Incidente de segurança no STJ: o que as empresas devem saber
A notícia de que um hacker invadiu o sistema informatizado do Superior Tribunal de Justiça, um dos principais tribunais do país, e criptografou informações assustou. Hacker, para quem desconhece, é alguém com conhecimentos avançados na área da tecnologia e da segurança da informação, existindo “hackers do bem”, ou seja, aqueles contratados para testar sistemas e auxiliar empresas e organizações a identificar e consertar vulnerabilidades, e os “do mal”, como este que invadiu o STJ e exigiu resgate, que é considerado um criminoso virtual.
Mas o que o hacker “do mal” fez de tão grave? Ele, como referido, criptografou, ou seja, tornou indisponíveis todos os dados que trafegam no sistema do Superior Tribunal de Justiça, significando que processos judiciais que lá tramitam de forma virtual e outras informações armazenadas desapareceram, gerando transtornos.
A prática, dirigida contra empresas privadas e órgãos públicos, é conhecida como “ransomware” e vem ocorrendo com frequência por todo o mundo.
“Ransomware”, para melhor explicar, é o fenômeno linguístico originado da união das palavras de língua inglesa “ransom” (resgate) e “malware” (“software malicioso”, em tradução livre), que vem a ser um software nocivo instalado por hackers no sistema de uma organização pública ou privada, tornando indisponíveis os dados.
O ataque hacker ao STJ atingiu todos os processos eletrônicos que lá tramitam, expondo dados pessoais de pessoas físicas, devendo o fato ser tratado como “incidente de segurança”.
E isso interessa às empresas, pois, de acordo com a Lei Geral de Proteção de Dados Pessoais (LGPD), “os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não-autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.” (art. 46).
Ou seja, é obrigação legal das empresas, do poder público e das pessoas físicas empreendedoras que tratam dados pessoais zelar pela segurança das informações que armazenam, sendo oportuno lembrar que “segurança” é princípio da LGPD, conforme dispõe o art. 6º, VII, e deve ser cumprido e respeitado.
Assim, sempre que houver incidente de segurança, por qualquer razão, colocando em risco os direitos dos titulares dos dados pessoais, deverá o controlador comunicá-la à ANPD e ao titular dos dados, sempre que haja risco ou dano relevante (art. 48, LGPD).
Esta comunicação deverá acontecer em prazo razoável e conter:
“I - a descrição da natureza dos dados pessoais afetados;
II - as informações sobre os titulares envolvidos;
III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
IV - os riscos relacionados ao incidente;
V - os motivos da demora, no caso de a comunicação não ter sido imediata; e
VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.”
Ou seja, espera-se um detalhamento dos fatos ocorridos envolvendo o incidente de segurança, a fim de que potenciais riscos possam ser mensurados e medidas possam ser tomadas.
Importante mencionar que a comprovação, pelo agente de tratamento, de que vinha adotando mecanismos e procedimentos internos coincidentes com o tratamento seguro dos dados pessoais é critério que será considerado para aplicação de sanções pela Autoridade Nacional de Proteção de Dados (ANPD), conforme dispõe o art. 52, §1º, VIII, da LGPD. Em resumo, a comprovação da adoção de medidas de segurança poderá amenizar prejuízos e responsabilidades em caso de incidentes de segurança.
Enquanto o caso ocorrido no Superior Tribunal de Justiça é investigado, fica o alerta para que empreendedores e órgãos públicos, enquanto agentes de tratamento de dados pessoais, observem o disposto na LGPD e adotem medidas de segurança (técnicas e administrativas) para proteger as informações armazenadas.
IZABELA LEHN - ADVOGADA
Integrante do Comitê Jurídico da ACI-NH/CB/EV