Por Paulo Brancher e Camila Taliberti*
No dia 12 de maio ocorreu o que foi considerado o maior ataque cibernético da história, atingindo milhares de cidadãos, empresas e entidades públicas em mais de 150 países, inclusive no Brasil. O ataque se deu por meio de um ransomware chamado WannaCry, um código malicioso que torna inacessíveis os dados armazenados em um equipamento, usando criptografia, e que exige o pagamento do resgate (ransom) via bitcoins para restabelecer o acesso ao usuário(1).
O grupo de hackers Shadow Brokers revelou que o Wanna Cry utilizou a ferramenta EternalBlue, criada pela agência norte-americana de espionagem (NSA) para explorar uma vulnerabilidade no sistema do Windows, e que foi “roubada” por hackers de várias localidades do mundo. Embora a Microsoft já tivesse corrigido a vulnerabilidade e publicado, no dia 14 de março, o boletim Microsoft Security MS17-010 para orientar usuários sobre a necessidade de atualizações de segurança do sistema Windows, o ataque em larga escala foi possível pelo fato de que muitos sistemas não receberam estas atualizações.
Vale lembrar que o Brasil está dentre os nove países que sofrem mais violações a sistemas de segurança no mundo. Mas essas violações não são causadas apenas por ataques cibernéticos. Segundo pesquisa realizada pela Grant Thornton(2), a maioria delas é por erro humano. E, obviamente, causam graves prejuízos a empresas e entidades públicas, muitos deles irreversíveis, como a eliminação de arquivos contendo segredos de negócio e informações confidenciais e sensíveis, o que pode resultar em rombos financeiros e afetar a reputação da organização. Para o cidadão comum, não é diferente: o vazamento de dados pessoais pode trazer prejuízos financeiros e transtornos psicológicos.
O fato é que não estamos preparados para lidar com a guerra cibernética. A cultura da segurança da informação ainda não é incutida nas organizações brasileiras, sejam públicas ou privadas. Uma mudança de paradigma é urgente, e requer investimento na formação de profissionais e em tecnologias, além de uma legislação robusta sobre segurança da informação, privacidade e proteção de dados pessoais.
Primeiramente, é preciso que departamentos de tecnologia da informação promovam medidas básicas de segurança: manter o sistema operacional e os programas instalados com todas as atualizações aplicadas, de preferência de forma automática; ter antivírus instalado e sistemas de antispyware e antimalware que protegem contra códigos maliciosos que interceptam as comunicações; orientar todo o pessoal sobre o cuidado ao clicar em links ou abrir arquivos; e realizar backups regularmente.
Paralelamente, devem ser implementadas políticas de compliance voltadas para segurança da informação, engajando todos os profissionais – inclusive e principalmente seus líderes, fornecedores, subcontratados e clientes, para identificar, avaliar, proteger, monitorar e fornecer respostas a vulnerabilidades e incidentes(3). Recomenda-se a adoção da Norma ISO 27001, que é o padrão e a referência Internacional para a gestão da segurança da informação.
Mas também é preciso que o direito entre no campo cibernético e crie mecanismos que visem impulsionar organizações a levantar a bandeira da segurança cibernética e da privacidade.
Atualmente, nosso ordenamento jurídico permite a responsabilização do agente que causa danos ao sistema de computador. No âmbito civil, qualquer pessoa física ou jurídica que tenha prejuízo por falha de segurança do provedor de serviços de internet pode recorrer ao judiciário para pleitear indenização por danos patrimoniais e morais, desde que comprovado que o dano se deu em razão da ausência de medidas de segurança necessárias por parte do prestador do serviço(4). Se, por outro lado, essas medidas de segurança não foram tomadas pelo usuário, que, por exemplo, não instalou todas as atualizações do programa, não há que se falar em indenização.
No âmbito criminal, a responsabilização é mais complexa. Em 2012, a Lei 12.737, mais conhecida como Lei Carolina Dieckman, alterou o Código Penal para inserir a tipificação criminal de invasão de dispositivo informático. O artigo 154-A do Código Penal dispõe que é crime:
“invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita.”
Depreende-se do texto da lei que é necessário que ocorra crime com a violação indevida do sistema de segurança. Ou seja, se a invasão do dispositivo informático se der sem a violação de segurança, estaremos diante de uma conduta atípica. Por isso, torna-se cada vez mais importante usar mecanismos de segurança como antivírus, firewall, senhas fortes, etc.
Para os crimes previstos no caput do artigo 154-A, a pena é de detenção, de três meses a um ano, e multa. Se do delito, porém, resultar prejuízo econômico para a vítima, a pena aumenta de um sexto a um terço.
A Lei também prevê pena de reclusão, de seis meses a dois anos, e multa, se a invasão se dá com a finalidade de obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais e informações sigilosas. Se houver comercialização, a pena é aumentada de um a dois terços. O objetivo aqui é proteger segredos de negócio e informações confidenciais, inerentes à atividade empresarial.
Sob a perspectiva do direito à privacidade, é importante ressaltar que no Brasil não existe qualquer obrigação das organizações privadas e públicas de comunicar autoridades e cidadãos sobre eventual violação de segurança ou vazamento de dados pessoais. Até o momento não há uma lei única e geral sobre proteção de dados pessoais que imponha tal obrigação e defina parâmetros para o adequado tratamento de dados pessoais. Há, no entanto, diversas leis esparsas que visam garantir inviolabilidade da intimidade e privacidade dos cidadãos brasileiros, em consonância com o artigo 5º, XII, c/c artigo 5º, X e XIV, da Constituição Federal: Código de Defesa do Consumidor, Código Civil, Lei de Sigilo Bancário (Lei Complementar 105/2001), Lei de Interceptação de Comunicações (Lei 9.296/1996), Lei do Cadastro Positivo (Lei 12.414/2011), dentre outras.
Mais recentemente, o Marco Civil da Internet (Lei 12.965/2014) veio a tutelar a privacidade sob três perspectivas: (i) direitos dos usuários da internet, (ii) retenção obrigatória de registros de conexão e de acesso a aplicações de internet, (iii) acesso a dados pessoais mediante tutela judicial.
O Decreto 8.771/2016, que regulamenta o Marco Civil da Internet, trouxe diretrizes acerca sobre padrões de segurança a serem adotados na guarda, armazenamento e tratamento de dados pessoais e comunicações privadas, quais sejam: (i) o estabelecimento de controle estrito sobre o acesso aos dados; (ii) a previsão de mecanismos de autenticação de acesso aos registros; (iii) a criação de inventário detalhado dos acessos aos registros de acesso a aplicações, contendo o momento, a duração, a identidade do funcionário ou do responsável pelo acesso; e (iv) o uso de soluções de gestão dos registros por meio de técnicas que garantam a inviolabilidade dos dados, como criptografia ou medidas de proteção equivalentes.
Não se discute a importância do Marco Civil da Internet para a segurança e efetivação de direitos na rede. Porém, a Lei aplica-se tão somente ao ambiente online – enquanto grande parte dos abusos ocorre off-line – e não é suficiente para garantir segurança jurídica quanto à privacidade no contexto atual, em que dados pessoais estão sendo coletados de forma massiva através de sistemas baseados em Big Data e Internet das Coisas. Principalmente, porque o Marco Civil da Internet prevê o consentimento livre, expresso e informado como única forma de legitimar o tratamento de seus dados pessoais. Isso, na prática, cria efeitos contrários ao pretendido pela Lei, pois o consentimento é baseado meramente no aceite dos termos de uso e política de privacidade, sem que o usuário tenha conhecimento do conteúdo ali escrito (5).
O Projeto de Lei 5.276/2016 pretende estabelecer uma lei geral de proteção de dados pessoais alinhada com a regulamentação europeia. Diferentemente do Marco Civil da Internet, o PL traz nove hipóteses autorizativas para tratamento de dados pessoais, sendo o consentimento apenas uma delas. Isso não quer dizer, no entanto, que o titular não terá controle sobre seus dados pessoais. Pelo contrário, o PL prevê mecanismos que garantem transparência e autodeterminação do titular dos dados pessoais.
Outro importante ponto do PL são as medidas de segurança que o responsável pelo tratamento deve estabelecer sobre os dados pessoais que controla. O PL prevê a segurança como um dos princípios que regem o tratamento de dados pessoais. Segundo a redação, “devem ser utilizadas medidas técnicas e administrativas constantemente atualizadas, proporcionais à natureza das informações tratadas e aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.”
Para implementação e fiscalização da lei, o PL prevê a criação de um órgão regulador e um conselho nacional de proteção de dados pessoais, que será constituído por representantes do governo, sociedade civil e iniciativa privada.
Dentre as competências do órgão regulador, está a de criar normas sobre padrões técnicos de segurança e determinar ao responsável pelo tratamento de dados pessoais a adoção de providências diante de incidentes, como notificação aos titulares e ao órgão regulador, ampla divulgação na imprensa, e adoção de medidas para reverter ou mitigar efeitos destes incidentes.
Não restam dúvidas, portanto, que a aprovação do PL 5276/2016 faz-se extremamente urgente, inclusive como mecanismo de garantia de direitos diante de invasões que envolvam vazamento ou roubo de dados pessoais. Em uma economia cada vez mais online, onde dados pessoais já são considerados “o novo petróleo”(6), uma lei geral de proteção de dados pessoais vem para garantir maior segurança jurídica diante da inovação tecnológica e atender o interesse de todas as partes envolvidas, sociedade civil, empresas e governo.
(1) CERT.BR. Cartilha de Segurança para Internet. Disponível em https://cartilha.cert.br/ransomware/. Acesso em 07/06/2016.
(2) Ataques cibernéticos causaram prejuízo de US$ 280 bilhões. Disponível em http://www.grantthornton.com.br/press-releases/2017/ataques-ciberneticos/. Acesso em 07/06/2017.
(3) INNES, Rony. Regulation, Risks and Remedies in Cyber Security. In: ARTESE, Gustavo (coord.). Marco Civil da Internet: Análise Jurídica sob uma Perspectiva Empresarial. São Paulo: Quartier Latin, 2015, p. 398.
(4) MONTEIRO. Renato Leite. Ransomware: uma ameaça real, a sua empresa e aos seus clientes. Disponível em https://www.linkedin.com/pulse/ransomware-uma-amea%C3%A7a-real-sua-empresa-e-aos-seus-renato. Acesso em 07/06/2017.
(5) MONTEIRO, Renato Leite. BIONI, Bruno. Iniciativa privada: regular o uso de dados pessoais é bom para vocês, confiem em mim. Disponível em: http://renatoleitemonteiro.com.br/papers/iniciativa-privada-regular-o-uso-de-dados-pessoais/. Acesso em 08/06/2017.
(6) THE ECONOMIST. The world’s most valuable resource is no longer oil, but data. Disponível em http://www.economist.com/news/leaders/21721656-data-economy-demands-new-approach-antitrust-rules-worlds-most-valuable-resource. Acesso em 09/06/2017.
*Paulo Brancher e Camila Taliberti são respectivamente, sócio e advogada do setor de TMT Azevedo Sette Advogados.