575 segundos
Nos últimos anos, o público passou a despertar interesse para a valorização de seus dados pessoais. O crescimento da mídia social, o fluxo contínuo de violações de dados, bem como o escândalo do Facebook Cambridge Analytica, destacou o quanto nossos dados pessoais estão disponíveis on-line e como podem ser mal utilizados.
Os dados se tornaram um ativo valioso, não apenas para ganho monetário, mas também para seu uso em campanhas, inclusive para assédio e intimidação. Isso tem se tornado cada vez mais aparente com o crescimento do doxxing.
O que é doxxing?
Pense, por exemplo, na clássica história de João e Maria, a madrasta desprezava as duas crianças e usou a fome para manipular o pai a abandoná-los na floresta, alegando que havia bocas demais para alimentar .
João soube do plano da madrasta e usou migalhas de pão para deixar um rastro na estrada. Depois de serem abandonados na floresta, João e Maria simplesmente precisaram seguir a trilha de migalhas de pão para reencontrar o caminho de volta para casa.
Bem, apesar de ser uma história infantil dos Irmãos Grimm, o uso das migalhas de pão para encontrar o retorno do caminho para casa tornou-se marcante na imaginação popular. Usar migalhas de pão como essas é uma metáfora e uma tática usada por muitas pessoas mal-intencionadas ao tentar hackear alguém.
O que uma história infantil tem a ver com cibersegurança é que a maioria de nós não nos atentamos para as informações compartilhadas na internet. Deixamos na rede uma trilha de migalhas que um cibercriminoso pode usar para descobrir nossa identidade e, em seguida, implantar uma série de ataques maliciosos. Isso chama-se doxxing.
O termo “doxxing” (ou doxing) vem da expressão em inglês “dropping dox” e deriva de uma palavra de hacker para “documentos” que se tornou “docs” e assim “dox” – ou seja, rastreio de documentos. É conhecido como um ataque on-line no qual hackers (ou “doxxers”) utilizam informações pessoais e documentos para expor as identidades de pessoas que desejam permanecer anônimas ou não desejam a exposição.
Essa prática, que se desenvolveu principalmente com o advento da Internet, consiste em pesquisar e publicar informações pessoais sobre alguém. Embora na maioria dos casos a busca por essas informações e a publicação partem de uma má intenção, por vezes podem ser utilizadas para lançar o alerta sobre uma pessoa ou uma prática. Esse ato é, portanto, uma nova forma de violência na Internet.
Doxxing é o ato de revelar publicamente informações pessoais sem a permissão do indivíduo, seja para constrangê-lo, expô-lo ou assediá-lo. Tornou-se uma séria ameaça on-line à privacidade. Embora raro para muitos, o doxxing pode ser um assunto assustador e potencialmente perigoso.
Pelo prisma dos atentados à personalidade o doxxing pode, pois, ser considerado como uma violação à privacidade, violação aos direitos humanos e à coleta, tratamento e divulgação de dados pessoais sem o consentimento do interessado ou sem autorização legal.
O Cyberbullying Research Center ressalta que o doxxing normalmente envolve alguém que coleta as informações pessoais privadas das vítimas e, então, dissemina estas informações ao público sem a permissão do titular. Assim, pode ser considerada doxxing a publicação de informações de todos os tipos, como fotos, os dados pessoais da vítima a fim de torná-los totalmente acessíveis e identificáveis, número de celular, números de cartão de crédito ou informações de contas bancárias, endereço de e-mail, identidade por trás de um pseudônimo, comentários, discurso de ódio, etc.
Protegendo o direito à privacidade contra doxxing
Doxxing ganhou destaque especial em Hong Kong, por existir um registro acessível ao público contendo informações pessoais de todos os eleitores registrados. O registro é projetado para que os eleitores verifiquem sua elegibilidade e o distrito eleitoral pertencente. Com isso, um documento de discussão publicado este ano pelo Personal Data (Privacy) Ordinance (“PDPO”) em conjunto com o Gabinete do Comissário de Privacidade de Dados Pessoais (“PCPD”) oferece um roteiro para a reforma necessária do PDPO com o objetivo de fortalecer a proteção de dados pessoais em Hong Kong.
O Instituto para os Assuntos Constitucionais e do Continente publicou um documento (Documento LC n.º CB (2) 512 / 19-20 (03)) para discussão no Painel do Conselho Legislativo sobre Assuntos Constitucionais, reunido em 20 de janeiro de 2020.
Nessa discussão, emendas inovadoras foram propostas às leis de proteção de dados existentes em Hong Kong , as quais incluem:
a) Mecanismo de Notificação de Violação de Dados Obrigatória;
b) Novos poderes para a comissão de privacidade de impor multas administrativas por contravenções;
c) Aumento dos requisitos de transparência em relação à retenção de dados, em que o período de retenção para tipos de dados específicos precisa ser divulgado;
d) Regulamentação direta sobre os processadores de dados, que agora estariam sujeitos a obrigações sobre a retenção e segurança de dados pessoais, e notificação de violações sem atrasos indevidos;
e) Esclarecimento da definição de dados pessoais, que seria expandido para incluir informações relacionadas a uma pessoa identificável;
f) Regulamento de divulgação de dados pessoais de outros titulares de dados, com poderes para a comissão obrigar a remoção de conteúdos doxxing de plataformas ou sites, e proceder com a investigação criminal e ação penal.
Essas emendas podem parecer familiares, uma vez muitas dessas propostas refletem disposições do General Data Protection Regulation (“GDPR”) que entrou em vigor em 2018 e, de fato, o próprio documento de discussão em comento reconhece que se referiu ao GDPR e outras jurisdições comparáveis ao formular suas propostas. Ou seja, a referência ao GDPR é bem-vinda.
As alterações propostas oferecem uma oportunidade valiosa para atualizar as leis de proteção de dados de Hong Kong, para refletir os padrões internacionais e para aplicar as lições aprendidas na implementação de outras leis de proteção de dados em outras partes do mundo.
Portanto, no cenário brasileiro, a Lei Geral de Proteção de Dados Pessoais (“LGPD”) é uma lei que possibilita proteger os dados pessoais, como fotos, endereço de e-mail, número de telefone ou informações pessoais que identifiquem o indivíduo. E, dessa forma, esta lei estabelece, dentre outras diretrizes, os requisitos para o tratamento de dados pessoais elencados do artigo 7º ao 15 da lei e, sempre em observação aos seus princípios legais.
Abordar essas questões tranquiliza os titulares dos dados e proporciona certeza regulatória aos usuários dos dados. Ademais, as organizações estão cada vez mais sendo hackeadas, não apenas por criminosos que desejam roubar números de cartão de crédito ou informações de contas para cometer fraudes, mas por pessoas que pretendem roubar o máximo de dados possível para publicá-los ou vende-los.
Por isso, destacamos a importância da conformidade com as leis de proteção de dados pelas organizações como forma de segurança e dar exemplo de como tratar os dados responsavelmente.
Como posso evitar doxxing?
Existem algumas estratégias que você pode seguir para diminuir as chances de ser vítima de doxxing. A chave é estar atento ao que você posta em sites de mídia social e painéis de mensagens. Aqui estão algumas dicas a seguir:
Altere suas configurações de privacidade: torne suas postagens em sites e mídia social privadas para que apenas pessoas selecionadas possam vê-las. Dessa forma, você escolhe quem pode ter acesso e ver quais dados estão sendo compartilhados sobre você.
Use o mínimo de informações pessoais possível: ao se inscrever em plataformas de mídia social, tente minimizar o fornecimento dos seus dados pessoais, como sua data de nascimento, cidade natal, escolaridade, informações sobre contas bancárias, números de cartão de crédito ou dados de contato devem ser evitadas ao serem compartilhadas.
Use uma Rede Privada Virtual (“VPN”): Inscrever-se em uma rede privada virtual, ou VPN, pode ajudar a proteger suas informações privadas. Uma VPN é um software que altera seu endereço IP e criptografa todo o tráfego da Internet. Quando você se conecta à Internet fazendo login primeiro em uma VPN, seu endereço IP real fica oculto. Isso significa que os hackers não serão capazes de minerar este endereço para sua localização ou outras informações de identificação.
Esteja alerta para e-mails de phishing: Doxxers podem usar golpes de phishing para induzi-lo a revelar seu endereço residencial, dados demográficos ou até mesmo senhas. Tenha cuidado sempre que receber uma mensagem que supostamente vem de uma fonte não confiável solicitando suas informações pessoais.
Considerações finais
A Internet não é tão segura e privada quanto você pode pensar. Sua identidade on-line tem muitos olhares observando-a, todos ansiosos para colocar as mãos em seus dados e informações particulares. É melhor aplicar todas as medidas de segurança que foram discutidas acima para evitar ameaças cibernéticas graves, como doxxing.
A fluência na proteção de dados também permite que organizações liderem pelo exemplo a ser mostrado no mercado ao valorarem a privacidade e demonstrem uma alternativa ao atual modelo de exploração de dados em larga escala, através da privacidade como diferenciador, algo não verificado, ainda, por muitas empresas. Ou seja, apesar de situações detratoras como o doxxing, a conformidade com as leis de proteção de dados pessoais, a exemplo da LGPD, é, sem dúvida, o melhor ponto para começar a lidar com eventuais danos decorrentes da exploração de dados pessoais, principalmente para empresas e atividades comerciais que utilizam massivamente desses dados.
O tratamento de dados não deve ser considerado algo que impossibilite as atividades empresariais, porém, por causa dos problemas de roubo de identidade, doxxing ou perda de dados, a segurança e o controle das informações confidenciais são uma necessidade que precisa ser observada pelas empresas.
Portanto, destacamos a LGPD, que tem uma abordagem holística para a proteção de informações pessoais e oferece aos indivíduos o direito à autodeterminação informativa. Para os usuários de dados e organizações, há muito a ganhar em estar bem informado e em conformidade sobre as mudanças dispostas na LGPD.
¹ GRIMM, J. & GRIMM, W. João e Maria. In: TATAR, M. & BORGES, M. L. X. (tradução). Contos de fadas: edição comentada e ilustrada. Rio de Janeiro: Jorge Zahar Editora, 2004.
² HINDUJA, Sameer. Doxing and Cyberbullying. Disponível em:
³ Review of the Personal Data (Privacy) Ordinance. Disponível em: < https://www.legco.gov.hk/yr19-20/english/panels/ca/agenda/ca20200120.htm>.Acesso em 06 out. 2020.
5 Phishing é uma técnica de crime cibernético usada para obter informações confidenciais, como informações de identificação pessoal, dados bancários e de cartão de crédito e senhas, através de invasores que se disfarçam de uma entidade confiável para coletarem os dados.