Ataques hackers a órgãos públicos e LGPD: o que esperar do futuro?
Escrito por
Victor Vieira (Ver todos os posts desta autoria)
9 de dezembro de 2020
Já é do conhecimento de muitos que a Lei Geral de Proteção de Dados brasileira (LGPD) está em vigor desde setembro de 2020. Com a vigência da nova lei, passou a existir no país um arcabouço regulatório extenso sobre a proteção de dados pessoais, trazendo também diversos deveres e obrigações que devem ser observados por grande parte das organizações no país – inclusive os órgãos públicos.
Nesse contexto, algo que não passou despercebido foram os diversos episódios de ataques cibernéticos aos sistemas informacionais de diversos órgãos do Poder Judiciário. Isso, por sua vez, evidenciou um problema endêmico que se alastra pelo Brasil, e coloca em risco não apenas a integridade do nosso regulamento sobre proteção de dados pessoais, mas também os próprios dados envolvidos e seus respectivos titulares.
No post de hoje, analisaremos as deficiências dos órgãos estatais no que diz respeito à segurança da informação perante a invasões e ameaças externas, apresentando também observações sobre todo o contexto prático de proteção de dados no Brasil neste período de início da vigência da LGPD. Confira a seguir!
Os ataques cibernéticos a órgãos do Poder Judiciário
A primeira notícia que circulou recentemente sobre os ataques aos bancos de dados do Judiciário disse respeito ao sistema informacional do Superior Tribunal de Justiça (STJ). O incidente ocorreu no início de novembro de 2020, e rapidamente alcançou repercussão internacional, devido à gravidade do ocorrido.
Tratou-se de um ataque hacker por meio do qual os invasores conseguiram criptografar toda a base de dados do tribunal – e, inclusive, parte dos “backups” do sistema, que aparentemente estavam armazenados no mesmo ambiente tecnológico.
O ocorrido trouxe lembranças de alguns anos atrás, quando uma situação similar ocorreu, também no Judiciário, em decorrência de uma vulnerabilidade identificada no Windows. Esse episódio ficou conhecido como Wanna Cry, e consistiu em ataques sistêmicos a bases de dados de diversas entidades ao redor do mundo. Em ambas as situações, os invasores pediram uma compensação monetária – a ser paga em criptomoedas – para supostamente liberar os sistemas prejudicados.
Não bastasse esse primeiro ataque recente ao STJ, o que se sucedeu foi uma real sequência de notícias apontando ataques a diversos outros órgãos do Poder Público – majoritariamente, do Judiciário. O Tribunal de Justiça do Estado de São Paulo (TJ-SP) e o Ministério Público do Estado de São Paulo (MP-SP) são exemplos de entes estatais que se viram obrigados a paralisar totalmente suas atividades, mas pôde-se observar ataques em escalas variadas ao longo de todo o país.
Proteção de Dados Pessoais: o descaso endêmico
As situações apresentadas, embora de certa forma chocantes, são um mero retrato de uma realidade da qual muitos brasileiros já têm pleno conhecimento: trata-se do descaso para com as determinações legais relativas à proteção de dados pessoais (ou seja, à LGPD).
É importante ressaltar que a lei brasileira de proteção de dados pessoais não é novidade. Trata-se de um diploma legal que foi oficialmente aprovado em maio de 2018 – o intervalo de mais de 2 anos para o início de sua vigência efetiva foi determinado, inclusive, para que empresas e organizações públicas e privadas tivessem tempo hábil para se adequarem aos novos enunciados e parâmetros legais de proteção de dados.
Isso, contudo, não foi o que aconteceu: após todo esse tempo, o que se observa é um cenário em que apenas uma parcela pequena das organizações que deveriam se adequar à LGPD sequer iniciou seus processos de adequação.
Os próprios órgãos do Judiciário que sofreram os ataques recentes estão inseridos nesse conjunto. O acesso indevido aos ambientes tecnológicos dessas entidades, bem como a incapacidade demonstrada para lidar com incidentes de proteção de dados, demonstram uma clara deficiência nos mecanismos de Segurança da Informação utilizados. Isso resulta em uma quebra direta de princípios enunciados pela LGPD, como o da segurança e o da prevenção de incidentes de modo geral.
Trata-se de uma preocupação generalizada no Brasil. A realidade é que,apesar de a LGPD já estar em vigor e surtindo efeitos, o Brasil como um todo não se adequou aos parâmetros internacionais de proteção de dados pessoais, e a vigência da lei pouco auxilia na insegurança que se observa na prática.
Urgência na adequação
Para além das preocupações imediatas, relativas aos ataques ao Judiciário e aos danos causados às pessoas que tiveram o sigilo de seus dados violado ou seus direitos temporariamente prejudicados devido às interrupções no funcionamento dos órgãos atingidos, há algo a mais que levanta preocupações: o fato de que as sanções administrativas da LGPD – previstas para serem aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD) – ainda não estão em vigor.Nesse cenário, é preocupante que o único órgão brasileiro com poderes para aplicar sanções, multas e demais penalidades relativas ao descumprimento de enunciados da LGPD – ou seja, o Judiciário – não esteja devidamente adequado aos próprios enunciados da lei.
Isso resulta em um cenário de total desconexão entre a prática judicial – na qual, inclusive, já estão sendo julgados casos de descumprimento da LGPD – e a realidade fática do Judiciário. Pior: esse descompasso entre ações e fatos implica até mesmo em um desincentivo para que os próprios entes privados sigam com suas adequações.
E, no fim, os maiores prejudicados são os titulares de dados pessoais, indefesos perante os descumprimentos dos parâmetros de proteção de dados, mesmo em um cenário em que há mecanismos legais para protegê-los. A adoção de parâmetros de segurança verdadeiramente robustos e resilientes pelos órgãos do Poder Público, nesse sentido, é uma necessidade de primeira importância neste momento. Até que isso ocorra, a segurança jurídica no que diz respeito à proteção de dados no Brasil seguirá em xeque.
Olhando para o futuro
É importante termos em mente que os enunciados da LGPD foram resultado de um movimento global que buscou garantir maior segurança para os titulares de dados pessoais – ou seja, todos nós. Para que essas proteções estejam de fato em voga, contudo, é necessário mais do que a mera aprovação de leis e regulações “para inglês ver”.
Por isso a importância da harmonização entre teoria e prática. Nesse cenário, o Poder Judiciário e demais órgãos públicos cumprem a função de servir de exemplo para as demais organizações brasileiras que devem observância aos enunciados da Lei Geral de Proteção de Dados. Os ataques cibernéticos recentemente noticiados, afinal, ilustram bem a necessidade de superarmos esse descompasso.
Tem interesse por temas relacionados a proteção de dados pessoais e a LGPD? O IRIS constantemente publica conteúdos relacionados aos assuntos dessa matéria. Confira nosso último artigo sobre o tema clicando neste link!
* As opiniões e perspectivas retratadas neste artigo pertencem a seu autor e não necessariamente refletem as políticas e posicionamentos oficiais do Instituto de Referência em Internet e Sociedade.
Ilustração por Freepik Stories
Escrito por
Victor Vieira (Ver todos os posts desta autoria)
Victor Vieira é bacharel em Direito pela Universidade Federal de Minas Gerais (UFMG) e pós-graduando em Proteção de Dados Pessoais pela Pontifícia Universidade Católica de Minas Gerais (PUC Minas). É pesquisador e encarregado de proteção de dados pessoais no Instituto de Referência em Internet e Sociedade (IRIS) e advogado. Membro e certificado pela International Assosciation of Privacy Professionals (IAPP) como Certified Information Privacy Professional – Europe (CIPP/E).