Aps Responsabilidade Civil

Prévia do material em texto

24
FACULDADE DE DIREITO
	
MATHEUS SAMPAIO DE SOUZA 
PATRICK FERNANDES 
PAULA RIBEIRO
ATIVIDADE PRÁTICA SUPERVISIONADA
Responsabilidade Civil
SÃO PAULO
2018
MATHEUS SAMPAIO - DE SOUZA RA: N16129-9
PATRICK FERNANDES - RA: N173BG-6
PAULA RIBEIRO - RA: D08495-0
ATIVIDADE PRÁTICA SUPERVISIONADA
Responsabilidade Civil
Trabalho apresentado à Universidade Paulista como requisito para obtenção de nota na disciplina APS, integrante do currículo de graduação em Direito.
Orientador: Prof. Dr. Hélio Thurler Junior.
SÃO PAULO
2018
SUMÁRIO
1 INTRODUÇÃO	4
2 ANÁLISE DAS NOTÍCIAS E RESUMO	4
3 ANÁLISE DA LEI 13.709/2018	13
4 PARECER JURÍDICO	15
5 CONCLUSÃO	20
6 FICHAS DA APS	21
7 REFERÊNCIAS DE PESQUISA	24
7.1 Referências bibliográficas	24
7.2 Referências webgráficas	24
1 INTRODUÇÃO
O assunto tratado aborda acerca do sequestro de dados e a forma como a população e a jurisdição reagem a tais fatos, o que nos faz pensar o que realmente é um sequestro de dados? Como isso ocorre? Como reagir?
A princípio são perguntas difíceis de serem solucionadas, mas necessárias de serem imaginadas, previstas e interpretadas, já que os hackers atualmente utilizam dos mecanismos e da falta de informações para extrair o possível para tirar proveito de empresas.
Com a atividade demonstraremos como o Direito pode organizar as situações onde ocorre o ransomware, a responsabilidade dos dados entre tantas outras coisas que trarão uma perspectiva melhor quanto ao tema.
2 ANÁLISE DAS NOTÍCIAS
2.1 Notícia 1: Sequestro de dados de computadores é preocupação a escritórios de advocacia
Por Brenno Grillo
O sequestro de dados está se tornando um problema não só para grandes empresas, mas também para escritórios de advocacia. O crime ocorre da seguinte forma: hackers invadem os computadores, criptografam os dados e depois os escondem. Pedem, então, um resgate para permitir o acesso novamente. A prática recebeu o nome de ransomware, fusão das palavras inglesas ransom (resgate) e malware (tipo de programa que infecta computadores para coletar informações).
O valor para devolução das informações é normalmente cobrado em bitcoin (moeda digital usada para transações na internet), para evitar o rastreamento e varia conforme o caso. Normalmente não é muito alto, justamente para a vítima pagar sem muitos questionamentos, pensando que levar o caso à polícia dará mais trabalho do que atender às reivindicações.
Algumas bancas norte-americanas já foram alvo desses sequestros. Entre as vítimas estão o escritório da Flórida The Brown Firm — que pagou US$ 2,5 mil para reaver seus documentos digitais — e o californiano Ziprick and Cramer LLP, que não pagou o valor pedido por ter cópias das informações.
Na América Latina, 92% das vítimas de sequestro digital são brasileiras. "Já existem vários casos, mas nenhum na mídia", disse a advogada especializada em Direito Digital Juliana Abrusio durante encontro do Centro de Estudos das Sociedades de Advogados, nesta terça-feira (30/8).
Para Juliana Abrusio, clientes devem ser o foco da segurança digital em escritórios.
Juliana destacou que o foco da segurança digital em escritórios de advocacia devem ser os clientes, que são os principais motivadores indiretos desses crimes e muito afetados por uma eventual perda de informações. Disse ainda que, segundo a McAfee, empresa especializada em proteção digital, as amostras de ransomware cresceram 169% em 2015.
O também especialista em Direito Digital Alexandre Atheniense citou que há, inclusive, clientes que impõem a implantação de mecanismos de segurança digital como condição para fechar contratos com advogados, bem como a  adequação ao compliance internacional.
Ele afirmou que os profissionais do Direito costumam achar que não são potenciais alvos de ataques digitais, mas estão errados. "Se você acha que não é alvo, já está errado. Todo mundo é alvo de hacker em relação a vazamento de dados." Atheniense explicou que essa falta de interesse pelo tema é cultural, pois o brasileiro tem atitudes muito mais reativas do que preventivas em relação a eventuais problemas. "Deixar acontecer para saber como reagir."
O advogado reforçou que o meio digital não é totalmente seguro e que o ineditismo do tema no Brasil afeta sua compreensão. Disse ainda que o brasileiro costuma estar bem aparelhados em termos tecnológicos, mas a segurança dos dados fica em segundo plano. "Nossa cultura em lidar com o meio digital é muito recente."
Marcelo Fernandes ressaltou que modelo de segurança mudou, saindo do princípio de perímetro para um de várias frentes devido ao aumento da portabilidade.
Para Marcelo Fernandes, diretor de marketing da Intralinks, empresa especializada em segurança digital, o modelo de proteção mudou muito nos últimos anos, saindo de um conceito de perímetro dos computadores (o firewall) para um de várias frentes, que protege o documento e todos os dispositivos usados para manipulação dessas informações.
“É uma grande mudança de paradigma”, disse o executivo, ressaltando que o aumento da portabilidade com o uso intensivo de smartphones, notebooks e tablets aumenta a insegurança na troca de dados. “O firewall nem sempre é a solução mais eficiente.” Segundo Fernandes, são usados atualmente programas de segurança “embebidos” no documento, como uma espécie de vacina, que garante o acesso apenas a pessoas pré-autorizadas.
Fator humano
Apesar das preocupações dos palestrantes estarem focadas no meio digital, os três ressaltaram que o fator humano ainda é o principal causador de problemas nas trocas de informações. Trabalhadores desatentos ou mal intencionados podem prejudicar negócios ou expor clientes inesperadamente.
Atheniense explicou que falta de interesse pelo tema é cultural, pois o brasileiro tem atitudes muito mais reativas do que preventivas
Alexandre Atheniense contou que passou por esses problemas e que chegou a ser obrigado a instalar programas de monitoramento na máquina de alguns usuários que usavam o tempo de serviço para outras atividades. Ele ressaltou, porém, que o tráfego de informações por meio digital o ajudou a encontrar o problema e resolvê-lo. "Tudo que você consegue circular em meio digital aumenta a rastreabilidade de coisas que muitas vezes o papel não revelaria."
Esse aumento de controle no trânsito do documento também foi citado por Fernandes, que o chamou de metadata tapping, que garante o rastreamento da informação e reforça a segurança ao mesmo tempo. “A cybersegurançadeve ser vista um risco ao negócio”, reforçou.
Juliana Abrusio também citou um caso em que um advogado de um escritório canadense especializado em crimes do colarinho branco foi a um bar depois do trabalho e, por ter esquecido seu tablet quando deixou o local, muitas informações dos clientes da banca estavam na internet no dia seguinte.
A advogada contou ainda outro episódio em que o chefe do departamento de tecnologia da informação de uma empresa ficou oito anos recebendo cópias ocultas de e-mails enviados entre os sócios da companhia por oito anos sem o conhecimento de ninguém.
Citando o caso canadense, Juliana ressaltou a importância de as bancas fornecerem aparelhos móveis aos funcionários para que eles atuem remotamente. Segundo ela, esse é o modelo ideal, pois a empresa pode instalar programas nos aparelhos que permitam sua inutilização imediata ou rastreamento, mas ponderou que essa estratégia deve ser bem planejada.
Conscientização necessária
A advogada afirmou que um dos principais caminhos usados por instituições para promover a segurança digital é a conscientização. Ressaltou que Associação Brasileira das Entidades dos Mercados Financeiro e de Capitais (Anbima) e o Superior Tribunal de Justiça lançaram cartilhas nesse sentido. Disse ainda que um dos melhores materiais sobre o tema foi produzido pelo Kaspersky Lab. "A contaminação pode vir em um e-mail, e, por isso, todos do escritório devem saber sobre o assunto."
Apesar da importância da conscientização,Alexandre Atheniense ponderou que as decisões sobre o tema devem vir de cima, da direção das bancas, e que o plano de contingenciamento para panes digitais precisa ser pré-definido, estabelecendo se haverá ou não uma pessoa exclusivamente responsável sobre isso, se ela será terceirizada.
Ele ressaltou ainda que o mercado de segurança e tecnologia de informação, atualmente, é bem mais barato e acessível do que há alguns anos. Segundo o advogado, o setor "virou commodity" e já é possível alugar a infraestrutura, tornando desnecessário pagar por licenças de software, que encareciam muito a atividade.
Juliana Abrusio também explicou que as pessoas responsáveis pela tecnologia da informação trabalham com a infraestrutura de armazenamento e de transmissão, deslocando a responsabilidade pela gestão de segurança para outro profissional, de preferência o gestor do negócio. "O advogado não precisa se cobrar tanto sobre tecnologia, ele precisa saber dos riscos para encaminhar o que precisa ser feito".
Resumo:
No texto é tratado do recente tema e da forma que este está afetando a vida empresarial e o meio jurídico, já que diversos escritórios estão passando por ataques cibernéticos e recebendo clientes que sofrem do mesmo mal.
A segurança de informações digitais está ligada a conscientização, os dados se adaptaram a tecnologia e é necessária a existência de backups e proteção, além do fato de a tecnologia de informações ser um mercado que se torna mais barato e comum a cada dia.
2.2 Notícia 2: SEGURANÇA DAS INFORMAÇÕES | Edição 206
O estabelecimento de um sistema seguro evita que informações sigilosas sejam divulgadas indevidamente e prejudiquem tanto a imagem da IES como sua estratégia de negócios
(por Gérson Trajano)
Recentemente, alunos do Colégio Bandeirantes, um dos mais tradicionais de São Paulo, divulgaram em redes sociais o conteúdo de reuniões sigilosas de professores e orientadores ocorridas entre os anos de 2007 e 2012. O vazamento gerou um grande mal-estar na escola em função do teor dos comentários – muitos deles pejorativos –, além de uma onda de reclamações por parte das famílias. Ao apurar o ocorrido, descobriu-se que um estudante do último ano do ensino médio havia gravado um vídeo para ensinar os colegas a acessar os dados.
Embora lamentável, a vulnerabilidade do sistema de segurança do colégio não figura como um caso isolado. Um tutorial publicado na internet (http://goo.gl/UPidem) ensina, de forma simples e didática, como invadir a rede de computadores de instituições de ensino. Para isso, basta compreender o funcionamento do sistema.
“Milhares de universidades de todo o Brasil têm sistema de segurança de dados muito frágil. Embora muitos acreditem que softwares feitos por empresas sofisticadas garantam a privacidade, não adiantam nada, pois o programa não cobre a necessidade de segurança de toda a série de tráfego de dados”, alerta o site.
De fato, não há sistema totalmente inviolável. Em junho do último ano, o banco de dados dos funcionários públicos dos Estados Unidos, tido como um dos mais protegidos do mundo, foi rompido, e as informações cadastrais de 4 milhões de servidores foram expostas na rede. O FBI investiga o caso. “Se alguém disser que existe um sistema totalmente imune a ataques, ou não entende sobre segurança e tecnologia ou desconhece as ameaças existentes. Ainda assim, investir em segurança é a melhor forma de coibir a ofensiva dos hackers”, afirma Márcio Alexandre Freitas, coordenador de segurança da informação da Universidade Mackenzie. Fundada em 1870, a entidade possui atualmente em seus arquivos registros de 37 mil alunos e de 3,5 mil funcionários.
O efeito da divulgação indevida de informações sigilosas e estratégicas pode ser catastrófico para uma organização. Isto porque o prejuízo à reputação ou a exposição de planos de negócios são capazes de provocar danos irrecuperáveis, ao contrário de uma perda financeira.
Por isso, verdadeiras batalhas cibernéticas são travadas diariamente por corporações de todos os portes e segmentos. As investidas dos hackers são combatidas com o emprego de ferramentas, processos e treinamentos, que a cada dia se tornam mais sofisticados para fazer frente ao crescimento exponencial de dados gerados e compartilhados em rede. A atualização também deve ser constante, pois quando uma nova tecnologia é inserida no ambiente corporativo, novas vulnerabilidades a acompanham. “É necessário um grande empenho, com a aquisição de equipamentos e softwares, a conscientização do usuário e a constante preocupação em sua gestão”, afirma Márcio Belotto Abboud, chefe de tecnologia e redes do Centro Universitário FEI, de São Bernardo do Campo, no ABC paulista.
Como se proteger
São múltiplos os perfis e os objetivos dos empenhados em violar o banco de dados de uma Instituição de Ensino Superior (IES). Entre os possíveis interessados estão grupos concorrentes e mesmo membros da comunidade acadêmica em busca de benefícios próprios, como reescrever históricos escolares, adulterar provas e modificar notas.
Com esse objetivo, um grupo de sete estudantes invadiu a central de notas da Universidade Federal de Uberlândia (UFU).  De acordo com a Polícia Federal, quatro dos suspeitos iriam completar o tempo limite da graduação e não poderiam mais continuar no curso caso não concluíssem as disciplinas no ano da invasão.
Para evitar ocorrências dessa e de outras naturezas, rezam as normas de defesa que as IES devem instituir um setor especifico e definir pessoas que se dediquem exclusivamente à questão da segurança. Mas, ao fazer isso, é importante lembrar que, historicamente, o compartilhamento de informações é uma das características centrais do ambiente acadêmico, embora as IES devam proteger seus dados do mesmo modo que qualquer empresa. Esse caráter dual deve pesar nas tomadas de decisão para que não haja cerceamento da circulação e troca de dados.
Os primeiros passos para a implantação de um sistema de segurança devem determinar controles de proteção e criar uma política de blindagem e classificação das informações. “Também é fundamental conscientizar e treinar professores, auxiliares, prestadores de serviços e até mesmo os alunos”, destaca Freitas, do Mackenzie.
Para Luciano Cornetti Nogueira, diretor executivo da Evolua Educação, empresa de tecnologia voltada para soluções educacionais, grande parte do aparato de segurança deve focar os usuários da rede e suas permissões de uso. Geralmente os ataques ou roubos de informações partem de dentro das instituições. Ou seja, o criminoso conhece a vítima.
Acesso segmentado
As IES são responsáveis por gerenciar dados pessoais, financeiros, escolares, de pesquisa e inovação. São vários ambientes com funções diferentes que precisam estar seguros e disponíveis, cada um com seu nível de criticidade. Assim, existem áreas administrativas às quais docentes e alunos não devem ter acesso, ao mesmo tempo que existem laboratórios com grande circulação de usuários que precisam ser monitorados e podem trazer graves riscos à segurança da rede.
Dessa forma, toda instituição deve isolar o ambiente acadêmico (salas, laboratórios e estúdios) da rede administrativa e servidores. Recomenda-se também o uso de uma segurança criptográfica, de modo que apenas pessoas autorizadas tenham a chave para conseguir reverter os dados para a sua forma original, tornando mais difícil o uso da informação sem a devida autorização.
Os ambientes de laboratórios são os mais suscetíveis a ataques, que na maioria das vezes partem dos próprios usuários, intencionalmente ou não. A inclusão de smartphones, notebooks, tablets e dispositivos USB aumenta o risco de danos em ferramentas, assim como alteração ou roubo de informações acadêmicas confidenciais, como histórico de alunos, resultados de pesquisas e dados administrativos.
Para esses ambientes, recomenda-se a criação de estratégias para impedir, principalmente, a instalação de softwares maliciosos (malwares) com potencial para causar danos, alterações ou roubo de informações e funcionalidades.O grande número de pessoas conectadas à rede local é um desafio que precisa ser gerenciado com cuidado, permitindo o acesso, mas sem perder o foco na proteção.
Há vários produtos no mercado para a montagem de um sistema seguro, tanto em termos de hardwares como de softwares. As soluções mais utilizadas são o UTM (Unified Threat Management), o firewall, o webfilter, o anti-IPS, o anti-DDOS, o anti malware, soluções de backup e replicação dos dados (leia mais no quadro da pág. 36).
Existem também dispositivos que auxiliam na operação do sistema, porém, soluções em nuvem estão conquistando espaço, facilitando a implementação da estrutura de proteção de dados. Exemplos consolidados são os serviços oferecidos pela Amazon Web Services (AWS), Microsoft Azure e Google Cloud. “O mais interessante dessa estrutura em nuvem é a possibilidade de crescimento conforme a demanda”, afirma Cristian Rodrigo Dalcio, gerente de TI do Centro Universitário Padre Anchieta (UniAnchieta).
Investimentos
O valor investido depende da constituição de cada instituição, das soluções tecnológicas escolhidas e dos recursos humanos aplicados. Em muitos casos, a utilização de software livre pode diminuir os custos de implementação. “Tudo depende da quantidade de usuários e acessos. É complicado definir valores; os investimentos podem variar de mil a um milhão de reais”, diz Fernando Montanari, diretor de tecnologia da informação da Faculdade de Informática e Administração Paulista (Fiap).
Como as fontes de ameaças mantêm-se em constante crescimento, orienta-se, por fim, que as instituições criem uma agenda frequente de revisão das práticas de segurança. Um procedimento que ajuda na prevenção de ataques é a manutenção de um registro dos incidentes, pois isso auxilia a definição de qual dispositivo deve ser atualizado. Outra orientação dos especialistas é atrelar a atualização das políticas de segurança às mudanças tecnológicas. A atenção redobrada sobre esses aspectos minimiza os riscos de vazamento de informações e, consequentemente, confere estabilidade à gestão administrativa e acadêmica.
Resumo:
Na entrevista é evidente a importância em que as Instituições que possuem dados, sejam de “clientes internos ou externos” devem protege-los independente das circunstâncias já que são totalmente responsáveis por aqueles dados, imagens e afins, e qualquer tipo de vazamento das informações consideradas particulares pode gerar uma má visibilidade da empresa.
No caso o Colégio Bandeirantes foi o violado, divulgaram informações ao público que eram sigilosas e isso gerou revolta por meio das famílias de alunos, e processos.
O coordenador da segurança do Mackenzie fala a respeito da responsabilidade e dos efeitos das causas.
2.3 Notícia 3: No PI, hacker invade site da Uninovafapi e ameaça divulgar dados de 30 mil pessoas
O site do Centro Universitário Uninovafapi sofreu um ataque cibernético nesta quarta-feira (20). Em mensagem postada no website da faculdade, um hacker ameaça divulgar dados pessoais e acadêmicos de mais de 30 mil pessoas, entre alunos, ex-alunos e funcionários da instituição. 
O hacker diz que a situação é “bem grave” e garante que, caso a faculdade não ceda às suas ameaças, os dados serão vazados “para todos terem acesso”. O invasor avisa que acessou importantes sistemas da faculdade e conseguiu números de CPF’s, RG’s, endereços, celulares, e-mails, senhas, listas de inadimplentes, notas, fotos dos rostos, faltas, diários de classes, entre outras informações da instituição. 
O hacker pede que a faculdade transfira 1.7 bitcoin (moeda que só circula na internet) para um código enviado por ele aos administradores do site e para a reitoria da instituição. O valor equivale, de acordo com o invasor, a R$18 mil. 
“Na verdade é quase um trocado se comparando ao que poderá ocorrer. Não estou blefando, nem estou com muita tolerância à resistências”, ameaça dizendo que, se até sexta-feira (22) não houver uma resposta da faculdade, haverá um vazamento parcial dos dados. 
Em nota enviada à imprensa, o Centro Universitário Uninovafapi comunica que retirou o site do ar como uma medida de segurança, após o mesmo ter sido hackeado. A faculdade garante, ainda, que o setor de Tecnologia da instituição está trabalhando para bloquear o uso indevido das informações e garantir a segurança do banco de dados. 
“O Uninovafapi reafirma seu compromisso com a comunidade acadêmica e garante que está tomando todas as medidas cabíveis para resolver esse problema em curto espaço de tempo”, garante o centro universitário.
Oito casos
O delegado titular da Delegacia Especializada na Repressão aos Crimes de Alta Tecnologia (Dercat), Daniel Pires, disse ao Cidadeverde.com que o caso já foi registrado na especializada. Inicialmente serão realizadas perícias para identificar a autoria do ataque. 
O delegado conta que sequestros virtuais de dados está crescente no Piauí e que só neste ano foram registrados oito casos desta natureza na delegacia. Todas as vítimas foram empresas comerciais. 
Veja na íntegra a nota: 
O Centro Universitário Uninovafapi comunica que retirou o site do ar como uma medida de segurança, após o mesmo ter sido hackeado.
O Centro de Tecnologia da IES já está trabalhando para bloquear o uso indevido das informações e garantir a segurança do banco de dados. 
O Uninovafapi reafirma seu compromisso com a comunidade acadêmica e garante que está tomando todas as medidas cabíveis para resolver esse problema em curto espaço de tempo.
cidadeverde.com
Resumo:
Atualmente existem diversos ataques cibernéticos acontecendo ao redor do mundo e no Brasil não é diferente, na notícia é apontado um ataque a Uninovafapi (Piauí), em que o hacker teve acesso a informações acadêmicas e pessoais de alunos.
O invasor pede um valor significativo para a instituição que é a responsável pelos dados, no caso ainda não houve uma resolução efetiva mas buscam uma reafirmação da segurança para que os envolvidos não sejam violados e assim não existam processos sobre o Uninovafapi que era a detentora das informações e assim deveria manter segurança de dados.
3 LEI 13709/2018 
A Lei 13709, DE 14 DE AGOSTO DE 2018 dispõe sobre a proteção de dados pessoais e altera a Lei n°12965, 23 de abril de 2014 (Marco Civil da Internet). Dispõe sobre o tratamento e proteção de dados pessoais, inclusive nos meios digitais, por pessoa natural ou pessoa jurídica de direito público ou privado, com o objetivo de proteger os dados fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural ,ou seja ,a norma procura evitar a incidência de agentes nocivos na interação entre as pessoas com o meio, elementos e pessoas onde vivem ,voltadas a absorver de forma sustentável ,aquilo que lhe traz benefícios para se desenvolver e evoluir. Em seu artigo 6°,x,a necessária responsabilização e prestação de contas dos gestores de dados de terceiros ,principalmente daquelas informações sensíveis ,por meio de demonstração pelo agente ,da adoção de medidas eficazes de comprovar a proteção de dados pessoais de eficácia dessas medidas .Trata-se do princípio estruturante que indica na lei informação pessoal sensível ,que é o dado pessoal sobre a origem racial ou étnica ,convicção religiosa ,opinião política, filiação a sindicato ou organização de caráter religiosos ,filosófico ou político, dado referente a saúde ou a vida sexual ,dado genético ou biométrico, quando vinculado a pessoa natural, Desta forma torna-se urgente a conscientização e a tomada de concretas ações dos empresários e dos gestores públicos no sentido de treinar seus colaboradores ,de aumentar os cuidados dos ambientes virtuais e finalmente de demonstrar o quanto e importante a preservação de dados, que não são seus ,mais estão sob a sua responsabilidade pela guarda e tutela das informações daqueles que interagem com eles eletronicamente, com as empresas e o Estado.
A maioria dos fundamentos que embasam a Lei de proteção de dados Pessoais envolve o respeito a inviolabilidadeda privacidade, honra, imagem, intimidade, direitos humanos personalidade e exercício da cidadania. Fica claro que a prioridade da lei é trazer maior segurança aos usuários, que poderão ou não autorizar a coleta, o compartilhamento e o tratamento de seus dados pessoais. Nos últimos 5 anos a preocupação com a segurança dos usuários da rede mundial de computadores tem se tornado constante. Nos Estados Unidos, Edward Snowden ,ex-agente de segurança norte-americana da NSA ,ficou conhecido mundialmente por revelar um programa de monitoramento de massa de cidadãos nacionais e internacionais por meio das agências de inteligência e revelou com que negligência Facebook , Google e outras agencias de Ti tratavam os dados de seus clientes , e após contar ao mundo sobre o programa de monitoramento dos Estados Unidos em 2013,Snowden permanece na Rússia exilado e o governo Russo de nega a enviá-lo para o Estados Unidos. Em seu artigo 42, fica obrigado a reparar o dano, o controlador ou operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo. O operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas de controlador. 
A lei 13709/2018 foi publicada em 14 de agosto de 2018, e entrará em vigor em 18 meses após a sua publicação. A partir de agora as empresas deverão cumprir procedimentos para coletar, tratar e dispor dos dados pessoais dos usuários de internet.
 
4. PARECER JURÍDICO
PARECER JURÍDICO
Consulente: Associação de Ensino “ABCD” 
Consultado: Sampaio Souza, Fernandes & Ribeiro Advogados Associados.
Ementa: INSTITUIÇÃO DE ENSINO PRIVADA – SEQUESTRO DE DADOS – AÇÃO DE HACKERS - LEI 13.709/2018 – RELAÇÃO DE CONSUMO - RESPONSABILIDADE OBJETIVA.
Sumário: 1. Questionamento; 2. Fatos; 3. Análise; 4. Conclusões
1.	Questionamento
A consulente, mantenedora de instituição de ensino privada, indaga acerca de consequências jurídicas face à eventual ação de responsabilidade civil embasada em situação real e verídica em que dados pessoais de alunos, como, p.ex., endereços e fotografias, foram subtraídos de seu poder e estão sendo usados por um hacker para extorquir a escola e coagi-la a pagar uma numerosa quantia em bitcoins, sob pena de divulgação dos referidos dados na rede mundial de computadores. [1: Termo em inglês que denomina o agente que invade computadores alheios.][2: Moeda virtual criptografada gerada na rede mundial de computadores.]
2.	Fatos
Uma escola particular com alunos de alto poder aquisitivo foi vítima de sequestro de dados. O hacker que realizou esse sequestro de dados entrou em contato via mensagem eletrônica e, pediu um resgate de alto valor a ser pago em bitcoins, no prazo de 24 horas. Se o resgate for pago, os dados serão devolvidos para a escola e se não forem, a ameaça do sequestrador e vazar os dados dos alunos na rede mundial de computadores, em especial os endereços e fotografias. Durante esse período de bloqueio de acesso ao conteúdo digital dessa empresa, todas as informações bloqueadas estão expostas, sobre o controle de pessoas que não possuem autorização de acesso a tais dados .A única forma de proteger os dados digitais ,é o investimento de políticas de prevenção e de precaução de crimes cibernéticos ,que hoje é escassa pois as empresas alegam que tem que fazer investimentos altos em equipamentos e também em profissionais qualificados e se arriscam em não investir em tais medidas .Essa situação poderia ser resolvida por meio de um Compliance digital (normas e procedimentos internos e externos ).Como se vê ,não basta implementar tecnologias de ultima geração ou penalizar condutas tidas como inadmissíveis pela sociedade, se os usuários não tiveram acesso ao conhecimento necessário para manuseá-las. Diversos ataques cibernéticos, especialmente os de Ransomware, poderiam ter sido evitados se os colaboradores de empresas tivessem os conhecimentos necessários sobre como interagir na rede. No Brasil, os prejuízos colocam em risco a saúde das empresas, bem como, geram danos morais e materiais aos cidadãos e clientes que possuam seus dados bloqueados ou acessados indevidamente em razão da omissão de cuidados de tais informações por empresas. Para que esta situações não se repitam, as empresas e o Estado precisam adotar medidas urgentes de prevenção e precaução, muitas vezes, pelo mau uso dos terminais eletrônicos por seus colaboradores. Outra medida que se faz necessária, é o back-up de dados, ou seja, cópia de segurança de todos os dados, bem como um pacote antivírus em todos os terminais eletrônicos utilizados dentro da empresa. Vale lembrar que no universo total do agir, bem como no meio empresarial conforme exigências constitucionais, o deixar de fazer pode gerar tanto dano como o fazer errado. Entretanto, além do nexo causal entre a omissão administrativa e o dano causado, torna-se essencial o estabelecimento de responsabilidade e a demonstração do dever do Estado ou da Empresa de agir de determinada forma e da possibilidade de assim atuar no contexto em que se estabelece a devida responsabilização. Neste caso, exigem-se atos concretos de prevenção e de precaução possíveis, para que os dados de cidadãos não fiquem expostos.
3.	Análise 
3.1.	 Conceito de responsabilidade civil
O instituto da responsabilidade civil se encontra amplamente exposto no ordenamento jurídico brasileiro, bem como na doutrina, uma vez que é tema recorrente nos conflitos de interesses da sociedade moderna. Em introdução ao tema, PABLO STOLZE GAGLIANO e RODOLFO PAMPLONA FILHO conceituam responsabilidade, que “(...) tem sua origem do latim respondere, significando a obrigação que alguém tem de assumir as consequências jurídicas de sua atividade (...)”. À noção de responsabilidade, intuitivamente, podemos relacionar as ideias de conduta e, como consequência no campo do Direito, de dano. A Lei Civil brasileira assim disciplina o tema, in verbis: [3: Pablo Stolze Gagliano, Rodolfo Pamplona Filho. Novo Curso de Direito Civil: Parte Geral. São Paulo: Saraiva, 2016, p.49 e ss.]
Art. 186. Aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que exclusivamente moral, comete ato ilícito.
Art. 927. Aquele que, por ato ilícito (arts. 186 e 187) causar dano a outrem, fica obrigado a repará-lo. Parágrafo único. Haverá obrigação de reparar o dano, independentemente de culpa, nos casos especificados em lei, ou quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem.
Portanto, de ordinário, havendo comportamento, positivo ou negativo, derivado ou não de culpa, que origina danos ou prejuízos, de ordem material ou moral, configurada estará a responsabilidade civil do agente. 
3.2 Responsabilidade civil no âmbito das relações de consumo 
A consulente, prestadora de serviços na área da educação, se enquadra na descrição do art.3º do Código de Defesa do Consumidor, que preconiza: 
“Fornecedor é toda pessoa física ou jurídica, pública ou privada, nacional ou estrangeira, bem como os entes despersonalizados, que desenvolvem atividade de produção, montagem, criação, construção, transformação, importação, exportação, distribuição ou comercialização de produtos ou prestação de serviços”.
O referido diploma legal ainda conceitua serviço: 
Art. 3º. 
§2°. Serviço é qualquer atividade fornecida no mercado de consumo, mediante remuneração, inclusive as de natureza bancária, financeira, de crédito e securitária, salvo as decorrentes das relações de caráter trabalhista.
Objetivamente, se a requerente pode ser entendida como fornecedora de serviços, à luz do Código de Defesa do Consumidor, todo aquele que de suas atividades ou produto final se mostrar como adquirente ou destinatário (art. 2º: “Consumidor é toda pessoafísica ou jurídica que adquire ou utiliza produto ou serviço como destinatário final.”) é, indubitavelmente, o consumidor da relação jurídica; in casu, os alunos da instituição de ensino, representados ou assistidos pelos pais ou tutores. 
Qualquer dano, derivado de ato ilícito, comissivo ou omissivo (arts. 186 e 187, Código Civil de 2002), levado a cabo por parte da consulente, ensejará responsabilidade civil, que será i) objetiva, i.e., prescinde da comprovação de culpa, uma vez tem esta o dever de zelo e cuidado na prestação de seus serviços em relação aos seus consumidores; ademais, será ii) contratual, por infringir norma constante do pacto entre as duas partes, relativamente aos motivos há pouco citados. O polo forte da relação (a instituição de ensino), dada a posição de supremacia que ocupa, deve suportar os danos que causar, tendo em vista a grande inovação trazida pelo Código de Defesa do Consumidor, que propagou a disparidade entre fornecedor e consumidor, indo na contramão da índole egoística do Código Civil de 1916, não mais em vigor.
Mesmo que o ato danoso seja causado por um empregado da instituição de ensino, esta, na qualidade de empregadora, é quem deverá responder civilmente, de acordo com o art. 932, III, do Código Civil; poderá, entretanto, a instituição de ensino ajuizar ação de regresso para reaver o que houver pago ao preponente, com base no art. 934 do supra referido código.
4.	Conclusões
I) Quem deve ser responsabilizado 
 Verificando-se a temerária hipótese de um invasor digital divulgar dados pessoais dos alunos da escola, não haverá, enquanto a identidade daquele não for conhecida, falar em responsabilizá-lo, uma vez que é impossível imputar ato ilícito a agente desconhecido; caberá, porém, responsabilização da instituição de ensino por ato omissivo no que concerne a devida proteção de dados sob sua custódia. Se demonstrado ficar que a escola tomou todas as precauções necessárias, como, p.ex., aquisição de software sofisticado, treinamento de funcionários, e que o vazamento de dados ocorreu por ato de próprio(s) funcionários(s), será, igualmente, responsabilizada, contando, porém, com a possibilidade de cobrar de volta daqueles as prestações pecuniárias que tiver de dispensar aos ofendidos. 
II) Espécies de responsabilização 
 Caberia, por parte do Poder Judiciário, responsabilizar a escola por danos morais, haja vista que divulgados poderiam ser dados íntimos e personalíssimos de pessoas, ao que tudo indica, incapazes civilmente, desde que comprovadamente haja dano, e se assim entender o magistrado. A nosso ver, não há falar em danos patrimoniais nem lucros cessantes, uma vez que os eventuais danos não incidiriam nessas esferas. 
No que tange ao(s) invasor(es) cibernético(s), assim que conhecida(s) sua(s) identidade(s), caberia também responsabilização em âmbito criminal, sem prejuízo das sanções civis (art. 935, do Código Civil), pelo delito de extorsão, com base no Código Penal: 
Art. 158 - Constranger alguém, mediante violência ou grave ameaça, e com o intuito de obter para si ou para outrem indevida vantagem econômica, a fazer, tolerar que se faça ou deixar de fazer alguma coisa:
Pena - reclusão, de quatro a dez anos, e multa.
§ 1º - Se o crime for cometido por duas ou mais pessoas, ou com emprego de arma, aumenta-se a pena de um terço até metade.
É o parecer.
São Paulo, 07 de novembro de 2018.
Sampaio Souza, Fernandes & Ribeiro Advogados Associados.
OAB-SP 123.456
5 CONCLUSÃO
Conclui-se que com base no que foi apontado como uma problemática acerca da tecnologia da informação e vazamento de dados, o conteúdo apresentado reporta quanto ao posicionamento e previsão da jurisdição quanto a realidade que atualmente começa a cercar a população não só brasileira como mundial.
Dentre o que foi exposto em parecer houve uma breve explicação sobre responsabilidade civil e a quem está poderia ser cabível, também quanto as possibilidades que podem existir quando um sequestro de dados acontecer isto para uma pessoa física e uma pessoa jurídica, garantindo por meio do Direito um direito a proteção e uma obrigação de não fazer quando necessário.
6 FICHAS DA APS
7. REFERÊNCIAS DE PESQUISA
Referências bibliográficas
BRASIL. Código Civil. Vade Mecum Saraiva. São Paulo: Saraiva, 2018.
GAGLIANO, Pablo Stolze; PAMPLONA FILHO, Rodolfo. Novo Curso de Direito Civil: parte geral. São Paulo: Saraiva, 2016, vol.1, p.49 e ss. 
Referências webgráficas
http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.html. Acesso em: 23/10/2018.
https://exame.abril.com.br/mundo/snowden-completa-cinco-anos-na-russia-com-o-futuro-incerto. Acesso em: 27/10/2018.
www.folhadeparnaiba.com.br/2017/09/pi-hacker-invade-site-da-uninovafapi-e.html?m=1. Acesso em: 21/10/2018.
http://direitoeti.com.br/artigos/ransomware-sequestro-de-dados-e-extorsao-digital/. Acesso em: 30/10/2018.
https://www.conjur.com.br/2017-fev-20/85-empresas-sofreram-ataques-virtuais-segundo-kroll. Acesso em: 01/11/2018.