LGPD e a experiência do ataque hacker ao portal do STJ

Com a entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD) tem se falado e debatido sobre o tema.

Recentemente o portal do Superior Tribunal de Justiça (STJ) sofreu um ataque hacker e os dados do tribunal ficaram indisponíveis para acesso de todos os usuários (internos e externos).

O artigo 2º da Lei Federal 13.709/2018 traz como fundamentos da disciplina da proteção de dados o dentre outros o respeito à privacidade e a  inviolabilidade da intimidade, da honra e da imagem.

O artigo 46 e seguintes da referida lei trata da segurança e das boas práticas (da segurança e do sigilo) nos seguintes termos:

“Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acesos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer outra forma de tratamento inadequado ou ilícito.”

§ 1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei.

§ 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.

Art. 47. Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término.

Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:

I - a descrição da natureza dos dados pessoais afetados;

II - as informações sobre os titulares envolvidos;

III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;

IV - os riscos relacionados ao incidente;

V - os motivos da demora, no caso de a comunicação não ter sido imediata; e

VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

§ 2º A autoridade nacional verificará a gravidade do incidente e poderá, caso necessário para a salvaguarda dos direitos dos titulares, determinar ao controlador a adoção de providências, tais como:

I - ampla divulgação do fato em meios de comunicação; e

II - medidas para reverter ou mitigar os efeitos do incidente.

§ 3º No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los.

Art. 49. Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares.

Pelo que se viu o STJ foi extremamente rápido em informar as autoridades policiais bem como em tomar as medidas necessárias avisando o público interno e externo sobre o ocorrido.

Em síntese, essa é uma lição que fica para todas as empresas, pois a LGPD está em vigor e, por isso, precisam se adequar o quanto antes às normas legais a fim de evitar problemas futuros com eventuais ataques e a divulgação das informações de seus clientes.