O ataque ao STJ: nossos dados, nossos problemas

No último dia 3 de novembro, o Superior Tribunal de Justiça identificou um ataque cibernético, no qual hacker invadiu o sistema do tribunal, criptografou todo o acervo de processos e bloqueou o acesso ao sistema. Ao tentar sanar o problema, técnicos especializados em cibersegurança encontraram um pedido de resgate e uma advertência: "Caso houvesse tentativa de recuperar o conteúdo resultaria na destruição dos arquivo". O prejuízo dessa ocorrência é incalculável e afetou a vida de todos jurisdicionados do STJ, o que revelou uma fragilidade do sistema de proteção de dados em nosso país.

O direito a ter os dados protegidos tem fundamento genérico no artigo 5º, inciso XII, da Constituição Federal. O Marco Civil da Internet (Lei nº 12.965/14) em seu artigo 11 reconhece tal direito, entretanto, ainda de maneira vaga. O Senado Federal aprovou uma proposta de emenda à constituição (PEC nº 17/2019) para incluir a proteção de dados disponibilizados em meios digitais no rol das garantias individuais da Carta Magna e atualmente tramita na Câmara dos Deputados. Coube, então, à LGPD regulamentar a proteção e a privacidade dos dados pessoais de modo a tornar possível seu exercício.

Na prática percebemos a vigência da Lei nº 13.709 de 14/8/2018 quando vamos navegar na internet e ao acessar algum site nos deparamos com alguma informação do tipo: "Cookies: a gente usa cookies para personalizar anúncios e melhorar a sua experiência no site. Ao continuar a navegação, você concorda com a nossa política de privacidade". Este comunicado é uma exigência na novel lex que visa a transparência das informações fornecidas ao site pelo usuário e obriga a exibição de um aviso com a política de cookies adotada por aquela empresa.

Tal norma possui como fundamentos: o respeito à privacidade; a autodeterminação informativa; a liberdade de expressão, de informação, de comunicação e de opinião; a inviolabilidade da intimidade, da honra e da imagem; o desenvolvimento econômico e tecnológico e a inovação; a livre iniciativa, a livre concorrência e a defesa do consumidor; e os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

De compras online a redes sociais, de hospitais a bancos, de escolas a teatros, de hotéis a órgãos públicos, da publicidade à tecnologia, milhões de empresas brasileiras trabalham de forma direta ou indireta com dados pessoais de clientes. Em algumas, esses dados são vitais para o funcionamento do próprio negócio, como bancos, seguradoras, e-commerces. A nova lei criou um cenário de segurança jurídica, com a padronização de normas e práticas, para promover a proteção, de forma igualitária dentro do país e do mundo, aos dados pessoais de todo cidadão que esteja no Brasil.

A LGPD estabelece ainda que não importa se a sede de uma organização ou o centro de dados dela estão localizados no Brasil ou no exterior: se há o processamento de conteúdo de pessoas, brasileiras ou não, que estão no território nacional, essa norma deve ser cumprida. Determina também que é permitido compartilhar dados com organismos internacionais e com outros países, desde que isso ocorra a partir de protocolos seguros e/ou para cumprir exigências legais.

O consentimento do cidadão é a base para que dados pessoais possam ser tratados. É essencial saber que a lei traz várias garantias ao cidadão, que pode solicitar que dados sejam deletados, revogar um consentimento, transferir dados para outro fornecedor de serviços, entre outras ações. E o tratamento dos dados deve ser feito levando em conta alguns quesitos, como finalidade e necessidade, que devem ser previamente acertados e informados ao cidadão. Por exemplo, se a finalidade de um tratamento, feito exclusivamente de modo automatizado, for construir um perfil (pessoal, profissional, de consumo, de crédito), o indivíduo deve ser informado que pode intervir, pedindo revisão desse procedimento feito por máquinas.

Os comportamentos de empresas e clientes irão mudar: as primeiras terão de ter políticas e planos de proteção de dados comprometidos e vocacionados à proteção da privacidade e da segurança de clientes e usuários; já as pessoas observarão muito mais as condutas das empresas e estarão mais exigentes com a segurança que as instituições possam oferecer aos seus dados.

Outro foco interessante da lei é a administração de riscos e falhas. Quem gerar uma base de dados pessoais terá que redigir normas de governança; adotar medidas preventivas de segurança; replicar boas práticas e certificações existentes no mercado. Terá ainda que elaborar planos de contingência; fazer auditorias; resolver incidentes com agilidade. Se ocorrer, por exemplo, um vazamento de dados, a ANPD e os indivíduos afetados devem ser imediatamente avisados. Todos os agentes de tratamento sujeitam-se à lei. Isso significa que as organizações e as subcontratadas para tratar dados respondem em conjunto pelos danos causados. E as falhas de segurança podem gerar multas de até 2% do faturamento anual da organização no Brasil até o limite de R$ 50 milhões por infração.

Para tanto, a lei criou a Autoridade Nacional de Proteção de Dados Pessoais, a ANPD. A instituição visa fiscalizar e, se a LGPD for descumprida, penalizará. Além disso, a autoridade nacional terá as tarefas de regular e de orientar, preventivamente, sobre como aplicar a lei, que deve fixar níveis de penalidade segundo a gravidade da falha. Outrossim, enviará alertas e orientações antes de aplicar sanções às organizações. Cidadãos e organizações poderão colaborar com a autoridade reguladora. Resta saber se vai haver eficácia prática para a segurança das pessoas no trato com seus dados, pois, até agora, nada mudou!