De acordo com o X-Force Threat Intelligence Index 2021, produzido pela IBM Security, no ano de 2020, a principal forma de ataque cibernético praticada foram os ataques Ransomware, que chegaram a contabilizar 23% das ameaças de cibersegurança, contra 20% no ano de 2019. Segundo o estudo, o ataque é tão lucrativo que um grupo de criminosos, apenas, angariou cerca de US$ 123 milhões só em 2020.
Em linhas gerais, o Ransomware é um sistema que tem como objetivo inviabilizar o acesso de um usuário a um dispositivo, sistema ou banco de dados, coagindo suas vítimas a pagarem um resgate pela restauração do acesso.
Em geral, esse software sequestra e bloqueia arquivos ou sistemas por meio de técnicas de criptografia, cuja chave para descriptografar o acesso é, em tese, disponibilizada após o pagamento do resgate.
Para lidar com a situação, empresas vêm investindo na recuperação de seus backups, o que permitiria ter acesso a uma cópia dos dados sequestrados, sem precisar pagar pelo resgate.
Mas parece que tais medidas não são mais suficientes. Os invasores estão mudando sua tática e não estão mais apenas criptografando dados para impossibilitar o acesso aos dados. Eles também os extraem e ameaçam vazar os dados confidenciais caso o resgate não seja pago.
O Brasil tem lidado com o tema de forma, a bem dizer, ambígua. Se por um lado, endurece penalidades para os crimes, por outro termina expondo empresas vítimas de tais ataques a um risco regulatório ainda incerto.
O País conta, hoje, com um vasto acervo de tipos penais informáticos, estando a maioria deles prevista na Lei de Crimes Cibernéticos. A importância do tema é tamanha que os crimes de violação de dispositivo informático, furto e estelionato cometidos de forma eletrônica ou pela internet tiveram suas penas aumentadas no final de maio de 2021.
A alteração legislativa apenas corrobora a gravidade dos impactos causados por crimes cibernéticos, bem como reconhece o meio virtual como ambiente de maior probabilidade para a prática de tais delitos. E o enrijecimento dos tipos penais virtuais, contudo, guarda uma faceta pouco comentada.
Do ponto de vista penal, não parece tão difícil perceber quem é a vítima e quem é o criminoso em um ataque cibernético. Mas quando o objeto do vazamento contempla dados pessoais, a situação toma outra dimensão, e, nessa altura, entra em cena a Lei Geral de Proteção de Dados (LGPD).
A LGPD prevê que os agentes de tratamento não serão responsabilizados se conseguirem comprovar: (i) que não realizaram o tratamento de dados pessoais que lhes é atribuído; (ii) que, embora tenham realizado o tratamento em questão, não houve violação à legislação de proteção de dados; ou (iii) que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros.
A princípio, parece bastante claro que, em um ataque cibernético, estaríamos diante de dano causado exclusivamente por um terceiro, o que, por si só, bastaria para isentar eventual responsabilidade civil de reparação dos danos sofridos pelos titulares dos dados objeto do incidente.
Antes fosse tão simples! O problema vem em seguida.
É que a lei, mais adiante, prevê que os agentes de tratamento de dados pessoais são obrigados a garantir a segurança da informação em relação aos dados pessoais tratados, mesmo após o término do tratamento em questão.
Além disso, estabelece a responsabilidade dos agentes de tratamento de dados pessoais em situações de violação de segurança, caso tais agentes não tenham adotado as medidas de segurança previstas na legislação.
De acordo com esses dispositivos legais, além do investimento em segurança da informação, dos prejuízos operacionais sofridos com o bloqueio dos dados e do pagamento de eventual resgate cobrado, a instituição vítima desse tipo de ataque ainda pode ser responsabilizada perante os titulares dos dados vazados no incidente, caso não tenha adotado medidas de segurança consideradas suficientes.
Mas que medidas de segurança são essas, afinal?
Trata-se de mais uma disposição da LGPD ainda não regulamentada pela Autoridade Nacional de Proteção de Dados (ANPD).
Para agravar ainda mais o cenário, não há qualquer previsão de regulamentação do dispositivo em questão, pois a matéria sequer consta da Agenda Regulatória da Autoridade Nacional de Proteção de Dados para o biênio 2021/2022.
Em outras palavras, ainda não há um parâmetro técnico mínimo que resguarde a instituição de eventual responsabilidade civil perante os titulares de dados pessoais vazados em caso de crimes cibernéticos, nem a perspectiva de ser definido em um curto/médio prazo.
Os parâmetros de privacidade atualmente existentes se limitam a ações programáticas a serem tomadas pelas empresas. Cabe ao controlador ou operador levar em consideração a proporcionalidade das medidas adotadas em relação à probabilidade e à gravidade dos riscos e dos benefícios decorrentes do tratamento de dados.
Na prática, o ônus da prova das hipóteses de exclusão da responsabilidade civil pelo vazamento dos dados fica completamente a cargo da instituição vazada, até que haja uma efetiva regulação da matéria.
No contexto atual, sem dúvidas, as empresas ficarão à mercê do entendimento do judiciário e/ou da ANPD, conforme o caso, ao apurarem eventuais incidentes de privacidade. E por falar em entendimento jurisprudencial, um juiz de São Paulo inaugurou uma nova vertente.
Conforme proferido na sentença prolatada em abril de 2021, é necessário comprovar que houve efetivamente dano sofrido pelo titular dos dados vazados a fim de que a instituição seja obrigada a indenizá-lo.
Para o juiz de primeiro grau, seria necessário comprovar que os dados foram, de fato, utilizados de forma fraudulenta, e completa: “suposto receio de uso futuro e incerto dos seus dados em eventuais fraudes perante o comércio, além de fantasiosa, colocaria em risco e responsabilidade o fornecedor ou receptor de tais dados, sem a devida conferência.”
Segundo o entendimento do magistrado, “Não há como se indenizar uma expectativa de dano”. E continua: “a indenização não pode ser fundada em suposições, medos ou aflições.”
A decisão em questão ainda será objeto de apreciação pelo Tribunal de Justiça do Estado de São Paulo em sede de apelação e poderá ser reformada. Traduzindo em miúdos, não vale à pena comemorar a marcação do pênalti. É preciso aguardar o gol – nesse caso, a confirmação do entendimento pelo Superior Tribunal de Justiça (STJ).
Mas o que fazer para evitar ataques cibernéticos e eventuais repercussões deles decorrentes?
Primeiro: não há fórmula mágica. É preciso aceitar que a solução não é tão simples e requer investimento de tempo e dinheiro, assim como dedicação e empenho por parte da instituição. A situação é delicada e apresenta várias respostas e alternativas possíveis.
Mas no meio de tantas dúvidas e incertezas, uma coisa é certa: Sem a implementação de um programa de governança em privacidade, dificilmente uma instituição conseguirá afastar eventual responsabilidade civil em caso de vazamento de dados.
Isso porque será necessário comprovar que: (i) a instituição adotou medidas estruturadas para evitar o vazamento; (ii) que tais medidas eram suficientes para responder aos riscos associados ao tratamento; e (iii) que não houve violação da LGPD.
O cenário é crítico e sempre pode piorar. O momento de “pagar para ver” já passou, afinal, o barato está saindo (muito) caro. Agora, é hora de tirar o tema do stand by e colocá-lo na pauta (prioritária) do dia.
Se conselho fosse bom…
(CanalTech)
Foto: Reprodução/Google Imagens