Responsabilidade empresarial e estatal por acesso indevido ou por bloqueio de dados pessoais no meio ambiente virtual

04/07/2017

Por Phillip Gil França e Hélio Augusto Camargo de Abreu – 04/07/2017

Como anda a saúde do seu ´jardim eletrônico´? Você se preocupa com a sustentabilidade do seu ´meio ambiente virtual´? A praça digital onde vive está a ameaçar suas ´informações sigilosas´?

De que forma tais questões irão impactar economicamente a sua empresa ou o Estado? A busca pelas respostas sobre tais questões é o objeto do presente texto.

Reflitam sobre a seguinte cena cotidiana, que a cada dia está mais presente na rotina das pessoas que abrem suas portas e janelas ao ainda novo e desafiador ‘meio ambiente virtual’, por intermédio de aparelhos eletrônicos interconectados:

Durante um expediente normal de uma determinada empresa ou repartição pública, um colaborador recebe um e-mail de remetente não conhecido, com a indicação de ´clicar no link anexo´, para ganhar supostas ‘boas notícias’.

Ao abrir o link, outro e-mail é encaminhado para esse destinatário, informando que todos os dados de sua organização foram bloqueados e que, se pretende recuperar o acesso de tais informações, deverá pagar uma determinada quantia em moedas virtuais (bitcoins), em poucos dias.

Esse destreinado colaborador recebe, junto com o citado e-mail, um tutorial, explicando como proceder para efetuar a compra das moedas virtuais e como deve encaminhar o valor indicado.

Durante esse período de bloqueio de acesso ao conteúdo digital dessa empresa (ou repartição pública) atacada, todas as informações bloqueadas estão expostas, sob o controle de pessoas que não possuem autorização de acesso a tais dados.

Casos similares ao citado episódio fictício têm ocorrido com uma frequência cada vez maior. Isso porque, diariamente, nas empresas e nos órgãos estatais brasileiros, infelizmente, costuma-se observar a ocorrência do respectivo pagamento em razão do sequestro de tais dados digitais, o que motiva a prática desse tipo de crime.

Entretanto, a preocupação dos gestores deveria ser concentrada em como evitar tais incursões indevidas de pessoas estranhas ao meio ambiente virtual tutelado pela iniciativa privada ou pelo Estado, que estão a gerar tantos prejuízos materiais e morais.

O foco dos invasores virtuais está, principalmente, nas empresas e nos entes públicos que não adotam práticas ou políticas apropriadas de ‘proteção digital de dados’, sob a alegação de que teriam que fazer investimentos altos em equipamentos e também em profissionais qualificados, motivo pelo qual continuam contando com a sorte – nem sempre presente.

Arriscam seriamente, assim, o próprio negócio e, quando representam o Estado, o ônus público de bem servir o cidadão, sem saber que práticas bem direcionadas de orientação de seus colaboradores já seriam úteis para diminuir drasticamente o risco que estão constantemente expostos por atos inconsequentes que podem gerar prejuízos materiais, morais e de imagem incalculáveis

Por exemplo, no reino Unido, a população já recebe avisos, pelo ‘Centro Nacional de Segurança Cibernética’, dos riscos de serem afetados pelo “ransomware” (arquivo malicioso que restringe acesso a informações e cobra resgate para sua liberação) e que a popularização dos dispositivos ligados à internet como televisores e demais eletrodomésticos estão expostos aos mesmos problemas.

De igual forma, no Japão já se tem conhecimento de um número muito grande de televisores que foram vítimas de ataques, com os invasores bloqueando o acesso e exigindo o pagamento em bitcoins para liberá-los.

No Brasil, o índice de ataques está crescendo assustadoramente, a representar o segundo maior do mundo, atrás somente da Índia. Nos EUA, estima-se perdas na casa dos US$ 209 milhões nos três primeiros meses de 2.016, quando em 2.015 inteiro as perdas foram de US$ 25 milhões.

Conforme levantamento de Brenno Grillo, uma “pesquisa da Kroll feita com 545 executivos de médias e grandes empresas pelo mundo constatou que 85% dessas companhias sofreu com ataques virtuais em 2016. Essa foi a primeira vez que a consultoria de riscos buscou informações a respeito desse tipo específico de crime. Entre os principais ataques virtuais sofridos por empresas estão infestações por vírus (citada por 33% dos entrevistados), pishing — e-mails coletivos com spam (26%), problemas de sistema (24%), violação de segurança (23%) e perda de dados por sistema corrompido por malware (22%). Já as motivações são das mais diversas. Dentre as respostas, 26% dos entrevistados citou a vulnerabilidade do sistema que usam na companhia como culpada pelo ataque. Já 22% deles disseram que o episódio se deu por erro de um funcionário da companhia e 20% citaram roubo de aparelho com informações da empresa”[1].

Como é comum as empresas não informarem as autoridades sobre os ataques sofridos, estimasse que os números sejam bem mais significativos. A Europol, por sua vez, alertou que em 2016 este tipo de crime se tornou o mais difundido no continente, muito acima da invasão de contas bancárias.

Nos EUA, como medidas preventivas[2], o governo confecciona, em conjunto com a Agência Nacional de Segurança (NSA) e da CIA, cartilhas para orientar profissionais de tecnologia e de segurança da informação de empresas de todos os portes.

No Brasil os prejuízos colocam em risco a saúde financeira das empresas, bem como, geram concretos danos morais e materiais aos cidadãos e clientes que possuem seus dados bloqueados ou indevidamente acessados em razão da omissão de cuidado de tais informações por empresas e entes estatais.

Para que situações como essas não se repitam, as empresas e o Estado precisam adotar medidas urgentes de prevenção e de precaução de tais invasões causadas, muitas vezes, pelo mau uso dos terminais eletrônicos por seus colaboradores.

A estratégia mais indicada começa por palestras, cursos e consultoria de orientação proferidas por profissionais preparados para treinar os colaboradores de empresas e servidores públicos sobre os riscos que estão a submeter todo o sistema dos quais fazem parte.

Vale lembrar que no universo do agir administrativo estatal, bem como no meio empresarial, conforme as exigências constitucionais contemporâneas, o deixar de fazer pode gerar tanto dano como o fazer errado. Esse é o fundamento nuclear da responsabilidade por atos omissivos.

Entretanto, além do nexo causal entre a omissão administrativa e o dano causado, torna-se essencial para o estabelecimento de responsabilidade a demonstração do dever do Estado, ou da empresa, de agir de determinada forma e da possibilidade fática de assim atuar no contexto recortado em que se estabelece a perquirida responsabilização. Ao caso, exige-se atos concretos de prevenção e de precaução possíveis para que dados de cidadãos não fiquem expostos indevidamente.

Porém, frise-se: ao se tratar de meio ambiente virtual, tal ônus de prova deve ser invertido para o acusado de práticas ou omissões irregulares que geraram o risco ou a exposição indevida de dados pessoais em seus sistemas eletrônicos, supostamente protegidos e com seus colaboradores bem orientados sobre seu adequado uso.

Agir de forma responsável e responsabilizável é o que se espera e o que se exige de instituições republicanas, públicas ou privadas, por força inescapável da Constituição Federal, como legítimo diploma legal fundante da República Federativa do Brasil, na condição de um Estado Democrático de Direito.

Tais falhas e omissões, de forma geral, geram uma agressão aos direitos fundamentais do cidadão, com destaque ao da dignidade da pessoa humana, como resultado de quebra de limites de sustentabilidade do homem como cidadão digno no ambiente estatal, em especial quando tais agressões ocorrem no momento em que dados pessoais do cidadão estão sob específica e permanente tutela do Estado, ou de empresas privadas.

Desse modo, é natural a conclusão de que tal falha (ou ausência) de cumprimento de missão de guarda adequada de informações pessoais, que agrida direitos e gere prejuízo ao cidadão, represente gatilhos de responsabilização para que, assim, promova-se a recuperação do tecido jurídico e social rasgados pelos atos falhos ou omissões na tutela desses dados.

Isso porque, a confiança depositada no Estado, ou na empresa, não pode ser chancelada por frustrações de atendimento do texto constitucional, sob pena de esvaziamento da força da Constituição.

Na ocorrência de atos ou omissão ilegítimas, por outro lado, não cabe ao Estado-Juiz, quando provocado, deixar a ferida jurídica e social aberta, mesmo quando a agressão ocorrer no meio ambiente virtual, sem a proporcional e a legal responsabilização daqueles que, ou agiram em demasia, ou de forma insuficiente, no esperado cumprimento de guarda de informações pessoais de cidadãos.

Nesse contexto, quem possui dados bloqueados ou acessados por pessoas sem autorização sofre dano moral presumido (in re ipsa), caso as empresas, ou o Estado, não obtiverem êxito na demonstração de que tomaram todas as possíveis ações de segurança para evitar a ocorrência de tal fato, pois nessa situação as informações tornam-se indisponíveis para seus titulares e, por outro lado, vulneráveis para acessos aleatórios.

Logo, é dever inescapável das empresas em dos gestores públicos que possuem seu objeto de atividade conectado ao meio ambiente virtual tomarem todas as providencias possíveis para evitar que tais invasões, acesso e/ou sequestros de dados ocorram a partir de terminais eletrônicos que estão sob sua responsabilidade.

Ainda, a partir da verificação da responsabilidade decorrente de uma omissão, qual seja: deixar de zelar pelo uma boa atividade no meio ambiente virtual, como já destacado, indica-se que o ônus da prova de que fora providenciado tais atos de prevenção e de precaução nesse universo digital é das empresas e do Estado, quando demandados judicialmente por danos decorrentes de tais fatos.

Desse modo, torna-se urgente a conscientização e concretas ações dos empresários e dos gestores públicos no sentido de treinar seus colaboradores, de aumentar os cuidados dos seus ambientes virtuais e, finalmente, de demonstrar o quanto é importante a preservação de dados que não são seus, mas estão sob sua tutela – gerando, assim, responsabilidade pela boa guarda.


Notas e Referências:

[1] GRILLO, Brenno. 85% das empresas já sofreram ataques virtuais, segundo a Kroll. http://www.conjur.com.br/2017-fev-20/85-empresas-sofreram-ataques-virtuais-segundo-kroll. Acesso em 2/7/17.

[2] Vide: http://epoca.globo.com/tecnologia/experiencias-digitais/noticia/2017/03/sequestro-digital-siba-como-se-proteger.html.


PhililipPhillip Gil França é Pós-doutor (CAPES_PNPD), Doutor e Mestre em Direito do Estado pela PUC/RS, com pesquisas em doutorado sanduíche – CAPES na Faculdade de Direito da Universidade de Lisboa. Especialista em Direito Administrativo pelo Instituto de Direito Romeu Bacellar. Pós-Graduado em Direito Civil pelo Instituto de Direito Romeu Bacellar. Membro do Instituto dos Advogados do Paraná. Autor dos livros Controle da Administração Pública, 4° Ed. (Saraiva, 2016) e Ato Administrativo e Interesse Público, 3° Ed. (RT, 2016). Tradutor da obra The Principle of Sustainability Transforming Law and Governance de Klaus Bosselmann (RT, 2015). Diretor do Núcleo de Pesquisas Avançadas da Escola da Magistratura do Paraná, Membro do Grupo de Pesquisas de Constituição e Direitos Fundamentais (Cnpq) liderado pelo Professor Doutor Ingo W. Sarlet. Professor da Escola da Magistratura do Paraná. Professor dos cursos de Especialização em Direito IDP (Brasília), Abdconst (Curitiba) e Unibrasil (Curitiba). Vencedor do prêmio Jorge Miranda – TJ/TO de melhor tese de 2014. Árbitro da Câmara de Arbitragem e Mediação da Federação das Indústrias do Estado do Paraná; Membro da Comissão de Estágio e Exame de Ordem da OAB/PR. Advogado e Consultor Jurídico.


Hélio Augusto Camargo de Abreu. . Hélio Augusto Camargo de Abreu é Advogado, Professor, Especialista em direito digital e segurança da informação. . .


Imagem Ilustrativa do Post: reklamo: bitcoin | bitkoin | биткоин // Foto de: Vitalij Fleganov // Sem alterações

Disponível em: https://www.flickr.com/photos/kodisto/34972641252

Licença de uso: http://creativecommons.org/licenses/by/4.0/legalcode


O texto é de responsabilidade exclusiva do autor, não representando, necessariamente, a opinião ou posicionamento do Empório do Direito.


 

O texto é de responsabilidade exclusiva do autor, não representando, necessariamente, a opinião ou posicionamento do Empório do Direito.

Sugestões de leitura