No dia 3 de novembro de 2020, o judiciário alarmou-se com a invasão e sequestro de seus dados feita por hacker em seus sistemas. Como resultado, tais fatos expõem uma vulnerabilidade que recai não apenas sobre a sociedade, mas sobre órgãos públicos que deveriam ser impenetráveis. Assim, vamos analisar a situação do ataque hacker ao STJ e a LGPD, bem como suas implicações.
Para quem ainda não tomou conhecimento, o Superior Tribunal de Justiça (STJ) confirmou que foi alvo de um hacker que criptografou dados e o obrigou a suspender sessões e prazos. Os fatos são realmente graves.
Além disso, o hacker pediu resgate pelas informações criptografadas. A título de esclarecimento, tal operação chama-se ransonware (quando um software malicioso infecta um computador e envia mensagens exigindo o pagamento para o restabelecimento de um sistema).
Nesse ínterim, os fatos são graves e nos fazem pensar: os demais dados pessoais de todos que já recorreram ao judiciário estão a mercê de pessoas como essa? O que o judiciário tem feito para a proteção de nossos dados? Sob o mesmo ponto de vista, onde a LGPD entra nessa história?
LGPD E OS PROCESSOS JUDICIAIS
De acordo com o artigo 7.º da LGPD, pode se realizar o tratamento de dados pessoais na hipótese de exercício regular de direitos em processo judicial, administrativo ou arbitral.
Além disso, no que toca aos dados sensíveis, o exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral configura hipótese de dispensa de fornecimento do titular para tratamento dos dados.
Não questionamos, é certo, a necessidade da utilização de tais dados, mas sobretudo, levantamos a preocupação com a proteção que se dá a eles. Afinal, o potencial lesivo recai sobre todos nós.
O que o Judiciário tem feito em respeito à LGPD?
Da recomendação 73/20 do CNJ
A recomendação 73/20 traz orientações para adequação de todos os órgãos do Poder Judiciário à LGPD. Por exemplo, recomenda a criação de grupos de trabalho para estudo e identificação das medidas necessárias à implementação da LGPD.
Assim, a partir da identificação de tais medidas, o CNJ formulará a política nacional para os tribunais e Conselhos de Justiça. Espera-se que o faça sem demora.
Bem assim, recomendou-se a formulação de um plano de ação que abarque as questões fundamentais atinentes à proteção de dados pessoais, a saber:
- Organização e comunicação;
- Direitos do titular dos dados;
- Gestão de consentimento;
- Retenção de dados;
- Cópia de segurança;
- Contratos;
- Plano de respostas a incidentes de segurança.
Além disso, recomendou-se que os órgãos do judiciário disponibilizem, na internet, de forma ostensiva e facilmente acessível as seguintes diretrizes:
- Informações básicas sobre a aplicação da Lei Geral de Proteção de Dados aos tribunais, incluindo os requisitos para o tratamento legítimo de dados, as obrigações dos controladores e os direitos dos titulares;
- Formulário para exercício de direitos dos titulares de dados pessoais;
Mais ainda, recomendou-se a elaboração, adequação e publicação da política de privacidade para navegação no website da própria instituição.
Por fim, recomendou-se a publicação dos registros de tratamentos de dados pessoais contendo, entre outras, informações sobre:
- Finalidade do tratamento;
- Base legal;
- Descrição dos Titulares;
- Categorias de Dados;
- Categorias de Destinatários;
- Transferência Internacional;
- Prazo de Conservação
- Medidas de Segurança Adotadas;
- Política de Segurança da Informação.
Em síntese, as recomendações são claras e oportunas; mas fica a dúvida: há efetividade?
Quem responderia pelo evento danoso no STJ?
A LGPD, em seu artigo 43, II, traz hipótese em que o agente de tratamento de dados não responde pelo dano. Trata-se do caso em que ele operou legitimamente dentro de suas atribuições, sem violar a LGPD.
Assim, há uma liberação da responsabilidade do agente em caso de não haver violação à legislação de proteção de dados.
No entanto, o agente deverá provar que agiu legitimamente e que o ataque ou vazamento foi inevitável.
E como se prova?
Conforme já discorremos em posts anteriores, medidas como a elaboração de um DPIA de qualidade podem esclarecer que o agente fez tudo o que era possível no caso concreto.
Além do mais, a disponibilização de bons relatórios, boas práticas e governança atenuam a responsabilização.
Mas o ataque de hacker não é caso fortuito ou força maior?
Não. A mera invasão por hacker não é capaz de afastar integralmente a responsabilidade do agente.
A questão é que a invasão tende a se relacionar com alguma espécie de deficiência de proteção do sistema. Assim, é difícil desvincular completamente a conduta de um operador de dados diante da ação de um invasor.
Em conclusão, cabe aos agentes do Judiciário a implementação de medidas preventivas. Bem assim, é sua responsabilidade a utilização de tecnologia adequada, considerando as informações manipuladas.
Considerações Finais
Diante dos fatos que envolvem o STJ, a certeza é uma só: o hacker teve acesso a uma grande quantidade de dados pessoais, incluindo os servidores e ministros do STJ.
Ocorre que, em razão da inércia do Poder Público – e nisso há que se considerar o estado de calamidade pública de saúde que vivemos – as pessoas estão em um limbo de proteção. Isso porque, de um lado estão protegidas pela lei e, de outro, carentes de recursos práticos aos quais se socorrer.
Talvez a seriedade dos fatos recentes resulte em mais do que recomendações do Conselho Nacional de Justiça e, mais do que isso, inspire um suporte maior do Poder Executivo sobre o tema, em especial, estruturação institucional a rigor.
Concluindo, é urgente a necessidade de preencher as lacunas legais e editar instruções protetivas da garantia da confiança dos indivíduos na coleta de dados pelo judiciário. É o mínimo que se espera de uma democracia que zela por suas instituições.
Se você gostou desse artigo, leia também “LGPD e o direito à imagem”.
Se desejar, você pode ler a LGPD na íntegra clicando aqui,
Até a próxima.
1 Comment
Pingback: LGPD E OS COOKIES - Curso de LGPD - Blog Implementando a LGPD