Natasha Reis de Carvalho Cardoso[1]
Resumo: O presente artigo busca analisar, a partir de precedentes estabelecidos pela doutrina americana e com base na legislação atual brasileira a responsabilidade das empresas, mas mais especificamente em relação aos escritórios de advocacia em um eventual incidente de vazamento de dados de seus clientes. A regulamentação atual que rege o assunto abrange a nova Lei Geral de Proteção de Dados Pessoais (LGPD), que entrará em vigor em 2020 e que traz disposições quanto à responsabilidade civil e administrativa destas empresas. A temática delimitada se justifica pela crescente onda de vazamento de dados de escritórios de advocacia que vem ocorrendo nos EUA. Estes meios se tornam alvos frequentes de hackers, já que encontram uma maior facilidade na busca de dados, tendo em vista a menor importância que os escritórios atribuem à segurança digital, apesar de guarnecerem valorosas informações, o que atraem mais ainda estes ataques. Para o estudo, portanto, o artigo será dividido em três partes essenciais: em um primeiro momento, serão trazidas as motivações desses agentes; em um segundo momento, a responsabilidade das empresas conforme legislação atual; e em um terceiro momento se estabelecerão estratégias possíveis para se prevenir estes eventuais ataques.
Palavras-chave: Lei Geral de Proteção de Dados Pessoais (LGPD). Vazamento de dados. Responsabilidade civil. Escritórios de advocacia.
Abstract: The purpose of this paper is to discuss the company’s liability, and more specifically of the law firms in breach data base. For this, it will be analyzed the American doctrine and the Brazilian legislation about the theme. The discuss will be focused in the new law created about data protection, influenced by the GDPR of UE, which will be in force just in 2020. For this research, the article is divided in three main parts. Part 1 brings an overview about the cyberattacks, studying who is making this and for what motivation. Part 2 examines the implications and possible liabilities for companies, specifically for law firms. Part 3 brings some strategies that law firms can follow to protect them by these attacks and by a potential liability.
Keywords: Law firms. Breach data base. Civil liability.
Sumário: Introdução. 1. Importância da discussão. 1.1. Vetores dos ataques cibernéticos: quem comete e por quê? 1.2. Força do desenvolvimento tecnológico, dificuldade de se detectar os ataques digitais e os reflexos na responsabilidade civil. 2. Crescente responsabilidade dos escritórios de advocacia. 2.1. Regulação normativa: leis vigentes e críticas. 3. Implementação de estratégias para mitigar os danos. 3.1 Estratégias preventivas e o desenvolvimento de segurança da informação. Conclusão. Referências.
Introdução
Casos de vazamento de dados estão se tornando cada vez mais frequentes ao redor do mundo. São dados pessoais e confidenciais que estão sendo retidos a fim de, muitas vezes, render lucros a quem os detenha[2], sejam eles financeiros ou pessoais[3].
No Brasil houve casos como o do vazamento de dados da Uber ou da Netshoes[4] em relação aos seus consumidores. Nos EUA, foram as estratégias políticas de Trump que se tornaram notórias[5]. Nesse gigante campo de atuação dos hackers, volta-se a atenção para uma recente mudança de alvo destes agentes: para os escritórios de advocacia. Nos EUA isso já é uma realidade presente e para ilustrar tal fato, American Bar Association promoveu uma pesquisa, a qual demonstrou que 26% de grandes escritórios norte-americanos tiveram algum tipo de incidente com vazamento de informações em 2016[6].
Um exemplo de grande repercussão foi no mesmo ano de 2016, quando chineses foram processados por invadirem sistemas computacionais de escritórios em Nova York em 2014 na busca de informações sobre fusões e aquisições, e onde obtiveram grande gama de informações confidenciais que foram, inclusive, utilizadas em operações nas bolsas de valores, resultando em lucros dantescos[7]. Assim, já há notícias de ação proposta contra escritórios de advocacia em razão de medidas inadequadas de segurança digital nos EUA.
A questão é: mas por que escritórios de advocacia e não as próprias empresas? Duas respostas vêm à baila e que já foram mencionados em diversos estudos empíricos[8] nos EUA sobre a temática: a motivação se dá pelo tipo de informação contida nos bancos de dados dos escritórios (financeira, estratégica, comercial e transações relevantíssimas para os concorrentes) e porque muitos deixam a segurança em segundo plano[9].
Voltados para este panorama é que os escritórios de advocacia, portanto, devem ter sua atenção cada vez maior para estes incidentes de dados que vem ocorrendo entre empresas, principalmente quando se tem uma regulamentação a ser observada quanto à responsabilidade nos casos de vazamento de dados.
A legislação brasileira já está começando a cobrar a responsabilidade das empresas que tiveram dados de seus clientes vazados. Casos recentes demonstram que o Ministério Público já vem adotando medidas para que empresas atacadas se expliquem à justiça e notifiquem os clientes sobre as informações confidenciais que foram expostas, antes mesmo da principal lei que trata do assunto entrar em vigor (Lei n. 13.709/18). A crescente exposição na mídia, e exigência de informações pela justiça fazem com que as empresas se sentem pressionadas e na obrigatoriedade de assumirem eventuais falhas a fim de mitigar suas responsabilidades e guarnecer suas reputações[10]. Tais fatos irão impactar, sem dúvida, a forma como as empresas lidam com os dados dos clientes.
Com o crescente desenvolvimento tecnológico e necessidade cada vez maior de captura de dados, em paralelo à crescente valoração destas informações, hackers vão aprimorar suas técnicas para tentar subtrair a maior quantidade de informações que puderem. Para tanto, os escritórios de advocacia são um atrativo alvo e daí a discussão do presente artigo: nestes casos, por que os escritórios estão se tornando alvos destes ataques? Como se dará sua responsabilidade em face da nova regulamentação criada? Quais seriam as estratégias a serem implantadas para evitar tais ataques?
A grande importância da discussão é pelo próprio fato de que advogados guarnecem grande gama de informações imprescindíveis para a profissão, o que traz um aprofundado dilema: clientes dependem de advogados para solucionar seus problemas jurídicos, mas também exigem a certeza de que seus dados permanecerão ilesos e em segredo.
Para solucionar causas jurídicas, o cliente precisará fornecer dados muito valiosos, como projetos futuros, negociações, dados econômicos/financeiros, ou até mesmo informações particulares, referentes à vida íntima do indivíduo (como, por exemplo, em caso de divórcio, em que são repassadas fotos e mensagens particulares). Nesse sentido, se o cliente não puder confiar nos escritórios para manter suas informações em sigilo, muito provavelmente irá hesitar em fornecê-las[11], prejudicando como um todo o regular prosseguimento da melhor solução para a causa e da profissão[12].
Para discutir este tema e responder a tais perguntas expostas, o presente artigo será dividido em três partes essenciais. Em um primeiro momento se trará a contextualização da temática no mundo atual, e dos ataques que vem ocorrendo em relação às empresas como um todo, com uma breve análise dos motivos pelos quais escritórios de advocacia estão se tornando alvos cada vez mais frequentes de hackers.
Em um segundo momento será discutida a implicação desses ataques na seara da responsabilidade civil, em consonância com a lei geral de proteção de dados pessoais (LGPD) que entrará em vigor já em 2020. Em um terceiro e último momento, serão trazidas algumas possíveis estratégias que podem ser implementadas a fim de minimizar os riscos de ataques cibernéticos e vazamento de dados confidenciais de clientes.
1.1 Vetores dos ataques cibernéticos: quem comete e por quê?
Escritórios de advocacia estão se tornando alvo central de hackers para roubo de dados e informações confidenciais de clientes. Percebeu-se para esses agentes que estes escritórios estocam uma base de dados significante e crucial para resolução de problemas das empresas, além de uma grande gama de matérias confidenciais que repercutem fortemente na esfera econômica e nas negociações internas destes agentes[13].
A grande qualidade e quantidade de informações, como planos de investimentos negociações, estratégias de negócios, descrições de diligências, planos para uma nova aquisição, transações comerciais ou até mesmo diagramas referentes a uma nova patente, vem atraindo estes novos hackers em busca de informações mais fáceis de serem conseguidas. Infiltrar escritórios de advocacia, portanto, vem se tornando uma possibilidade, senão uma já realidade por diversos motivos:
iii) Outra razão decorre da própria cultura dos escritórios de advocacia[18], já que, ao serem liderados por sócios, convivem em um ambiente em que muitas pessoas controlam simultaneamente o meio em que estão, o que torna socialmente e culturalmente difícil de impor novas políticas (como as boas práticas de seguranças). Além disso, muitas vezes tais medidas são consideradas, de forma errônea, como inúteis ou ineficazes. Por isso, são excluídas da pauta de discussões entre sócios e do ambiente corporativo como um todo, preferindo-se por manter padrões antigos a ter de desenvolver novas estratégias.
Em suma, a grande motivação de invasões para busca de dados nos escritórios de advocacia é a possibilidade de vir a obter de maneira mais fácil informações privilegiadas, as quais podem vir a valer muito no mercado cibernético.
Outro fato relevante ainda é que quem compra estes dados ou quem vem a realizar os ataques não raras vezes são as próprias empresas concorrentes de clientes de escritórios de advocacia. Obviamente sem excluir outros agentes que venham a ter interesse nestes dados e enxerguem nos escritórios uma fonte mais segura e fácil de consegui-los[19]. A questão é: em eventual vazamento de dados, como se insere a responsabilidade das empresas em geral? Para responder tal pergunta, será feita uma breve análise crítica desta espécie de crime digital a fim de se estudar com mais afinco a responsabilidade trazida pela nova lei geral de proteção de dados pessoais (LGPD), além de trazer algumas críticas quanto ao seu regramento.
1.2 Força do desenvolvimento tecnológico, dificuldade de se detectar ataques digitais e os reflexos na responsabilidade civil
Não há dúvidas de que o desenvolvimento tecnológico envolve inúmeras vantagens, como por exemplo, a constância de comunicação entre as pessoas, facilidade de transmissão de dados e informações, ou a propagação de um comércio mais ágil e eficiente. Por outro lado, a própria acessibilidade online requer importação e transferência de diversos arquivos e documentos importantes para resolução de problemas e para o próprio regular uso comercial desta ferramenta.
Essa circunstância cria oportunidades para hackers adentrarem ambientes corporativos e quebrarem seus sistemas remotos, os quais, apesar de apresentarem certo nível de segurança da informação, ainda são pouco eficazes na identificação de ataques digitais e consequente roubo de dados[20].
Isso decorre principalmente da falta de materialidade que perpassam estes ataques. Quando ocorre um roubo físico, ou um furto de um item, por exemplo, é fácil se identificar, já que sua corporificação nos permite sentir a falta. No entanto, quando um dado é “roubado”, dificilmente se percebe sua ausência, por conta da própria “invisibilidade” que caracterizam os crimes cibernéticos: o dado roubado permanece onde foi salvo.
Essa invisibilidade na perda é que faz com que detectar tal situação seja muito difícil[21] e isso se reflete fortemente na responsabilidade civil, o que vem sendo um grande desafio para a comunidade jurídica[22]. Isso porque a invisibilidade do ataque, a falta de identificação do sujeito, e a incapacidade de se quantificar os danos decorrente, fazem com que se tenha um maior desafio para o estudo da responsabilidade[23]. Isso ainda se torna mais complexo quando o roubo envolve segredos corporativos, em que a vítima provavelmente só se dará conta do ocorrido anos depois, quando, por exemplo, um adversário descobrir o que foi feito com os dados adquiridos[24].
Essa dificuldade de se responsabilizar as empresas por vazamento de dados, decorrentes dessas razões trazidas no presente artigo, fazem com que elas fiquem relutantes em assumir a responsabilidade moral no vazamento de dados e deixem de desenvolver mecanismos que previnam tais ataques. Companhias constantemente subestimam a magnitude de um ataque cibernético e consequente roubo de dados que podem vir a ocorrer, a demonstrar, muitas vezes, que são mais reativas do que proativas[25].
No entanto, a mudança de mentalidade e de consciência em prol de uma maior segurança e proteção das informações vem crescendo, principalmente com as novas regulamentações jurídicas a surgir. Por isso, escritórios de advocacia vem sentindo uma maior pressão e expectativa para aumentarem seus padrões de segurança. Até porque, na medida em que os advogados têm acesso a informações de extrema relevância, devem ser responsáveis por protegê-las.
Duas principais questões se impõem neste dever: primeiro, quais são as obrigações legais que uma empresa deve ter para os seus clientes relacionados à área de segurança de dados? E em segundo, quais remédios legais o cliente pode utilizar caso suas informações privadas possam ser comprometidas por um eventual vazamento?[26]
2.1. Regulação normativa: leis vigentes e críticas
No ordenamento brasileiro temos algumas respostas para tanto, mas ainda, infelizmente, o sistema padece de melhorias, o que será abordado posteriormente ao longo do artigo.
Neste momento, basta mencionar que temos assegurado à toda pessoa natural a garantia de ter a titularidade de seus dados mantidos de forma segura, assim como a privacidade, honra e imagem, conforme determina o art. 5º, X, CF[27]. Para sua proteção, tem-se o direito a indenização pelo direito material ou moral pela violação. Além disso, o próprio código civil determina o direito à reparação por aquele que tiver violado seu direito (art. 186 e 927 CC). Assim como também temos a Lei do Cadastro Positivo, o Marco Civil da Internet ou o CDC que regulam matérias sobre a esfera específica da proteção de dados[28].
No entanto, de forma completa e de maneira a abarcar todos os regramentos dessas regulamentações, e também inspirada na GDPR da União Europeia[29] foi publicada a Lei Geral de Proteção de Dados Pessoais (LGPD – Lei n. 13.709/2018) que entrará em vigor já em agosto de 2020[30], a qual, parafraseando a própria Constituição, assegura à toda pessoa natural a titularidade de seus dados pessoais e a garantia de seus direitos fundamentais de liberdade, intimidade e privacidade[31] (art. 17 da LGPD).
A nova regulamentação dispõe de forma específica o direito da pessoa ser indenizada em casos de prejuízos decorrentes do vazamento de seus dados e informações, trazendo ainda a possibilidade de denúncia à Autoridade Nacional de Proteção de Dados (ANPD), órgão federal que vai editar normas e fiscalizar procedimentos sobre proteção de dados. Este órgão foi criado pela MP 869/2018, e sancionada recentemente, originando a Lei 13.853/19, que modificou alguns dispositivos da LGPD[32].
Nesse sentido, dispõe a LGPD que, havendo qualquer incidente de vazamento de dados, os clientes devem ser notificados imediatamente, sob pena da empresa ser culpada pelo fato. A lei prevê que, em caso de descumprimento de quaisquer dos dispositivos previstos na lei, ensejará severas punições para as empresas e isto não será diferente para os escritórios de advocacia.
Para as empresas investigadas, a LGPD prevê, dentre as punições, desde uma advertência até multa equivalente a 2% do faturamento, que pode chegar até R$ 50 milhões. Além disso, não se afastam as outras responsabilidades cíveis, penais e administrativas hoje existentes relacionadas à utilização indevida de dados pessoais[33]. Por isso, dentre outros motivos profissionais e éticos, mas também econômicos, os escritórios de advocacia devem se preocupar em realizar a gestão de clientes e controle interno de informações, principalmente com a nova regulamentação que logo entrará em vigor.
Certamente os escritórios de advocacia e as empresas em geral devem se adaptar para condizerem suas políticas de gestão relacionados com a nova regulamentação. No entanto, a questão que se insere é: será que a nova regulamentação será capaz de alcançar todos os seus objetivos propostos em relação à responsabilidade civil dessas empresas ou ainda se permanecerá à margem da proteção exclusiva do código civil?
Para responder a estas perguntas, será feita uma breve análise de como se verifica e se cumpre a responsabilidade das empresas em caso de vazamento de dados, conforme dispõe a LGPD.
A LGPD prevê dois mecanismos de responsabilidade pelos agentes de tratamento de dados em razão das infrações cometidas em consonância com suas disposições: a responsabilidade administrativa e a civil. No caso da responsabilidade administrativa, ela trouxe mecanismos de sanções aplicáveis pela ANPD (art. 52 da LGPD[34]) e no caso da responsabilidade civil, trouxe o mecanismo de ressarcimento de danos, por meio de acionamento tradicional do Poder Judiciário (art. 22 da LGPD[35]).
Em ambos os casos, e até mesmo no caso de uma eventual responsabilidade administrativa, deverão ser instaurados processos administrativos pela ANPD, até pela própria observância do contraditório e ampla defesa, já que se apurará os riscos, danos e a conduta dos envolvidos no incidente. Apenas após este procedimento é que se aplicará a sanção condizente, em que uma delas, e em especial destaque, é a multa de até 50 milhões de reais por infração.
Diz-se em especial destaque porque a aplicação desta pode se transformar em importante mecanismo de maior efetividade da norma, já que a preocupação de uma empresa com um eventual vazamento de dados será muito maior sob a ótica desta penalidade. O que pode levar ao incentivo na utilização de mecanismos que possibilitem melhores práticas de controle de segurança de dados, e desenvolvimento de um compliance mais efetivo.
Já a aplicação da responsabilidade na esfera cível decorreria da própria aplicação dos arts. 186, 187 e 927 do CC. Por isso, a ocorrência de eventuais falhas relacionadas ao tratamento de dados pessoais irá gerar reparação civil e será constatada pelo magistrado quando a empresa deixar de observar a legislação ou não fornecer a segurança mínima adequada para o titular dos dados, ou ainda para eventuais casos de judicialização de medidas administrativas[36]. No entanto, ainda há uma controvérsia sobre qual seria a real natureza dessa responsabilidade civil[37], principalmente quando se tratar de atividade de risco: seria objetiva ou subjetiva? Não há ainda um consenso, e por isso a insegurança jurídica seria supostamente solucionada pelas decisões judiciais futuras que viriam a surgir. Mas importante mencionar que a lei criou excludentes de responsabilidade em seu art. 43, determinando, por exemplo, que não haveria culpa em caso de dano decorrente exclusivamente de terceiro, ou se provassem não haver violação à legislação[38].
A lei ainda criou a necessidade de se ter a presença de um DPO (Data Protection Officer), profissional que seria responsável pela aplicação das normas e segurança da empresa, a fim de se possibilitar um incentivo maior na prevenção de riscos e não apenas em sua repressão.
Neste sentido, há grande relevância discutir a eventual responsabilidade dos escritórios de advocacia que adviriam da LGPD, em consonância com as sanções administrativas e civis que são previstas, principalmente se considerar a mudança de foco dos hackers para este campo. Para tanto, soluções preventivas de ataques digitais devem ser implantadas, tanto para evitar vazamento de dados e possível responsabilidade, quanto para possibilitar adequação à nova lei e manutenção da reputação da empresa.
3.1 Estratégias preventivas e o desenvolvimento de segurança da informação
Portanto, empresas e mais especificamente escritórios de advocacia devem adaptar as gestões de seus negócios com o desenvolvimento de uma maior segurança digital.
Para tanto, a própria LGPD estabelece alguns mecanismos para que se previna eventuais riscos de ataques, como por exemplo, a adequação de processos de governança corporativa, que poderiam ser implementados por um programa de compliance digital, complementado por investimentos nas ferramentas de segurança digital e atualização delas, além de uma mudança cultural[39].
Destrinchando cada uma dessas ferramentas, deve-se analisá-las isoladamente a fim de uma maior otimização na prevenção de eventuais ataques[40].
Esse investimento em segurança da informação é essencial e se decorrente de um conjunto de procedimentos, políticas e ações para proteção de informações permite que os negócios das empresas sejam preservados com muito mais segurança e eficiência. Além disso, é imprescindível minimizar ao máximo qualquer possibilidade de vazamento de dados, principalmente quando se pensa que, muitas vezes, o inimigo se encontra na própria organização[41].
Isso porque todos os dias uma grande variedade de dados é compartilhada e movimentada a partir de transferência de arquivos e mensagens, seja através de rede interna ou pela internet. Assim, os incidentes de vazamento de dados, muitas vezes, podem estar relacionados com roubo de dados por pessoas da própria organização ou até mesmo por negligência delas. E o motivo para tanto pode também se conectar a não conformidade às definições de políticas específicas determinadas pela empresa[42].
Nesse sentido, mesmo que os escritórios de advocacia estejam em maior desvantagem em relação a segurança de dados, principalmente aqueles nacionais se comparados com os estrangeiros, ainda os primeiros possuem a vantagem de poder aprender pelas experiências de gigantes (como, por exemplo, o aprendizado que se poderia retirar da onda crescente de vazamento de dados e informações de escritórios que vem ocorrendo nos EUA[44]), e assim desenvolver mecanismos de segurança de dados muito mais eficazes.
Um desses mecanismos é esta instituição de compliance efetivo[45], que prioriza a redução de riscos da empresa, e que perpassa pelos instrumentos já mencionados acima, como por exemplo a avaliação de riscos, monitoramento, auditoria e due diligence..
iii) Por último, mas não a exaurir o tema, deve-se mudar a cultura dos escritórios jurídicos e seu padrão, para que se perpetue a valorização e preocupação dos dados pessoais repassados por clientes. Nesse sentido, deve-se adotar políticas internas para que funcionários tenham consciência, por exemplo, da importância de mudança de senhas corporativas e preservação do sigilo delas. Assim, sócios e líderes de escritórios de advocacia devem mostrar a todos o quanto é essencial e prioritária a segurança da informação[46], e mostrar as consequências que um vazamento de dados poderia gerar para a empresa, seja em termos econômicos ou em termos morais[47] (principalmente se levarmos como base a nova regulamentação da LGPD e suas severas punições).
Em suma, deve-se tratar o problema não mais como um simples “incômodo” do dia-a-dia que perpassam os escritórios de advocacia, mas sim como algo sério, problemático e conivente com a própria sobrevivência da empresa e sua competitividade[48]. Até porque, clientes vão preferir escritórios que se importem com a privacidade e segurança de seus dados que são repassados, os quais são de grande valor para suas negociações.
Portanto, o papel que uma cultura individual e em grupo possui tem grande relevância para a prevenção de ataques digitais que possam vir a surgir. Procedimentos estratégicos e de gestão, através também de treinamentos de pessoal são a chave para que dificulte ou até mesmo impossibilite vazamentos de dados, a fim também de se consagrar uma menor responsabilidade.
Conclusão
Estudos específicos em direito digital passam a adquirir relevância ímpar no mundo contemporâneo em que vivenciamos e respostas urgentes passam a ser necessárias para um mundo em crescente transformação e integração do mundo jurídico com o virtual. São respostas que, muitas vezes, leis antigas não conseguem trazer e nem mesmo sua normatização acompanha as mudanças que surgem a todo instante, em fervorosa transformação. Por isso, este é o momento para que juristas adentrem aspectos técnicos da informática em prol do aprimoramento de suas decisões[49] e isso se insere na crescente preocupação que devem ter os escritórios de advocacia e seus profissionais em visualizar um crescente ramo de possibilidades, mas ao mesmo tempo de desafios.
A internet propiciou uma facilidade maior de comunicação e transferência de informações entre cliente-advogado, ao mesmo tempo que trouxe maiores responsabilidades em se preservar o seu sigilo, principalmente em uma valoração crescente de dados, que vem a perpetuar a onda de ataques digitais em empresas em geral.
Por isso, leis que tragam uma maior segurança jurídica e incentivem a busca por soluções para o tratamento de vazamento de dados, mesmo que através de penalidades surgem em boa medida no mundo contemporâneo.
Assim, a LGPD tem grande potencial para ser um mecanismo efetivo de prevenção de riscos de ataques digitais, principalmente se seus mecanismos, tais como descritos, cumprirem seu papel individual. Além disso, as sanções que a LGPD traz faz com que tenha uma maior observância e preocupação por parte de empresas e principalmente de escritórios de advocacia, que guarnecem valorosas informações de seus clientes. Isso faz surgir uma grande oportunidade de transformação e criação de um novo modelo de gestão.
Nesse sentido, a LGPD trouxe fortes mecanismos estruturados em princípios que prezam pela utilização de políticas preventivas, e não apenas repressivas. Além disso, trouxe a imprescindibilidade da responsabilidade profissional em notificar[50] o cliente em caso de “roubo” de dados que venham a ocorrer. De suma importância tal notificação, já que, além de se preservar a relação cliente-advogado, ainda possibilita uma redução de responsabilidade que poderia vir a surgir, ainda mais se tivesse havido a aderência conjunta de políticas de compliance.
Referências
AMERICANBAR. Publications 2015. Disponível em: <www.americanbar.org/publications/techreport/2015/Security.html>. Acesso em: 20/10/2019.
AMERICANBAR. Publications 2016. Disponível em: <www.americanbar.org/publications/techreport/2016/security.html>. Acesso em: 20 out. 2019.
BBC, Escândalo de uso político de dados que derrubou valor do facebook, 20/03/2018. Disponível em: <https://g1.globo.com/economia/tecnologia/noticia/entenda-o-escandalo-de-uso-politico-de-dados-que-derrubou-valor-do-facebook-e-o-colocou-na-mira-de-autoridades.ghtml> Acesso em: 20 out. 2019.
BISHOP, Derek A. To serve and protect: do businesses have a legal duty to protect collections of personal information? 3 Shidler J. L. Com. & Tech. 7 (Dec. 4, 2006). Disponível em: <http://www.lctjournal.washington.edu/Vol3/aOO7Bishop.html>. Acesso em 12/10/2019.
BUTTRICK, Hilary G. The skeleton of a data breach – the ethical and legal concerns. Vol. XXIII, Issue 1. Richmond Journal of Law & Technology. (2016). Disponível em: <http://jolt.richmond.edu/wpcontent/uploads/volume23_article2_Buttrick.pdf.>Acesso em: 20/10/2019.
CARVALHO VENTURA, Leonardo Henrique. Considerações sobre a nova lei geral de proteção de dados. Disponível em: <https://jus.com.br/artigos/68966/consideracoes-sobre-a-nova-lei-geral-de-protecao-de-dados-pessoais.>. Acesso em: 20/10/2019.
CONGRESSO EM FOCO. Senado Aprova antecipação da Lei Geral de Proteção de Dados. Disponível em: <https://congressoemfoco.uol.com.br/legislativo/senado-aprova-antecipacao-da-lei-geral-de-protecao-de-dados/>. Acesso em: 03/04/2020.
DELGADO MORO, Tailane Moreno. O que fazer frente a um vazamento de dados? Disponível em: <https://ibpt.com.br/noticia/2696/O-que-fazer-frente-a-um-vazamento-de-dados – >Acesso em: 20 out. 2019.
EZEKIEL, Alan W. Hackers, spies and stolen secrets: protecting law firms from data theft. Harvard Journal of Law $& Technology, vol. 26, number 2, Spring 2013, p. 649-688.
FERREIRA, Fernando. Vazamento de dados: de quem é a responsabilidade e como podemos evitar isso? Disponível em: <https://www.aarb.org.br/vazamento-de-dados-de-quem-e-a-responsabilidade-e-como-podemos-evitar-isso/>. Acesso em: 20 out. 2019.
FREITAS CRESPO, Marcelo Xavier; ALMEIDA CAMARGO SANTOS, Coriolano Aurélio. Segurança da informação, escritórios de advocacia e compliace: por que a atenção precisa ser redobrada? In: Direito Digital aplicado. Patricia Peck Pinheiro (Coord.) São Paulo: Revista dos Tribunais, 2018, p. 64-66.
FOLHA DE SÃO PAULO. Relembre os principais vazamentos de dados de brasileiros. Disponível em: <https://www1.folha.uol.com.br/tec/2019/01/relembre-os-principais-vazamentos-de-dados-de-brasileiros-em-2018.shtml>. Acesso em: 20 out. 2019.
GLOBO. Empresas também são culpadas por vazamento de dados. Disponível em: <http://g1.globo.com/tecnologia/blog/seguranca-digital/post/empresas-tambem-sao-culpadas-por-vazamentos-de-dados.html>. Acesso em: 20 out. 2019.
ITFORUM. Responsabilidade e dever de indenizar também devem ser discutidos em vazamento de dados. Disponível em: <https://itforum365.com.br/responsabilidade-e-dever-de-indenizar-tambem-devem-ser-discutidos-em-vazamentos-de-dados/> Acesso em 20 out. 2019.
LAW.COM. More than 100 law firms have reported data breaches. Disponível em: <https://www.law.com/2019/10/15/more-than-100-law-firms-have-reported-data-breaches-and-the-picture-is-getting-worse/?slreturn=20190931133948>. Acesso em: 20 out. 2019.
MOMBELLI, Elisa. EUA mostra cadeia de responsabilidade no vazamento de dados. Disponível em <https://www.conjur.com.br/2015-fev-01/eua-mostra-cadeia-responsabilidade-vazamento-dados.> Acesso em: 20 out. 2019.
PAPARDOPOULOS, Emilian; MCNERNEY, Michael. Hacker’s delight: law firm risk and liability in the cyber age. American University Law review, n. 5, vol. 62 (June, 2013), p. 1243-1272.
PEREIRA MARTINS, Ana Paula. Vazamento de dados e mercantilização de dados pessoais e a fragilidade da segurança digital do consumidor. In: Research Gate (May, 2018). Disponível em: <http://www.resarchgate.net/publication/327416131>. Acesso em: 5 set. 2019.
ROMANOSKY, Sasha; HOFFMAN, David; ACQUISTI, Alexandro. Empirical Analysis of data breach litigation. In: Journal of Empirical Legal Studies, vol. 11, Issue 1, March (2014), p. 74-104.
RUANI BARBOSA, Guilherme Augusto. Segurança da informação: a proteção contra o vazamento de dados e sua importância para as empresas privadas. Revista Eletrônica e-Fatec.Vol. 6, n. 1 (2016), p. 1-10.
SCHACKELFORD, Scott J. Should your firm invest in cyber risk insurance? Business Horizons (2012). Disponível em: <www.sciencedirect.com>. Acesso em: 20/10/2019, p. 349-356.
SENADO NOTÍCIAS. Lei que cria autoridade nacional de proteção de dados é sancionada. Disponível em: <https://www12.senado.leg.br/noticias/materias/2019/07/09/lei-que-cria-autoridade-nacional-de-protecao-de-dados-e-sancionada-com-vetos>. Acesso em: 30 out. 2019.
SOUSA MONTEIRO, Yasmin. Efetividade dos mecanismos de proteção de dados da lei. Monografia: UniCEUB, Brasília, 2019. Brasília: 2019.
[1] Bacharela em Direito, Universidade de São Paulo (USP). Extensão na Universidade de Zurique, Suíça (UZH – Universität Zürich). Advogada (OAB/SP). E-mail: natashacardoso998@yahoo.com.br
[2] Informações pessoais têm ganhado valor na era da informação. Empresas agora coletam e vendem informações pessoais para um grande número de propósitos. Esses propósitos incluem gestão de riscos, vendas, pesquisas, personalização de vendas. Mas essas informações pessoais ainda podem ser usadas para propósitos ilícitos, como uso de números de cartões de banco ou senhas pessoais de segurança.
[BISHOP, Derek A. To serve and protect: do businesses have a legal duty to protect collections of personal information? 3 Shidler J. L. Com. & Tech. 7 (Dec. 4, 2006). Disponível em: <http://www.lctjournal.washington.edu/Vol3/aOO7Bishop.html>. Acesso em 12/10/2019, p. 4].
[3] Nos EUA, por exemplo, há uma estimativa de que o aumento nos ataques de hackers e na indústria de espionagem trouxe um enorme custo das vítimas e da economia nacional. Há uma estimativa de que as companhias americanas perderam R$ 50 bilhões em 2009 em espionagem cibernética [EZEKIEL, Alan W. Hackers, spies and stolen secrets: protecting law firms from data theft. Harvard Journal of Law $& Technology, vol. 26, number 2, Spring 2013, p. 650].
[4]A Netshoes teve os dados de quase dois milhões de clientes expostos na internet e outros vazamentos ainda ocorreram, como os de 2 milhões de clientes da C&A ou então de quase 500 mil brasileiros no Facebook ou de 156 mil brasileiros da Uber, dentre outros [FOLHA DE SÃO PAULO. Relembre os principais vazamentos de dados de brasileiros. Disponível em: <https://www1.folha.uol.com.br/tec/2019/01/relembre-os-principais-vazamentos-de-dados-de-brasileiros-em-2018.shtml>. Acesso em: 20/10/2019].
[5] Cf. CARVALHO VENTURA, Leonardo Henrique. Considerações sobre a nova lei geral de proteção de dados. Disponível em: <https://jus.com.br/artigos/68966/consideracoes-sobre-a-nova-lei-geral-de-protecao-de-dados-pessoais.>. Acesso em: 20/10/2019.
[6]Cf.AMERICANBAR. Publications 2016. Disponível em: <www.americanbar.org/publications/techreport/2016/security.html>. Acesso em: 20/10/2019; AMERICANBAR. Publications 2015. Disponível em: <www.americanbar.org/publications/techreport/2015/Security.html>. Acesso em: 20/10/2019.
[7] FREITAS CRESPO, Marcelo Xavier; ALMEIDA CAMARGO SANTOS, Coriolano Aurélio. Segurança da informação, escritórios de advocacia e compliace: por que a atenção precisa ser redobrada? In: Direito Digital aplicado. Patricia Peck Pinheiro (Coord.) São Paulo: Revista dos Tribunais, 2018, p. 65.
[8] ROMANOSKY, Sasha; HOFFMAN, David; ACQUISTI, Alexandro. Empirical Analysis of data breach litigation. In: Journal of Empirical Legal Studies, vol. 11, Issue 1, March (2014), p. 74-104.
[9] FREITAS CRESPO, Marcelo Xavier; ALMEIDA CAMARGO SANTOS, Coriolano Aurélio. Segurança da informação, escritórios de advocacia e compliace: por que a atenção precisa ser redobrada? In: Direito Digital aplicado. Patricia Peck Pinheiro (Coord.) São Paulo: Revista dos Tribunais, 2018, p. 65.
[10] FREITAS CRESPO, Marcelo Xavier; ALMEIDA CAMARGO SANTOS, Coriolano Aurélio. Segurança da informação, escritórios de advocacia e compliace: por que a atenção precisa ser redobrada? In: Direito Digital aplicado. Patricia Peck Pinheiro (Coord.) São Paulo: Revista dos Tribunais, 2018, p. 64.
[11] EZEKIEL, Alan W. Hackers, spies and stolen secrets: protecting law firms from data theft. Harvard Journal of Law $& Technology, vol. 26, number 2, Spring 2013, p. 651.
[12] PAPARDOPOULOS, Emilian; MCNERNEY, Michael. Hacker’s delight: law firm risk and liability in the cyber age. American University Law review, n. 5, vol. 62 (June 2013), p. 1254.
[13] PAPARDOPOULOS, Emilian; MCNERNEY, Michael. Hacker’s delight: law firm risk and liability in the cyber age. American University Law review, n. 5, vol. 62 (June, 2013), p. 1246.
[14] PAPARDOPOULOS, Emilian; MCNERNEY, Michael. Hacker’s delight: law firm risk and liability in the cyber age. American University Law review, n. 5, vol. 62 (June 2013), p. 1250.
[15] EZEKIEL, Alan W. Hackers, spies and stolen secrets: protecting law firms from data theft. Harvard Journal of Law $& Technology, vol. 26, number 2, Spring 2013, p. 651.
[16] EZEKIEL, Alan W. Hackers, spies and stolen secrets: protecting law firms from data theft. Harvard Journal of Law $& Technology, vol. 26, number 2, Spring 2013, p. 650.
[17] Isso pode ser especialmente percebido quando o próprio escritório de advocacia é substancialmente menor do que o cliente, e por isso menos capaz de suportar ataques cibernéticos que possam vir a ocorrer. Estes escritórios, muitas vezes, não possuem os instrumentos ou conhecimento para manter os dados de seus clientes adequadamente protegidos [EZEKIEL, Alan W. Hackers, spies and stolen secrets: protecting law firms from data theft. Harvard Journal of Law $& Technology, vol. 26, number 2, Spring 2013, p. 655-656].
[18] EZEKIEL, Alan W. Hackers, spies and stolen secrets: protecting law firms from data theft. Harvard Journal of Law $& Technology, vol. 26, number 2, Spring 2013, p. 657.
[19] Emiliam Parpadoulos e Michael Mcnerney [Hacker’s delight: law firm risk and liability in the cyber age. American University Law review, n. 5, vol. 62 (June, 2013), p. 1247] fizeram pesquisa na qual se demonstrou que os ataques cibernéticos em face de escritórios de advocacia ocorrem por diferentes outros grupos por motivações diversas e capacidades técnicas que variam consideravelmente a depender do agente: podem ser Estados-nações; Estados não governamentais; ou os hackers individuais.
[20]PAPARDOPOULOS, Emilian; MCNERNEY, Michael. Hacker’s delight: law firm risk and liability in the cyber age. American University Law review, n. 5, vol. 62 (June 2013), p. 1251.
[21]EZEKIEL, Alan W. Hackers, spies and stolen secrets: protecting law firms from data theft. Harvard Journal of Law $& Technology, vol. 26, number 2, Spring 2013, p. 652-653.
[22] PAPARDOPOULOS, Emilian; MCNERNEY, Michael. Hacker’s delight: law firm risk and liability in the cyber age. American University Law review, n. 5, vol. 62 (June 2013), p. 1261.
[23]EZEKIEL, Alan W. Hackers, spies and stolen secrets: protecting law firms from data theft. Harvard Journal of Law $& Technology, vol. 26, number 2, Spring 2013, p. 663.
[24] EZEKIEL, Alan W. Hackers, spies and stolen secrets: protecting law firms from data theft. Harvard Journal of Law $& Technology, vol. 26, number 2, Spring 2013, p. 664.
[25] BUTTRICK, Hilary G. The skeleton of a data breach – the ethical and legal concerns. Vol. XXIII, Issue 1. Richmond Journal of Law & Technology. (2016). Disponível em: http://jolt.richmond.edu/wpcontent/uploads/volume23_article2_Buttrick.pdf, p. 9.
[26]BUTTRICK, Hilary G. The skeleton of a data breach – the ethical and legal concerns. Vol. XXIII, Issue 1. Richmond Journal of Law & Technology. (2016). Disponível em: http://jolt.richmond.edu/wpcontent/uploads/volume23_article2_Buttrick.pdf, p. 10.
[27] Art. 5º, X, CF: “são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação”.
[28] Antes da regulamentação da LGPD, por exemplo, pensava-se em uma possível “cadeia de responsabilidade civil” entre as empresas, como foi bem explicado em artigo de Elisa Mombelli [EUA mostra cadeia de responsabilidade no vazamento de dados. Disponível em <https://www.conjur.com.br/2015-fev-01/eua-mostra-cadeia-responsabilidade-vazamento-dados.> Acesso em 20/10/2019] haveria a responsabilidade objetiva da empresa em face do vazamento de dados do consumidor decorrente de contas bancárias e financeira, que ensejaram fraudes. Esta responsabilidade seria da instituição financeira (STJ, AgRg no AREsp 602.968/SP, julgado em 02/12/2014, DJe 10/12/2014), que iriam ressarcir os clientes dos custos decorrentes dessas fraudes, mas posteriormente buscariam a responsabilidade da empresa responsável pelo vazamento, caso se vislumbrasse a negligência na segurança em armazenar tais dados.
[29] Os escândalos recorrentes relacionados à violação de dados pessoais, seja quanto à campanha de Donald Trump ou também aquelas envolvendo as empresas do Facebook e Cambridge Analytica suscitaram na aprovação do General Data Protection Regulation (GDPR) na União Europeia, em vigor desde 2018, e que traz normas sobre dados de cidadãos sediados dentro do bloco, aplicáveis tanto para empresas internas, como no mundo todo que oferecem bens ou serviços referentes aos indivíduos no local. Influenciado por esta regulamentação é que foi aprovada no Brasil a Lei Geral de Proteção de Dados no mesmo ano, a qual será objeto de discussão ao longo deste trabalho. Estes fatos impulsionaram fortemente o debate sobre o tratamento da proteção de dados pessoais ao redor do mundo [BBC, Escândalo de uso político de dados que derrubou valor do facebook, 20/03/2018. Disponível em: <https://g1.globo.com/economia/tecnologia/noticia/entenda-o-escandalo-de-uso-politico-de-dados-que-derrubou-valor-do-facebook-e-o-colocou-na-mira-de-autoridades.ghtml> Acesso em: 20/10/2019].
[30] A referida lei previu uma vacatio legis de 18 meses para entrar em vigor, para que as empresas pudessem se adaptar às normas e aos processos internos conforme estabelecido na regulamentação. Portanto, inicialmente sua vigência de toda a sua regulamentação seria em agosto de 2020, mas recentemente (03/04/2020) o Senado aprovou projeto que determina serem as sanções da aplicáveis apenas a partir de agosto de 2021 [CONGRESSO EM FOCO. Senado Aprova antecipação da Lei Geral de Proteção de Dados. Disponível em: <https://congressoemfoco.uol.com.br/legislativo/senado-aprova-antecipacao-da-lei-geral-de-protecao-de-dados/>. Acesso em: 03/04/2020.
[32]SENADO NOTÍCIAS. Lei que cria autoridade nacional de proteção de dados é sancionada. Disponível em: <https://www12.senado.leg.br/noticias/materias/2019/07/09/lei-que-cria-autoridade-nacional-de-protecao-de-dados-e-sancionada-com-vetos>. Acesso em: 30/10/2019.
[33]Cf. DELGADO MORO, Tailane Moreno. O que fazer frente a um vazamento de dados? Disponível em: <https://ibpt.com.br/noticia/2696/O-que-fazer-frente-a-um-vazamento-de-dados – >Acesso em: 20/10/2019.
[34] Art. 52 da LGPD: “Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: I – advertência, com indicação de prazo para adoção de medidas corretivas; II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; III – multa diária, observado o limite total a que se refere o inciso II; IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência; V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização; VI – eliminação dos dados pessoais a que se refere a infração;”
[35] Art. 22 da LGPD: “A defesa dos interesses e dos direitos dos titulares de dados poderá ser exercida em juízo, individual ou coletivamente, na forma do disposto na legislação pertinente, acerca dos instrumentos de tutela individual e coletiva”.
[36]SOUSA MONTEIRO, Yasmin. Efetividade dos mecanismos de proteção de dados da lei. Monografia: UniCEUB, Brasília, 2019. Brasília: 2019, p. 23.
[37] CARVALHO VENTURA, Leonardo Henrique. Considerações sobre a nova lei geral de proteção de dados. Disponível em: <https://jus.com.br/artigos/68966/consideracoes-sobre-a-nova-lei-geral-de-protecao-de-dados-pessoais.>. Acesso em: 20/10/2019.
[38] Art. 43 da LGPD: “Os agentes de tratamento só não serão responsabilizados quando provarem: I – que não realizaram o tratamento de dados pessoais que lhes é atribuído; II – que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; III – que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro”.
[39] SOUSA MONTEIRO, Yasmin. Efetividade dos mecanismos de proteção de dados da lei. Monografia: UniCEUB, Brasília, 2019. Brasília: 2019, p. 18.
[40] Marcelo Xavier e Coriolano Aurélio, em artigo sobre o tema da segurança da informação em escritório de advocacia trazem um rol exemplificativo, didático e resumido do que se poderia realizar para se ter o mínimo esperado de segurança na companhia: “a) se proceda a um risk assessment, isto é, se faça um levantamento de riscos e vulnerabilidades, identificando as ações necessárias e suficientes para evita-las; b) seja providenciado um inventário de informações, identificando o que se tem em bancos de dados; c) sejam estabelecidas responsabilidades, tais como quem deve ser procurado quando houver um incidente; d) sejam desenvolvidas políticas e procedimentos; e) sejam promovidos treinamentos recorrentes para assegurar que todos saibam a importância da segurança da informação; f) seja desenvolvido um plano de resposta a incidentes, sobre como devem ser feitas as investigações, quem é responsável pelas atividades, que leis e normas devem ser seguidas; g) se faça um seguro de segurança digital;”, dentre outros mecanismos que possam vir a auxiliar na segurança digital da empresa [FREITAS CRESPO, Marcelo Xavier; ALMEIDA CAMARGO SANTOS, Coriolano Aurélio. Segurança da informação, escritórios de advocacia e compliace: por que a atenção precisa ser redobrada? In: Direito Digital aplicado. Patricia Peck Pinheiro (Coord.) São Paulo: Revista dos Tribunais, 2018, p. 65].
[41] Além do próprio inimigo poder estar dentro da organização, é importante ressaltar que a segurança da informação nas organizações, muitas vezes, é ineficaz. Segundo dados da Ernest & Young (2013), apenas 17% das organizações detêm segurança das informações de forma eficaz [RUANI BARBOSA, Guilherme Augusto. Segurança da informação: a proteção contra o vazamento de dados e sua importância para as empresas privadas. Revista Eletrônica e-Fatec.Vol. 6, n. 1 (2016)].
[42]RUANI BARBOSA, Guilherme Augusto. Segurança da informação: a proteção contra o vazamento de dados e sua importância para as empresas privadas. Revista Eletrônica e-Fatec.Vol. 6, n. 1 (2016), p. 6.
[43] BUTTRICK, Hilary G. The skeleton of a data breach – the ethical and legal concerns. Vol. XXIII, Issue 1. Richmond Journal of Law & Technology. (2016). Disponível em: <http://jolt.richmond.edu/wpcontent/uploads/volume23_article2_Buttrick.pdf.>Acesso em: 20/10/2019, p. 19-21.
[44] Cf. LAW.COM. More than 100 law firms have reported data breaches. Disponível em: <https://www.law.com/2019/10/15/more-than-100-law-firms-have-reported-data-breaches-and-the-picture-is-getting-worse/?slreturn=20190931133948>. Acesso em: 20/10/2019.
[45] Cf. DELGADO MORO, Tailane Moreno. O que fazer frente a um vazamento de dados? Disponível em: <https://ibpt.com.br/noticia/2696/O-que-fazer-frente-a-um-vazamento-de-dados – >Acesso em: 20/10/2019.
[46] PAPARDOPOULOS, Emilian; MCNERNEY, Michael. Hacker’s delight: law firm risk and liability in the cyber age. American University Law review, n. 5, vol. 62 (June, 2013), p. 1266-1267.
[47] Deve-se pensar na segurança da informação de forma estratégica e alinhada com mudanças culturais da empresa, adequando processos e ferramentas corporativas com pessoas qualificadas para conduzi-los a uma maior segurança digital [Cf. FERREIRA, Fernando. Vazamento de dados: de quem é a responsabilidade e como podemos evitar isso? Disponível em: <https://www.aarb.org.br/vazamento-de-dados-de-quem-e-a-responsabilidade-e-como-podemos-evitar-isso/>. Acesso em: 20/10/2019].
[48] SCHACKELFORD, Scott J. Should your firm invest in cyber risk insurance? Business Horizons (2012). Disponível em: <www.sciencedirect.com>. Acesso em: 20/10/2019, p. 355.
[49] PEREIRA MARTINS, Ana Paula. Vazamento de dados e mercantilização de dados pessoais e a fragilidade da segurança digital do consumidor. In: Research Gate (May 2018). Disponível em: <http://www.resarchgate.net/publication/327416131>. Acesso em: 5/09/2019, p. 10-11.
[50] Essa mudança é de grande importância, porque a antiga legislação sobre incidentes com dados na internet (Marco Civil da internet) estabelecia apenas limites de compartilhamento de dados pelas empresas, mas não havia nenhuma obrigatoriedade em notificar. É evidente, entretanto, que apenas notificar não é o suficiente. A empresa será responsável por eventual vazamento, mas a notificação obrigatória auxilia também numa mudança de mentalidade de prevenção de riscos em vazamento de dados que possam vir a ocorrer [GLOBO. Empresas também são culpadas por vazamento de dados. Disponível em: <http://g1.globo.com/tecnologia/blog/seguranca-digital/post/empresas-tambem-sao-culpadas-por-vazamentos-de-dados.html>. Acesso em: 20/10/2019].
Acidentes de trânsito podem resultar em diversos tipos de prejuízos, desde danos materiais até traumas…
Bloqueios de óbitos em veículos são uma medida administrativa aplicada quando o proprietário de um…
Acidentes de trânsito são situações que podem gerar consequências graves para os envolvidos, tanto no…
O Registro Nacional de Veículos Automotores Judicial (RENAJUD) é um sistema eletrônico que conecta o…
Manter o veículo em conformidade com as exigências legais é essencial para garantir a sua…
Os bloqueios veiculares são medidas administrativas ou judiciais aplicadas a veículos para restringir ou impedir…