Símbolo do Jus.com.br Jus.com.br

LGPD e a experiência do ataque hacker ao portal do STJ

Agenda 09/11/2020 às 15:55

Com a entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD) tem se falado e debatido sobre o tema.

Recentemente o portal do Superior Tribunal de Justiça (STJ) sofreu um ataque hacker e os dados do tribunal ficaram indisponíveis para acesso de todos os usuários (internos e externos).

O artigo 2º da Lei Federal 13.709/2018 traz como fundamentos da disciplina da proteção de dados o dentre outros o respeito à privacidade e a  inviolabilidade da intimidade, da honra e da imagem.

O artigo 46 e seguintes da referida lei trata da segurança e das boas práticas (da segurança e do sigilo) nos seguintes termos:

“Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acesos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer outra forma de tratamento inadequado ou ilícito.”

§ 1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei.

§ 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.

Art. 47. Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término.

Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:

I - a descrição da natureza dos dados pessoais afetados;

II - as informações sobre os titulares envolvidos;

III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;

IV - os riscos relacionados ao incidente;

V - os motivos da demora, no caso de a comunicação não ter sido imediata; e

VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

§ 2º A autoridade nacional verificará a gravidade do incidente e poderá, caso necessário para a salvaguarda dos direitos dos titulares, determinar ao controlador a adoção de providências, tais como:

I - ampla divulgação do fato em meios de comunicação; e

II - medidas para reverter ou mitigar os efeitos do incidente.

§ 3º No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los.

Art. 49. Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares.

Fique sempre informado com o Jus! Receba gratuitamente as atualizações jurídicas em sua caixa de entrada. Inscreva-se agora e não perca as novidades diárias essenciais!
Os boletins são gratuitos. Não enviamos spam. Privacidade Publique seus artigos

Pelo que se viu o STJ foi extremamente rápido em informar as autoridades policiais bem como em tomar as medidas necessárias avisando o público interno e externo sobre o ocorrido.

Em síntese, essa é uma lição que fica para todas as empresas, pois a LGPD está em vigor e, por isso, precisam se adequar o quanto antes às normas legais a fim de evitar problemas futuros com eventuais ataques e a divulgação das informações de seus clientes.

Sobre o autor
Alexandre Pontieri

Advogado com atuação nos Tribunais Superiores (STF, STJ, TST e TSE), no Congresso Nacional (Câmara dos Deputados e Senado Federal) e, especialmente, no Conselho Nacional de Justiça (CNJ); Consultor da área tributária com foco principalmente no Conselho Administrativo de Recursos Fiscais (CARF); Pós-Graduado em Direito Tributário pelo CPPG – Centro de Pesquisas e Pós-Graduação da UniFMU, em São Paulo; Pós- Graduado em Direito Penal pela ESMP-SP – Escola Superior do Ministério Público do Estado de São Paulo. Aluno Especial do Mestrado em Direito da UNB – Universidade de Brasília.

Informações sobre o texto

Este texto foi publicado diretamente pelos autores. Sua divulgação não depende de prévia aprovação pelo conselho editorial do site. Quando selecionados, os textos são divulgados na Revista Jus Navigandi

Publique seus artigos Compartilhe conhecimento e ganhe reconhecimento. É fácil e rápido!