LGPD – e a experiência do ataque hacker ao portal do STJ

LGPD – e a experiência do ataque hacker ao portal do STJ

 

Com a entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD) tem se falado e debatido sobre o tema.

Recentemente o portal do Superior Tribunal de Justiça (STJ) sofreu um ataque hacker e os dados do tribunal ficaram indisponíveis para acesso de todos os usuários (internos e externos).

O artigo 2º da Lei Federal 13.709/2018 traz como fundamentos da disciplina da proteção de dados o dentre outros o respeito à privacidade e a  inviolabilidade da intimidade, da honra e da imagem.

O artigo 46 e seguintes da referida lei trata da segurança e das boas práticas (da segurança e do sigilo) nos seguintes termos:

“Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acesos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer outra forma de tratamento inadequado ou ilícito.”

§ 1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei.

§ 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.

Art. 47. Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término.

Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:

I - a descrição da natureza dos dados pessoais afetados;

II - as informações sobre os titulares envolvidos;

III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;

IV - os riscos relacionados ao incidente;

V - os motivos da demora, no caso de a comunicação não ter sido imediata; e

VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

§ 2º A autoridade nacional verificará a gravidade do incidente e poderá, caso necessário para a salvaguarda dos direitos dos titulares, determinar ao controlador a adoção de providências, tais como:

I - ampla divulgação do fato em meios de comunicação; e

II - medidas para reverter ou mitigar os efeitos do incidente.

§ 3º No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los.

Art. 49. Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares.

 

Pelo que se viu o STJ foi extremamente rápido em informar as autoridades policiais bem como em tomar as medidas necessárias avisando o público interno e externo sobre o ocorrido.

Em síntese, essa é uma lição que fica para todas as empresas, pois a LGPD está em vigor e, por isso, precisam se adequar o quanto antes às normas legais a fim de evitar problemas futuros com eventuais ataques e a divulgação das informações de seus clientes.

* Alexandre Pontieri

Advogado com atuação em todas as instâncias do Poder Judiciário; nos últimos anos atuando perante os Tribunais Superiores (STF, STJ, TST e TSE), e no Conselho Nacional de Justiça (CNJ); Consultor da área tributária com foco principalmente no Conselho Administrativo de Recursos Fiscais (CARF); Pós-Graduado em Direito Tributário pelo CPPG – Centro de Pesquisas e Pós-Graduação da UniFMU, em São Paulo; Pós- Graduado em Direito Penal pela ESMP-SP – Escola Superior do Ministério Público do Estado de São Paulo. Aluno Especial do Mestrado em Direito da UNB – Universidade de Brasília nos anos de 2018 e 2019. [email protected]


Autor

  • Alexandre Pontieri

    Advogado com atuação nos Tribunais Superiores (STF, STJ, TST e TSE), e no Conselho Nacional de Justiça (CNJ); Consultor da área tributária com foco principalmente no Conselho Administrativo de Recursos Fiscais (CARF); Pós-Graduado em Direito Tributário pelo CPPG – Centro de Pesquisas e Pós-Graduação da UniFMU, em São Paulo; Pós- Graduado em Direito Penal pela ESMP-SP – Escola Superior do Ministério Público do Estado de São Paulo. Aluno Especial do Mestrado em Direito da UNB – Universidade de Brasília.

    Textos publicados pelo autor

    Fale com o autor


Informações sobre o texto

Este texto foi publicado diretamente pelo autor. Sua divulgação não depende de prévia aprovação pelo conselho editorial do site. Quando selecionados, os textos são divulgados na Revista Jus Navigandi.

Comentários

0

Autorizo divulgar minha mensagem juntamente com meus dados de identificação.
A divulgação será por tempo indeterminado, mas eu poderei solicitar a remoção no futuro.
Concordo com a Política de Privacidade e a Política de Tratamento de Dados do Jus.

Regras de uso