Marcio Villanova é CEO da Ecobraz, com mais de 16 anos de experiência em logística reversa e reciclagem, sendo um dos pioneiros do setor no Brasil.
SÃO PAULO – Um fenômeno silencioso, operando nas sombras dos departamentos de Tecnologia da Informação e Facilities, tem se tornado a maior vulnerabilidade jurídica para grandes corporações no Brasil. Enquanto gestores focam seus esforços em firewalls lógicos e proteção contra ataques externos (ransomware), a integridade física dos dados está sendo comprometida dentro de casa, no momento mais crítico do ciclo de vida dos ativos: o descarte.
Investigações forenses realizadas em processos de ITAD (IT Asset Disposition) revelam um padrão alarmante: uma parcela significativa dos equipamentos eletroeletrônicos enviados para a manufatura reversa chega às plantas de tratamento "canibalizada". O termo técnico refere-se à violação física do ativo para a subtração de componentes de alto valor agregado e liquidez no mercado paralelo, especificamente processadores, pentes de memória RAM e, o mais grave, unidades de armazenamento de dados (HDs e SSDs).
A "canibalização" não deve ser confundida com o reaproveitamento legítimo de peças (harvesting), que ocorre mediante processo documentado. Trata-se de um ato ilícito, geralmente perpetrado por colaboradores internos ou prestadores de serviços terceirizados que têm acesso físico ao almoxarifado de desmobilizados. Sabendo que os equipamentos foram baixados contabilmente (write-off) e estão destinados à "sucata", esses atores removem componentes críticos, acreditando que a ausência não será notada pelo reciclador, que supostamente avaliaria o lote apenas por peso.
O impacto financeiro dessa subtração, embora relevante, é irrisório comparado ao passivo de segurança. Um pente de memória DDR4 furtado representa uma perda de hardware de algumas centenas de reais. Um SSD M.2 NVMe furtado, contudo, representa o extravio de Terabytes de propriedade intelectual, dados financeiros, segredos industriais e dados pessoais de clientes e colaboradores protegidos pela Lei Geral de Proteção de Dados (Lei 13.709/2018).
"O diretor acredita que descartou um notebook seguro. Na prática, ele descartou apenas uma carcaça plástica e uma placa-mãe. O 'cérebro' da máquina, contendo todo o histórico da empresa, saiu no bolso de alguém e agora está sendo vendido em marketplaces ou na Santa Ifigênia", alerta o corpo técnico de auditoria da Ecobraz.
Sob a ótica do Direito Digital e Ambiental, a responsabilidade pelo dado não cessa quando o equipamento é desconectado da rede. O Artigo 42 da LGPD estabelece que o controlador ou operador que causar dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. A responsabilidade é, em muitos casos, solidária e objetiva.
Quando um componente de armazenamento é furtado internamente e acaba sendo revendido no mercado cinza sem a devida sanitização (Wiping) ou destruição física, a empresa geradora perdeu a Cadeia de Custódia. Se esse dispositivo for adquirido por terceiros e os dados forem recuperados – uma tarefa trivial para softwares forenses gratuitos –, a origem do vazamento será rastreada até o CNPJ original através de números de série e metadados de arquivos.
Além da esfera digital, há a violação da Política Nacional de Resíduos Sólidos (Lei 12.305/2010). Componentes eletrônicos desviados do fluxo legal de manufatura reversa inevitavelmente acabam em aterros sanitários comuns após o fim de sua vida útil no mercado paralelo, gerando contaminação por metais pesados e passivo ambiental para o gerador, que falhou em garantir a destinação final ambientalmente adequada de 100% da massa do produto.
Especialistas em segurança da informação classificam esse fenômeno como uma vertente física da Shadow IT (TI das Sombras). O perigo reside na invisibilidade. O caminho típico de um SSD furtado segue um roteiro de alto risco:
Um erro comum de gestão é confiar que a formatação simples realizada pelo suporte técnico antes do descarte é suficiente. Processos de formatação padrão (Quick Format) apenas apagam a tabela de alocação de arquivos, mantendo os dados binários intactos nos pratos magnéticos (HDD) ou células de memória (SSD/Flash). Sem um processo de Desmagnetização (Degaussing) ou Trituração Mecânica (Shredding) certificado, a recuperação desses dados é viável.
Quando o ativo é furtado antes de chegar a uma planta de destruição certificada como a da Ecobraz, essa camada final de segurança física nunca acontece. O dado permanece latente, esperando para ser extraído.
Para combater a canibalização interna, as corporações devem adotar uma postura de "Auditoria Forense" em seus processos de desmobilização. Não se trata mais de logística de resíduos, mas de transporte de valores e ativos de informação.
Os procedimentos recomendados pela norma ABNT NBR 16156 e pelos padrões internacionais de segurança (NIST 800-88) incluem:
A Ecobraz implementou em suas operações um protocolo de "Triagem de Integridade". Diferente de sucateiros convencionais que pagam por peso e ignoram a composição, a Ecobraz atua como uma auditora externa do processo de descarte do cliente.
Ao identificar lotes canibalizados, a Ecobraz notifica o departamento de Compliance do cliente, permitindo que a empresa inicie investigações internas para estancar o vazamento de hardware e dados. Além disso, o processo de destruição segura oferecido pela Ecobraz garante que, para os ativos que chegam íntegros, a eliminação do dado seja definitiva, com emissão de Laudo Técnico e Certificado de Destruição em conformidade com a ISO 14001 e normas de segurança da informação.
A proteção da marca e a mitigação de riscos jurídicos exigem que o descarte seja tratado com a mesma seriedade da aquisição. O custo operacional de uma logística reversa técnica e auditada é infinitamente menor do que o custo de uma multa por vazamento de dados ou o dano reputacional de ver segredos da empresa expostos publicamente.
Para garantir que sua operação de encerramento de ciclo (End-of-Life) esteja segura e auditada, é fundamental contar com parceiros que entendam a engenharia de riscos envolvida. O Agendamento de Coleta Técnica da Ecobraz é o primeiro passo para fechar essa porta de vulnerabilidade.
O mercado de "mineração urbana" atrai muitos atores informais focados apenas no valor da commodity. No entanto, para o Diretor de TI e para o DPO, o foco deve ser a blindagem do passivo. A canibalização interna é um sintoma de processos de controle frouxos que precisam ser revistos imediatamente. Em um mundo regido pela LGPD, não existe "lixo". Existe ativo sob custódia até a sua destruição molecular comprovada.
Empresas que ignoram a integridade física de seus resíduos eletrônicos estão, na prática, terceirizando sua segurança para a sorte. E no cenário atual de crimes cibernéticos e espionagem industrial, a sorte não é uma estratégia de defesa válida.
Este dossiê técnico foi elaborado pela equipe de inteligência e compliance da Ecobraz, visando a educação do mercado corporativo sobre os riscos tangíveis da gestão inadequada de ativos de TI. Para soluções de financiamento de operações complexas de logística reversa, conheça também o modelo do Ecobraz Carbon Token.
