ATAQUE HACKER E MEDIDAS ADOTADAS PELO STJ SERVEM DE ALERTA E DIRETRIZ PARA AS EMPRESAS QUE ESTÃO EM FASE DE ADEQUAÇÃO À LGPD

Conforme nota oficial divulgada pelo STJ, no dia 03/11/2020, houve um ataque hacker na rede de tecnologia da informação do Tribunal, durante o período da tarde, quando aconteciam as sessões de julgamento dos colegiados das seis turmas.

Por precaução, os prazos processuais foram suspensos até o dia 09/11/2020 (segunda-feira).

Também, todas as sessões de julgamento, virtuais e/ou por videoconferência, foram suspensas ou canceladas, até restabelecida a segurança do tráfego de dados nos sistemas do Tribunal.

Por fim, houve a recomendação da área de TI do STJ, aos usuários – ministros, servidores, estagiários e terceirizados – que não utilizem computadores, ainda que os pessoais, que estejam conectados com algum dos sistemas informatizados da Corte, até que seja garantida a segurança do procedimento.

O incidente ocorrido com o STJ serve de alerta e diretriz em torno das normas trazidas pela Lei Geral de Proteção de Dados e que devem ser também observadas pelas empresas.

O fato demonstra necessidade das empresas estarem em conformidade com as normas da LGPD e de traçarem os planos de resposta a incidentes de segurança de dados pessoais.

Nesse sentido, a Lei Geral de Proteção de dados traz uma seção destinada às normas de segurança e sigilo dos dados, comprovando a característica interdisciplinar da norma, que demonstra a necessidade de envolvimento conjunto do corpo jurídico, área de segurança da informação e Compliance da empresa.

Segundo a LGPD, os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Em ocorrendo algum incidente de segurança que possa acarretar risco ou dano relevante aos titulares, deverá o controlador comunicar tal fato à ANPD e ao titular.

A comunicação será feita em prazo razoável, conforme definido pela ANPD e deverá mencionar, no mínimo: (i) a descrição da natureza dos dados pessoais afetados; (ii) as informações sobre os titulares envolvidos; (iii)  a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial; (iv) os riscos relacionados ao incidente; (v) os motivos da demora, no caso de a comunicação não ter sido imediata; e (vi) as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

A ANPD verificará a gravidade do incidente e poderá, caso necessário para a salvaguarda dos direitos dos titulares, determinar ao controlador a adoção de providências, tais como: (i) ampla divulgação do fato em meios de comunicação; e (ii) medidas para reverter ou mitigar os efeitos do incidente.

No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los.

Aqueles que realizam o tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela ANPD: (i) advertência, com indicação de prazo para adoção de medidas corretivas; (ii) multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; (iii) multa diária, observado o limite total a que se refere o inciso II; (iv) publicização da infração após devidamente apurada e confirmada a sua ocorrência; (v) bloqueio dos dados pessoais a que se refere a infração até a sua regularização; (vi) eliminação dos dados pessoais a que se refere a infração; (vii) suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; (viii) suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; (ix) proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Observe-se que deve compor um projeto de implementação da LGPD a prévia elaboração de planos de resposta a incidentes de segurança, como o ocorrido com o STJ. Estes planos precisam ser previamente pensados, tendo em vista que a rapidez com que as empresas lidam com violações poderão influenciar na fixação de eventuais sanções a serem aplicadas pela ANPD, bem como em eventual ação judicial.

Traçar um plano de resposta significa preparar toda a empresa para agir em um momento de suspeita de incidente, de forma rápida e eficaz, minorando os danos dos titulares dos dados, impactando na fixação de sanções e preservando a imagem reputacional da empresa.

Assim, a nota oficial emitida pelo STJ demonstra a preocupação do Tribunal em estar em conformidade com a LGPD e demais normas de segurança da informação, hoje vigentes.

Segue, abaixo, trecho do comunicado.

NOTA OFICIAL

O Superior Tribunal de Justiça (STJ) comunica que a rede de tecnologia da informação do tribunal sofreu um ataque hacker, nessa terça-feira (3), durante o período da tarde, quando aconteciam as sessões de julgamento dos colegiados das seis turmas. A presidência do tribunal já acionou a Polícia Federal para a investigação do ataque cibernético.

A Secretaria de Tecnologia da Informação e Comunicação (STI) está trabalhando na recuperação dos sistemas dos serviços oferecidos pela Corte.

Por precaução, os prazos processuais seguem suspensos até a próxima segunda-feira (9). As demandas que importem em perecimento de direito (demandas urgentes, como liminares em habeas corpus) estarão centralizadas na presidência do STJ por igual prazo. As petições podem ser encaminhadas ao e-mail protocolo.emergencial@stj.jus.br.

Todas as sessões de julgamento, virtuais e/ou por videoconferência, estão suspensas ou canceladas até restabelecida a segurança do tráfego de dados nos nossos sistemas.

A área de TI do STJ recomendou aos usuários – ministros, servidores, estagiários e terceirizados – que não utilizem computadores, ainda que os pessoais, que estejam conectados com algum dos sistemas informatizados da Corte, até que seja garantida a segurança do procedimento.

Ministro Humberto Martins

Presidente do STJ/CJF

Esse texto foi escrito por Bruna Jardim Freitas, sócia de Guimarães e Meireles Advogados Associados S/C