Como anda a saúde do seu ´jardim eletrônico´? Você se preocupa com a sustentabilidade do seu ´meio ambiente virtual´? A praça digital onde vive está a ameaçar suas ´informações sigilosas´?
De que forma tais questões irão impactar economicamente a sua empresa (ou o Estado) a partir da lei de proteção de dados pessoais (lei 13.709/18)?
A busca pelas respostas sobre tais questões é o objeto do presente texto.
Reflita sobre a seguinte cena cotidiana, que cada dia está mais presente na rotina das pessoas que abrem suas portas e janelas ao ainda novo e desafiador ‘meio ambiente virtual’, por intermédio de aparelhos eletrônicos interconectados:
Durante um expediente normal de uma determinada empresa ou repartição pública, um colaborador recebe um e-mail de remetente não conhecido, com a indicação de ´clicar no link anexo´, para ganhar supostas ‘boas notícias’.
Ao abrir o link, outro e-mail é encaminhado para esse destinatário, informando que todos os dados de sua organização, inclusive as informações pessoais de clientes/usuários armazenadas em seus sistemas, foram bloqueados por um agente externo que ameaça expor e/ou utilizar tais informações de forma indevida (sem autorização e/ou consentimento dos titulares dessas informações).
Nesse cenário, para recuperar o acesso de tais informações pelo ente responsável pela guarda de tais informações, o indicado invasor exige o pagamento de uma determinada quantia em moedas virtuais (bitcoins), em poucos dias.
Então, esse destreinado colaborador recebe, junto com o citado e-mail, um tutorial (roteiro didático), explicando como proceder para efetuar a compra das moedas virtuais e de que forma deve encaminhar o valor indicado ao criminoso virtual.
Durante esse período de bloqueio de acesso ao conteúdo digital dessa empresa (ou repartição pública) atacada, todas as informações bloqueadas estão potencialmente expostas, sob o controle de pessoas que não possuem autorização de acesso a tais dados.
O que fazer? Quem será responsável de forma cível, administrativa e criminalmente perante tal fato?
Como proteger a empresa de consequências jurídicas e do mundo real devastadoras ao ponto de inviabilizar o seu objeto negocial, uma vez que, ao não se preocupar com a proteção de seus dados, perderá o que possui de mais valiosos: ´a confiança de seus clientes´?
Casos similares ao citado episódio fictício têm acontecido com uma frequência cada vez maior. Isso porque, diariamente, nas empresas e nos órgãos estatais brasileiros, infelizmente, costuma-se observar a ocorrência do respectivo pagamento em razão do sequestro de tais dados digitais, o que motiva a prática desse tipo de crime, e o não atendimento de políticas de prevenção e de precaução de crimes cibernéticos.
Desse modo, a preocupação dos gestores deveria ser concentrada, principalmente, em como evitar tais incursões indevidas de pessoas estranhas ao meio ambiente virtual tutelado pela iniciativa privada ou pelo Estado, que estão a gerar tantos prejuízos materiais e morais.
O foco dos invasores virtuais está, principalmente, nas empresas e nos entes públicos que não adotam práticas ou políticas apropriadas de ‘proteção digital de dados’, sob a alegação de que teriam que fazer investimentos altos em equipamentos e também em profissionais qualificados, motivo pelo qual continuam contando com a sorte – nem sempre presente.
Arriscam seriamente, assim, o próprio negócio e, quando representam o Estado, o ônus público de bem servir o cidadão, sem saber que práticas bem direcionadas de orientação de seus colaboradores já seriam úteis para diminuir drasticamente o risco que estão constantemente expostos por atos inconsequentes que podem gerar prejuízos materiais, morais e de imagem incalculáveis.
Situação que poderia ser superada por meio de um processo de compliance digital.
Por exemplo, no reino Unido, a população já recebe avisos, pelo ‘Centro Nacional de Segurança Cibernética’, dos riscos de serem afetados pelo “ransomware” (arquivo malicioso que restringe acesso a informações e cobra resgate para sua liberação) e que a popularização dos dispositivos ligados à internet como televisores e demais eletrodomésticos estão expostos aos mesmos problemas.
De igual forma, no Japão já se tem conhecimento de um número muito grande de televisores que foram vítimas de ataques, com os invasores bloqueando o acesso e exigindo o pagamento em bitcoins para liberá-los.
No Brasil, o índice de ataques está crescendo assustadoramente, a representar o segundo maior do mundo, atrás somente da Índia. Nos EUA, estima-se perdas na casa dos US$ 209 milhões nos três primeiros meses de 2.016, quando em 2.015 inteiro as perdas foram de US$ 25 milhões.
Conforme levantamento de Brenno Grillo, uma “pesquisa da Kroll feita com 545 executivos de médias e grandes empresas pelo mundo constatou que 85% dessas companhias sofreu com ataques virtuais em 2016. Essa foi a primeira vez que a consultoria de riscos buscou informações a respeito desse tipo específico de crime.
Entre os principais ataques virtuais sofridos por empresas estão infestações por vírus (citada por 33% dos entrevistados), pishing — e-mails coletivos com spam (26%), problemas de sistema (24%), violação de segurança (23%) e perda de dados por sistema corrompido por malware (22%).
Já as motivações são das mais diversas. Dentre as respostas, 26% dos entrevistados citou a vulnerabilidade do sistema que usam na companhia como culpada pelo ataque.
Já 22% deles disseram que o episódio se deu por erro de um funcionário da companhia e 20% citaram roubo de aparelho com informações da empresa”[1].
Como é comum as empresas não informarem as autoridades sobre os ataques sofridos, estimasse que os números sejam bem mais significativos.
A Europol, por sua vez, alertou que em 2016 este tipo de crime se tornou o mais difundido no continente, muito acima da invasão de contas bancárias.
Nos EUA, como medidas preventivas[2], o governo confecciona, em conjunto com a Agência Nacional de Segurança (NSA) e da CIA, cartilhas para orientar profissionais de tecnologia e de segurança da informação de empresas de todos os portes.
No Brasil os prejuízos colocam em risco a saúde financeira das empresas, bem como, geram concretos danos morais e materiais aos cidadãos e clientes que possuem seus dados bloqueados ou indevidamente acessados em razão da omissão de cuidado de tais informações por empresas e entes estatais.
Para que situações como essas não se repitam, as empresas e o Estado precisam adotar medidas urgentes de prevenção e de precaução de tais invasões causadas, muitas vezes, pelo mau uso dos terminais eletrônicos por seus colaboradores.
A estratégia mais indicada começa por palestras, cursos e consultoria de orientação proferidas por profissionais preparados para treinar os colaboradores de empresas e servidores públicos sobre os riscos que estão a submeter todo o sistema dos quais fazem parte.
Vale lembrar que no universo do agir administrativo estatal, bem como no meio empresarial, conforme as exigências constitucionais contemporâneas, o deixar de fazer pode gerar tanto dano como o fazer errado. Esse é o fundamento nuclear da responsabilidade por atos omissivos.
Entretanto, além do nexo causal entre a omissão administrativa e o dano causado, torna-se essencial para o estabelecimento de responsabilidade a demonstração do dever do Estado, ou da empresa, de agir de determinada forma e da possibilidade fática de assim atuar no contexto recortado em que se estabelece a perquirida responsabilização. Ao caso, exige-se atos concretos de prevenção e de precaução possíveis para que dados de cidadãos não fiquem expostos indevidamente.
Porém, frise-se: ao se tratar de meio ambiente virtual, tal ônus de prova deve ser invertido para o acusado de práticas ou omissões irregulares que geraram o risco ou a exposição indevida de dados pessoais em seus sistemas eletrônicos, supostamente protegidos e com seus colaboradores bem orientados sobre seu adequado uso.
Nesse sentir, a recente legislação de proteção de informações pessoais surge para reforçar os deveres de guarda de zelo de dados de titulares que estão em sistemas eletrônicos de empresas e de representantes do Estado.
A lei 13709/18, então, dispõe sobre o tratamento e proteção de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Ou seja, a citada norma procura evitar a incidência de agentes nocivos à positiva interatividade das pessoas com o meio, elementos e pessoas onde vive, voltados a absorver, de forma sustentável, aquilo que lhe traz benefícios para se desenvolver e excluir a atividade tóxica que atrapalha tal objetivo.
Assim, a referida lei expressa que é dever de todos aqueles que possuem banco de informações de outras pessoas promover, no máximo de suas possibilidade, formas de controle, de tutela e de adequado gerenciamento de tais informações pessoais de modo a não comprometer o natural caminho de desenvolvimento dos titulares de tais informações.
Tal norma possui como princípio estruturante (art. 6º, X) a necessária responsabilização e prestação de contas dos gestores de dados de terceiros, principalmente daquelas ´informações sensíveis´, por meio de demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Vale lembrar que, conforme a indicada lei, “informação pessoal sensível” é o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Logo, agir de forma responsável e responsabilizável é o que se espera e o que se exige de instituições republicanas, públicas ou privadas, por força inescapável da Constituição Federal, como legítimo diploma legal fundante da República Federativa do Brasil, na condição de um Estado Democrático de Direito.
Tais falhas e omissões, de forma geral, geram uma agressão aos direitos fundamentais do cidadão, com destaque ao da dignidade da pessoa humana, como resultado de quebra de limites de sustentabilidade do homem como cidadão digno no ambiente estatal, em especial quando tais agressões ocorrem no momento em que dados pessoais do cidadão estão sob específica e permanente tutela do Estado, ou de empresas privadas.
Assim exposto, é natural a conclusão de que tal falha (ou ausência) de cumprimento de missão de guarda adequada de informações pessoais, que agrida direitos e gere prejuízo ao cidadão, represente gatilhos de responsabilização para que, assim, promova-se a recuperação do tecido jurídico e social rasgados pelos atos falhos ou omissões na tutela desses dados.
Isso porque, a confiança depositada no Estado, ou na empresa, não pode ser chancelada por frustrações de atendimento do texto constitucional, sob pena de esvaziamento da força da Constituição.
Na ocorrência de atos ou omissão ilegítimas, por outro lado, não cabe ao Estado-Juiz, quando provocado, deixar a ferida jurídica e social aberta, mesmo quando a agressão ocorrer no meio ambiente virtual, sem a proporcional e a legal responsabilização daqueles que, ou agiram em demasia, ou de forma insuficiente, no esperado cumprimento de guarda de informações pessoais de cidadãos.
Nesse contexto, quem possui dados bloqueados ou acessados por pessoas sem autorização sofre dano moral presumido (in re ipsa), caso as empresas, ou o Estado, não obtiverem êxito na demonstração de que tomaram todas as possíveis ações de segurança para evitar a ocorrência de tal fato, pois nessa situação as informações tornam-se indisponíveis para seus titulares e, por outro lado, vulneráveis para acessos aleatórios.
Ou seja, é dever inescapável das empresas e dos gestores públicos que possuem seu objeto de atividade conectado ao meio ambiente virtual tomarem todas as providencias possíveis para evitar que tais invasões, acesso e/ou sequestros de dados ocorram a partir de terminais eletrônicos que estão sob sua responsabilidade.
Ainda, a partir da verificação da responsabilidade decorrente de omissões dessas entidades públicas ou privadas, qual seja: deixar de zelar por uma segura atividade no meio ambiente virtual, como já destacado, indica-se que o dever de provar de que os atos de prevenção e de precaução das informações pessoais inseridas nos seus sistemas conectados ao universo digital foram efetivamente providenciados, quando demandados judicialmente por danos decorrentes de tais fatos, de forma geral, passam a ser dos titulares de tais sistemas de armazenamento de dados.
Desse modo, torna-se urgente a conscientização e a tomada de concretas ações dos empresários e dos gestores públicos no sentido de treinar seus colaboradores, de aumentar os cuidados dos seus ambientes virtuais e, finalmente, de demonstrar o quanto é importante a preservação de dados que não são seus, mas estão sob sua tutela – gerando, assim, responsabilidade pela boa guarda e tutela das informações pessoais daqueles que interagem com eletronicamente com as empresas privadas e com o Estado.
Notas e Referências
[1] GRILLO, Brenno. 85% das empresas já sofreram ataques virtuais, segundo a Kroll. http://www.conjur.com.br/2017-fev-20/85-empresas-sofreram-ataques-virtuais-segundo-kroll. Acesso em 2/7/17.
[2] Vide: http://epoca.globo.com/tecnologia/experiencias-digitais/noticia/2017/03/sequestro-digital-siba-como-se-proteger.html.
Imagem Ilustrativa do Post: Pequeno mosaico de cubos ou prédios vistos do alto. // Foto de: Cícero R. C. Omena // Sem alterações
Disponível em: https://www.flickr.com/photos/10015563@N03/12826369975
Licença de uso: https://creativecommons.org/publicdomain/mark/2.0/