigir as falhas percebidas), bem como devem possuir mecanismos de comunicação à Autoridade Nacional de Proteção de Dados e aos titulares afetados sobre uma possível violação ou vazamento de dados, resultante de eventos intencionais ou não, que possa acarretar risco ou dano relevante aos titulares. 

P4 – Consentimento em Tudo / Problemas para obter Consentimento 

Este é um novo risco percebido, não integrante da lista de 2014 e já estreia diretamente no 4º lugar da lista de 2021.  

O consentimento é uma das hipóteses de tratamento mais debatidas pelos profissionais de privacidade e se sabe que sua definição é ser uma manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. 

Sendo assim, as autorizações genéricas (consentimento universal) para o tratamento de dados pessoais e o desvio de finalidade da coleta são considerados nulos.  

Além disso, o titular tem o direito de revogar o consentimento a qualquer momento mediante manifestação expressa, por procedimento gratuito e facilitado. 

P5 – Políticas, acordos, termos e condições não transparentes 

Este risco permanece no 5º lugar da lista. Uma das principais obrigações das empresas é fornecer transparência ao titular sobre o tratamento de seus dados pessoais, e para isso é que servem as políticas, acordos, termos e condições. 

No entanto, não fornecer informações suficientes sobre quais são os canais de coleta de dados, características do tratamento, hipóteses legais aplicáveis e direitos do titular pode ser entendido como uma violação às legislações de privacidade e proteção de dados pessoais. Além disso, essas informações devem ser facilmente acessíveis pelo titular (e não estarem fragmentadas), bem como devem ser compreensíveis por pessoas sem formação em Direito. 

P6 – Exclusão insuficiente de dados do titular 

Anteriormente no 4º lugar da lista, a exclusão insuficiente de dados dos titulares caiu para o 6º lugar.  

De acordo com a LGPD, o titular de dados pessoais tem o direito de solicitar a eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a Lei, ou daqueles dados tratados com o seu consentimento (neste caso, excetuadas as hipóteses de autorização da conservação prevista no art. 16). 

As organizações devem ser capazes de eliminar os dados pessoais após o término do tratamento, que pode se dar quando: i) verificar-se que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada; ii) ocorreu o fim do período de tratamento; iii) mediante comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento ou iv) por determinação da autoridade nacional. 

A falha na exclusão efetiva e/ou oportuna de dados pessoais após o término do tratamento é um risco à privacidade. 

 P7 – Qualidade de dados insuficiente 

A lista de 2014 previa que o 8º maior risco à privacidade eram os dados pessoais desatualizados. Este item agora ocupa o 7º lugar na lista e é mais abrangente, englobando a qualidade dos dados como um todo (e não apenas a sua desatualização). 

A LGPD estabelece como um de seus princípios a garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento. 

Sendo assim, as organizações devem evitar ao máximo o uso de dados do usuário desatualizados, incorretos ou falsos e a falha em atualizar ou corrigir os dados é um dos 10 maiores riscos à privacidade percebidos pelo OWASP. 

P8 – Expiração de Sessão Ausente ou Insuficiente 

Anteriormente na 9ª posição da lista, este item agora encontra-se no 8º lugar da lista de 2021. As organizações devem definir expirações de sessões e tempos limite de inatividade dos usuários. 

A Falha em aplicar efetivamente o encerramento da sessão pode resultar na coleta de dados adicionais do titular sem o seu consentimento ou até mesmo conhecimento. Aplicativos de instituições financeiras são famosos por utilizar tempo limite de inatividade para expiração de sessão.  

P9 – Impossibilidade dos titulares de acessar e modificar dados 

A impossibilidade de os usuários acessarem e modificarem seus dados pessoais é o risco classificado em 9º lugar (anteriormente em 13º). Um dos princípios mais importantes da LGPD é o do livre acesso, que estabelece o dever de ser fornecida a garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento. 

O titular tem direito de ter a confirmação de existência ou o acesso aos seus dados pessoais mediante requisição em formato simplificado, imediatamente ou por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular. 

Portanto, se a empresa não viabilizar aos titulares os direitos de acessar, alterar ou excluir dados a eles relacionados (quando permitido pela lei), estará violando um direito do titular.  

P10 – Coleta de dados desnecessários para a finalidade consentida pelo usuário 

Anteriormente posicionada em 6º lugar no top 10 riscos de privacidade, a coleta de dados desnecessários para a finalidade consentida pelo titular agora encontra-se agora em 10º lugar. O princípio da adequação previsto na LGPD estabelece que deve haver compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento, ao passo que o princípio da necessidade estabelece que deve existir limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados. 

Dessa forma, coletar dados pessoais que não sejam necessários para os propósitos apresentados ao titular (principalmente se não foram consentidos por ele) é um risco de privacidade que deve ser combatido pelas organizações.  

Outros riscos de privacidade identificados 

Além dos 10 riscos principais mencionados acima, o OWASP também possui outros 10 em sua tabela, totalizando 20 principais riscos à privacidade. Vale a pena saber quais são para mantê-los no radar, pois apenas porque não fazem parte do top 10 mencionado acima, não significa que não devam ser atacados, mitigados e monitorados. Eles são os seguintes: 

P11 Modelo de estrutura de dados insuficiente para lidar com os direitos do titular (novo na lista), P12 Compartilhamento de dados com terceiros (anteriormente na 7º posição), P13 Políticas, termos e condições inadequados (anteriormente na 11ª posição), P14 Transferência de dados insegura (anteriormente na 10ª posição), P15 Transferência ou processamento por meio de terceiros (anteriormente na 12ª posição), P16 Conteúdo enganoso (permanecendo na 16ª posição), P17  Coleta de dados sem consentimento (anteriormente na 14ª posição), P18 Agregação de dados e criação de perfis/profiling (anteriormente na 19ª posição), P19 Utilizações secundárias (anteriormente na 18ª posição) e P20 Problemas de design de campos de formulário (permanecendo na 20ª posição).