Geral

ATAQUE HACKER AO STJ E A LGPD

No dia 3 de novembro de 2020, o judiciário alarmou-se com a invasão e sequestro de seus dados feita por hacker em seus sistemas. Como resultado, tais fatos expõem uma vulnerabilidade que recai não apenas sobre a sociedade, mas sobre órgãos públicos que deveriam ser impenetráveis. Assim, vamos analisar a situação do ataque hacker ao STJ e a LGPD, bem como suas implicações.

Para quem ainda não tomou conhecimento, o Superior Tribunal de Justiça (STJ) confirmou que foi alvo de um hacker que criptografou dados e o obrigou a suspender sessões e prazos. Os fatos são realmente graves.

Além disso, o hacker pediu resgate pelas informações criptografadas. A título de esclarecimento, tal operação chama-se ransonware (quando um software malicioso infecta um computador e envia mensagens exigindo o pagamento para o restabelecimento de um sistema).

Nesse ínterim, os fatos são graves e nos fazem pensar: os demais dados pessoais de todos que já recorreram ao judiciário estão a mercê de pessoas como essa? O que o judiciário tem feito para a proteção de nossos dados? Sob o mesmo ponto de vista, onde a LGPD entra nessa história?

LGPD E OS PROCESSOS JUDICIAIS

De acordo com o artigo 7.º da LGPD, pode se realizar o tratamento de dados pessoais na hipótese de exercício regular de direitos em processo judicial, administrativo ou arbitral.

Além disso, no que toca aos dados sensíveis, o exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral configura hipótese de dispensa de fornecimento do titular para tratamento dos dados.

Não questionamos, é certo, a necessidade da utilização de tais dados, mas sobretudo, levantamos a preocupação com a proteção que se dá a eles. Afinal, o potencial lesivo recai sobre todos nós.

O que o Judiciário tem feito em respeito à LGPD?

ATAQUE HACKER AO STJ E A LGPD

Da recomendação 73/20 do CNJ

A recomendação 73/20 traz orientações para adequação de todos os órgãos do Poder Judiciário à LGPD. Por exemplo, recomenda a criação de grupos de trabalho para estudo e identificação das medidas necessárias à implementação da LGPD.

Assim, a partir da identificação de tais medidas, o CNJ formulará a política nacional para os tribunais e Conselhos de Justiça. Espera-se que o faça sem demora.

Bem assim, recomendou-se a formulação de um plano de ação que abarque as questões fundamentais atinentes à proteção de dados pessoais, a saber:

  • Organização e comunicação;
  • Direitos do titular dos dados;
  • Gestão de consentimento;
  • Retenção de dados;
  • Cópia de segurança;
  • Contratos;
  • Plano de respostas a incidentes de segurança.

Além disso, recomendou-se que os órgãos do judiciário disponibilizem, na internet, de forma ostensiva e facilmente acessível as seguintes diretrizes:

  • Informações básicas sobre a aplicação da Lei Geral de Proteção de Dados aos tribunais, incluindo os requisitos para o tratamento legítimo de dados, as obrigações dos controladores e os direitos dos titulares;
  • Formulário para exercício de direitos dos titulares de dados pessoais;

Mais ainda, recomendou-se a elaboração, adequação e publicação da política de privacidade para navegação no website da própria instituição.

Por fim, recomendou-se a publicação dos registros de tratamentos de dados pessoais contendo, entre outras, informações sobre:

  • Finalidade do tratamento;
  • Base legal;
  • Descrição dos Titulares;
  • Categorias de Dados;
  • Categorias de Destinatários;
  • Transferência Internacional;
  • Prazo de Conservação
  • Medidas de Segurança Adotadas;
  • Política de Segurança da Informação.

Em síntese, as recomendações são claras e oportunas; mas fica a dúvida: há efetividade?

Quem responderia pelo evento danoso no STJ?

ATAQUE HACKER AO STJ E A LGPD

A LGPD, em seu artigo 43, II, traz hipótese em que o agente de tratamento de dados não responde pelo dano. Trata-se do caso em que ele operou legitimamente dentro de suas atribuições, sem violar a LGPD.

Assim, há uma liberação da responsabilidade do agente em caso de não haver violação à legislação de proteção de dados.

No entanto, o agente deverá provar que agiu legitimamente e que o ataque ou vazamento foi inevitável.

E como se prova?
ATAQUE HACKER AO STJ E A LGPD

Conforme já discorremos em posts anteriores, medidas como a elaboração de um DPIA de qualidade podem esclarecer que o agente fez tudo o que era possível no caso concreto.

Além do mais, a disponibilização de bons relatórios, boas práticas e governança atenuam a responsabilização.

Mas o ataque de hacker não é caso fortuito ou força maior?
ATAQUE HACKER AO STJ E A LGPD

Não. A mera invasão por hacker não é capaz de afastar integralmente a responsabilidade do agente.

A questão é que a invasão tende a se relacionar com alguma espécie de deficiência de proteção do sistema. Assim, é difícil desvincular completamente a conduta de um operador de dados diante da ação de um invasor.

Em conclusão, cabe aos agentes do Judiciário a implementação de medidas preventivas. Bem assim, é sua responsabilidade a utilização de tecnologia adequada, considerando as informações manipuladas.

Considerações Finais

hacker

Diante dos fatos que envolvem o STJ, a certeza é uma só: o hacker teve acesso a uma grande quantidade de dados pessoais, incluindo os servidores e ministros do STJ.

Ocorre que, em razão da inércia do Poder Público – e nisso há que se considerar o estado de calamidade pública de saúde que vivemos – as pessoas estão em um limbo de proteção. Isso porque, de um lado estão protegidas pela lei e, de outro, carentes de recursos práticos aos quais se socorrer.

Talvez a seriedade dos fatos recentes resulte em mais do que recomendações do Conselho Nacional de Justiça e, mais do que isso, inspire um suporte maior do Poder Executivo sobre o tema, em especial, estruturação institucional a rigor.

Concluindo, é urgente a necessidade de preencher as lacunas legais e editar instruções protetivas da garantia da confiança dos indivíduos na coleta de dados pelo judiciário. É o mínimo que se espera de uma democracia que zela por suas instituições.

Se você gostou desse artigo, leia também “LGPD e o direito à imagem”.

Se desejar, você pode ler a LGPD na íntegra clicando aqui,

Até a próxima.

Write A Comment