Baixe o app para aproveitar ainda mais
Prévia do material em texto
Uma escola particular com alunos de alto poder aquisitivo foi vitima de sequestro de dados. O hacker que realizou esse sequestro de dados entrou em contato via mensagem eletrônica e, pediu um resgate de alto valor a ser pago em bitcoins, no prazo de 24 horas. Se o resgate for pago os dados serão devolvidos para a escola e, se não forem, a ameaça do sequestrador é vazar os dados dos alunos na rede mundial de computadores, em especial os endereços e fotografias. A diretoria da escola está muito temerosa das consequencias e procura o escritório do grupo para uma consulta. 3. Paracer jurídico, para definir se há ou não responsábilidade civil da escola sobre o vazamento de dados e, quais as consequencias que poderão resultar para entidade, ou seja, se ela poderá ser condenada a pagar indenização caso o sequestrador cumpra a promessa de vazar os dados. Parecer Jurídicos Uma premissa essencial que deve ser posta, é que toda pessoa natural tem assegurada a titularidade de seus dados pessoais, bem como garantidos seus direitos fundamentais de intimidade, liberdade e de privacidade, conforme previsto pela Constituição Federal. Assim, qualquer pessoa que tenha seus dados utilizados de forma indevida, que sofra danos de ordem patrimonial, moral, individual ou coletivamente, poderá pleitear o direito de reparação, sendo, portanto, assegurada a sua efetiva indenização, por meio do instituto da responsabilidade civil (artigos 189 e 927 do Código Civil). Além disso, a nova Lei Geral de Proteção de Dados Pessoais (LGPD), embora ainda não esteja em vigor, também dispõe de forma específica sobre o direito da pessoa ser indenizada em casos de prejuízos decorrentes do vazamento de seus dados e informações. Ainda, a legislação traz a possibilidade de denúncia à “Autoridade Nacional de Proteção de Dados” (ANPD) e ao “Conselho Nacional de Proteção de Dados Pessoais e da Privacidade”, órgãos que ainda precisarão ser regulamentados/criados. Ela é o marco legal na regulamentação de uso e proteção de dados pessoais. A ausência de regulação desse novo mercado no Brasil não é empecilho para garantir direitos dessas pessoas. Por, trata-se de uma relação entre prestadores de serviço e consumidores, o que já é regulamentado pelo Código de Defesa do Consumidor e pelo Código Civil. Para o caso em tela, a LGPD prevê várias punições possíveis, desde uma advertência até multa equivalente a 2% do faturamento, que pode chegar até R$ 50 milhões, publicização da infração, dentre outras. Importante ressaltar que as sanções e regramentos para tratamento e proteção dos dados pessoais previstos não afastam as responsabilidades cíveis, penais e administrativas hoje existentes relacionadas à utilização indevida de dados pessoais. Isto é, o novo diploma vem reforçar a proteção de dados pessoais, estabelecendo uma forma de tratamento, sendo que seu descumprimento constitui ato ilícito. Nesse sentido, o vazamento de dados, ocorrido, pode atrair uma responsabilidade civil para a escola, tendo em vista que ao se analisar o contexto de responsabilidade civil no Brasil, alguns magistrados podem partir para a exclusão da culpa no contexto de caracterização do dano, aplicando a teoria do risco empresarial, trazido em cláusula geral do Código Civil. Essa exclusão de culpa, entretanto, não abarca o “fortuito interno”. Como explica o conceito: “Incide durante o processo de elaboração do produto ou execução do serviço, não eximindo a responsabilidade civil do fornecedor ”. A questão não é tão simples quanto parece. Alguns juízes podem interpretar que esse vazamento dos dados não se configurou um dano em si. Mesmo que se comprove a falha na prestação de serviço, o juiz pode entender que não há “o dever de indenizar por parte da escola”. Analisando friamente poderíamos enquadrá-lo no Art. 154-A, § 2º, devido ao prejuízo patrimonial à vítima ou tentativa do mesmo, porém, além da observação do próprio parágrafo 2º sobre não constituir crime mais grave, o ordenamento jurídico brasileiro adota a Princípio da Consunção ou Absorção, ou seja, ação ou efeito de incluir algo menor em algo maior ou mais amplo. O crime claro, segundo o modus operandi, é o crime de Extorsão (Art. 158 CP) por intermédio de dispositivo informático e assim absorvendo o crime de invasão de dispositivo informático (art.154- A). Vale ressaltar que, apesar da expressão sequestro de dados, o ato não se aplica ao crime de sequestro (art. 148 CP) ou extorsão mediante sequestro (159 CP), pois em ambos os casos é necessário haver privação de liberdade da vítima. Pode-se concluir que é um crime de Extorsão cometido por intermédio de invasão de dispositivo informático com pena base em reclusão de quatro a dez anos e multa. Por isso, para a garantia da segurança é imprescindível que, desde já, haja a adoção pelas empresas e empresários de boas práticas de governança e compliance, visando à proteção de dados pessoais, visto que as novas legislações exigirão importantes adaptações nas rotinas de governança de dados e documentos. Daqui para frente, os aspectos que não forem sanados por meio da legislação, deverão ser resolvidos por meio da ética dos indivíduos responsáveis por lidar com os dados. Apesar de o futuro ser incerto, para cada grande inovação, será preciso repensar, de maneira ética, quais serão suas aplicações e como essas informações poderão ser protegidas. Essa será, sem dúvida, uma necessidade crescente para o compliance na era dos dados. Responsabilidade e ressarcimento de danos O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. A fim de assegurar a efetiva indenização ao titular dos dados: I - o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 da Lei nº 13.709/2018; II - os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 da Lei nº 13.709/2018. Inversão do ônus da prova O juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa. Ação de reparação por danos coletivos As ações de reparação por danos coletivos que tenham por objeto a responsabilização podem ser exercidas coletivamente em juízo. Aquele que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso. Exclusão da responsabilidade Os agentes de tratamento só não serão responsabilizados quando provarem: I - que não realizaram o tratamento de dados pessoais que lhes é atribuído; II - que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro. Essas penalidades não substituem a aplicação de sanções administrativas, civis ou penais definidas em legislação específica. Vigência A Lei nº 13.709/2018 entra em vigor no dia 15/01/2020.
Compartilhar