A Resolução nº 362 de 17/12/2020 do Conselho Nacional de Justiça (CNJ) instituiu o Protocolo de Investigação para Ilícitos Cibernéticos no âmbito do Poder Judiciário (PGCC/ PJ).[1]
A resolução determinou que todos os órgãos do Poder Judiciário elaborassem um plano de ação voltado à criação do seu próprio Protocolo de Investigação para Ilícitos Cibernéticos, no prazo máximo de sessenta dias, contados da publicação da Portaria CNJ nº 291/2020.
A instituição do Protocolo de Investigação para Ilícitos Cibernéticos favorecerá a definição de procedimentos básicos, objetivos e seguros, para colheita de provas e comunicação de fatos criminalmente relevantes, ocorridos no âmbito do Poder Judiciária.
Essas medidas levam em conta que interessa não só ao Estado, mas a toda a sociedade apurar, investigar e punir agentes que pratiquem condutas ilícitas cujos resultados consistam em dano, exposição da segurança das redes (e sistemas computacionais) ou comprometimento da disponibilidade (da integridade, da confidencialidade e daautenticidade) das informações mantidas pelo Poder Judiciário.
O Conselho Nacional de Justiça também determina que o órgão do Poder Judiciário competente para atuar nesse seguimento, tão logo tome conhecimento da prática de ato que configure um “Incidente de Segurança em Redes Computacionais penalmente relevante”, informe imediatamente a autoridade policial responsável pela apuração do fato. Se o incidente for qualificado como uma Crise Cibernética, segundo a resolução, deverá ocorrer o acionamento do Comitê de Crise, de acordo com o que for estabelecido no Protocolo de Gerenciamento de Crises Cibernéticas.
O Protocolo de Gerenciamento de Crises Cibernéticas, conforme estipulado na resolução, também deve ser reavaliado por ocasião da edição da Estratégia da Segurança Cibernética e da Informação do Poder Judiciário, igualmente desenvolvida pelo Comitê de Segurança Cibernética do Poder Judiciário (instituído pela Portaria CNJ nº 242/2020).
Essa imposição não exclui a possibilidade de outras atualizações sempre que, a qualquer tempo seja reconhecida a necessidade por meio de Portaria da Presidência do Conselho Nacional de Justiça.
Para a compreensão mais detalhada do tema, é importante conferir o teor das seguintes referências legislativas: i) Lei nº 13.709/2018 (Lei Geral de Proteção de Dados)[2]; ii) Lei nº 12.965/2014 (Marco Civil da Internet); iii) Decreto nº 8.771/2016; iv) Lei nº 12.527/2011 (Lei de Acesso à Informação); v) Resoluções CNJ nº 121/2010 e nº 215/2015; e vi) Recomendação do CNJ nº 73/2020.
Cumpre notar, outrossim, que estão relacionadas à temática abordada as seguintes orientações normativas:
i) Portaria CNJ nº 242/2020, que institui o Comitê de Segurança Cibernética do Poder Judiciário dispôs sobre a normatização para criação do Centro de Tratamento de Incidentes de Segurança Cibernética (CTISC) do CNJ. Esse órgão será o canal oficial para divulgação de ações preventivas e corretivas sobre ameaças ou de ataques cibernéticos no âmbito do Poder Judiciário;
ii) Instrução Normativa GSI nº 1/2020, que tratou da Estrutura de Gestão da Segurança da Informação nos órgãos e nas entidades da Administração Pública Federal;
iii) Norma Complementar nº 04/IN01/DSIC/GSIPR, que previu as Diretrizes para o processo de Gestão de Riscos de Segurança da Informação e Comunicações (GRSIC) nos órgãos e entidades da Administração Pública Federal;
iv) Norma Complementar nº 06/IN01/DSIC/GSIPR, que estabeleceu as Diretrizes para Gestão de Continuidade de Negócios, nos aspectos relacionados à Segurança da Informação e Comunicações, nos órgãos e entidades da Administração Pública Federal, direta e indireta (APF);
v) Norma Complementar nº 08/IN01/DSIC/GSIPR, preconizou as Diretrizes para Gerenciamento de Incidentes em Redes Computacionais nos órgãos e entidades da Administração Pública Federal; e
vi) Norma Complementar nº 21/IN01/DSIC/GSIPR, que definiu Diretrizes para o Registro de Eventos, Coleta e Preservação de Evidências de Incidentes de Segurança em Redes nos órgãos e entidades da Administração Pública Federal, direta e indireta.
Mesmos pela apresentação dos seus traços gerai nota-se que as disposições inclusas na Resolução nº 362/2020 realçam as importantes contribuições que Conselho Nacional de Justiça (CNJ) tem dado à sociedade no desempenho da sua missão constitucional, sempre agindo em favor da melhoria das condições das atividades do Poder Judiciário, amparando-se nos Princípios Essenciais da Constituição e na proteção da dignidade da pessoa humana.
[1] Este é o décimo terceiro de uma série de outros textos que tratam das orientações normativas do Conselho Nacional de Justiça.
[2] Lei Geral de Proteção de Dados Pessoais (LGPD) (Lei nº 13.709/2018):
Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Parágrafo único. As normas gerais contidas nesta Lei são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios.
Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:
I - o respeito à privacidade;
II - a autodeterminação informativa;
III - a liberdade de expressão, de informação, de comunicação e de opinião;
IV - a inviolabilidade da intimidade, da honra e da imagem;
V - o desenvolvimento econômico e tecnológico e a inovação;
VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.