top of page
Buscar

Caso STJ sob uma nova ótica, observando as implicações da LGPD...

  • Foto do escritor: Flávio Goulart
    Flávio Goulart
  • 10 de nov. de 2020
  • 3 min de leitura

Atualizado: 12 de nov. de 2020

Observou-se recentemente um fato que tomou grande repercussão. Trata-se do caso do ataque de hackers ao Superior Tribunal de Justiça, em que os Hackers conseguiram bloquear, por meio de criptografia, o acesso às pastas eletrônicas de documentos internos referentes a 12 mil processos, prejudicando o regular andamento das ações!

Caso você ainda não saiba dessa notícia, dá uma olhada nesse link: https://veja.abril.com.br/blog/radar-economico/brasil-sofre-seu-maior-ataque-hacker-da-historia/.


E já pararam para pensar o que continha nesses documentos? Infinidades de dados pessoais e sensíveis de milhares de pessoas. Imaginaram a quantidade e gravidade dos danos que poderiam ser causados a elas? O que aconteceu, sem sombra de dúvidas, foi uma falha de segurança à informação muito grave, suscitando o enquadramento à LGPD.

Caso ainda não conheça a Lei Geral de Proteção de Dados, segue o link de um conteúdo informativo que criamos para auxiliar seu entendimento no assunto!


Gostaríamos de analisar o caso sobre o olhar do impacto à proteção de dados, juntamente com o que dispõe a Lei Geral de Proteção de Dados (Lei 13.709/18) em seus artigos e demais legislações que se aplicam ao caso. Até o presente momento, não foram constatados maiores danos decorrentes do ataque cibernético. Inclusive, o STJ confirmou ter backup de todos os documentos, mas vamos analisar o que dispõe as legislações em relação a eventual responsabilização do STJ, órgão do poder público, do agente de tratamento de dados ligado ao caso e dos direitos dos titulares de dados afetados.


Quanto à responsabilidade do STJ, será que ele poderia sofrer alguma sanção em decorrência do ocorrido? Talvez. Mas, independentemente disso, as sanções ainda não podem ser aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD), pois as penalidades administrativas só começarão a ser aplicadas no ano de 2021.


Mas e se já houvesse uma ANPD atuante? Notem, conforme dispõe o art. 37, § 6º da Constituição Federal, a responsabilidade dos entes públicos é objetiva, ou seja, independentemente da comprovação de sua culpa efetiva no caso, ela sofrerá punições “Art. 37, § 6º, CF As pessoas jurídicas de direito público e as de direito privado prestadoras de serviços públicos responderão pelos danos que seus agentes, nessa qualidade, causarem a terceiros, assegurado o direito de regresso contra o responsável nos casos de dolo ou culpa”.


Por fim, reparem, a LGPD utiliza um conceito aberto de incidente de segurança, ou seja, não diferencia um incidente de segurança do outro. “Art. 46, LGPD. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”. Então, não é necessário que haja, de fato, um vazamento de informações para que aconteça um incidente referente à segurança da informação. A mera indisponibilidade de acesso já o é considerado.


E em relação ao agente de tratamento vinculado ao incidente? Poderia haver alguma penalidade? Vejam o que dispõe o final do mesmo artigo 37, § 6º da CF: “...assegurado o direito de regresso contra o responsável nos casos de dolo ou culpa”. Diferentemente da natureza da responsabilidade dos entes públicos, a responsabilidade do agente de tratamento é subjetiva, devendo ser vislumbrada efetiva culpa para que haja responsabilização.


Parece-nos, que o que de fato será analisado são as medidas que foram efetivamente tomadas pelo agente de tratamento para que fossem mitigados os riscos de problemas e consequentes lesões a direitos dos titulares. Teríamos que analisar qual a extensão concreta do dano mas, talvez, com a prova de que tomou todas as precauções em suas operações, consiga se eximir de uma eventual ação regressiva, afinal, segundo o art. 44 da LGDP:


“O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:

I - o modo pelo qual é realizado;

II - o resultado e os riscos que razoavelmente dele se esperam;

III - as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.

Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano."


Em conclusão, não avistamos novidade alguma, afinal, “prevenir é sempre o melhor remédio”, pois a LGPD é uma legislação protetiva e, mesmo que ocorra algum tipo de responsabilização, pode ser extremamente minimizada se forem tomados os efetivos cuidados. Além disso, a nova legislação não deve mais ser vista como um problema, mas sim como uma ferramenta de adequação a padrões internacionais, que te dará maior competitividade econômica na era dos dados e no novo mercado digital.


Elaborado por: Karoline Martins - Legal Advisor

Revisado por: FMG Consulting

 
 
 

Comments

bottom of page