APS Parecer Juridico

Prévia do material em texto

Uma escola particular com alunos de alto poder aquisitivo foi vitima de sequestro de dados. O
hacker que realizou esse sequestro de dados entrou em contato via mensagem eletrônica e,
pediu um resgate de alto valor a ser pago em bitcoins, no prazo de 24 horas. Se o resgate for
pago os dados serão devolvidos para a escola e, se não forem, a ameaça do sequestrador é
vazar os dados dos alunos na rede mundial de computadores, em especial os endereços e
fotografias.
A diretoria da escola está muito temerosa das consequencias e procura o escritório do grupo
para uma consulta. 
3. Paracer jurídico, para definir se há ou não responsábilidade civil da escola sobre o vazamento
de dados e, quais as consequencias que poderão resultar para entidade, ou seja, se ela poderá ser
condenada a pagar indenização caso o sequestrador cumpra a promessa de vazar os dados.
Parecer Jurídicos
Uma premissa essencial que deve ser posta, é que toda pessoa natural tem assegurada a titularidade
de seus dados pessoais, bem como garantidos seus direitos fundamentais de intimidade, liberdade e
de privacidade, conforme previsto pela Constituição Federal. Assim, qualquer pessoa que tenha seus
dados utilizados de forma indevida, que sofra danos de ordem patrimonial, moral, individual ou
coletivamente, poderá pleitear o direito de reparação, sendo, portanto, assegurada a sua efetiva
indenização, por meio do instituto da responsabilidade civil (artigos 189 e 927 do Código Civil).
Além disso, a nova Lei Geral de Proteção de Dados Pessoais (LGPD), embora ainda não esteja em
vigor, também dispõe de forma específica sobre o direito da pessoa ser indenizada em casos de
prejuízos decorrentes do vazamento de seus dados e informações. 
Ainda, a legislação traz a possibilidade de denúncia à “Autoridade Nacional de Proteção de Dados”
(ANPD) e ao “Conselho Nacional de Proteção de Dados Pessoais e da Privacidade”, órgãos que
ainda precisarão ser regulamentados/criados. Ela é o marco legal na regulamentação de uso e
proteção de dados pessoais. A ausência de regulação desse novo mercado no Brasil não é empecilho
para garantir direitos dessas pessoas. Por, trata-se de uma relação entre prestadores de serviço e
consumidores, o que já é regulamentado pelo Código de Defesa do Consumidor e pelo Código
Civil. Para o caso em tela, a LGPD prevê várias punições possíveis, desde uma advertência até
multa equivalente a 2% do faturamento, que pode chegar até R$ 50 milhões, publicização da
infração, dentre outras. Importante ressaltar que as sanções e regramentos para tratamento e
proteção dos dados pessoais previstos não afastam as responsabilidades cíveis, penais e
administrativas hoje existentes relacionadas à utilização indevida de dados pessoais. Isto é, o novo
diploma vem reforçar a proteção de dados pessoais, estabelecendo uma forma de tratamento, sendo
que seu descumprimento constitui ato ilícito. 
Nesse sentido, o vazamento de dados, ocorrido, pode atrair uma responsabilidade civil para a
escola, tendo em vista que ao se analisar o contexto de responsabilidade civil no Brasil, alguns
magistrados podem partir para a exclusão da culpa no contexto de caracterização do dano,
aplicando a teoria do risco empresarial, trazido em cláusula geral do Código Civil. Essa exclusão de
culpa, entretanto, não abarca o “fortuito interno”. Como explica o conceito: 
“Incide durante o processo de elaboração do produto ou
execução do serviço, não eximindo a responsabilidade civil do
fornecedor ”. 
A questão não é tão simples quanto parece. Alguns juízes podem interpretar que esse vazamento dos
dados não se configurou um dano em si. Mesmo que se comprove a falha na prestação de serviço, o
juiz pode entender que não há “o dever de indenizar por parte da escola”. 
Analisando friamente poderíamos enquadrá-lo no Art. 154-A, § 2º, devido ao prejuízo patrimonial à
vítima ou tentativa do mesmo, porém, além da observação do próprio parágrafo 2º sobre não
constituir crime mais grave, o ordenamento jurídico brasileiro adota a Princípio da Consunção ou
Absorção, ou seja, ação ou efeito de incluir algo menor em algo maior ou mais amplo. O crime
claro, segundo o modus operandi, é o crime de Extorsão (Art. 158 CP) por intermédio de
dispositivo informático e assim absorvendo o crime de invasão de dispositivo informático (art.154-
A). 
Vale ressaltar que, apesar da expressão sequestro de dados, o ato não se aplica ao crime de sequestro
(art. 148 CP) ou extorsão mediante sequestro (159 CP), pois em ambos os casos é necessário haver
privação de liberdade da vítima.
Pode-se concluir que é um crime de Extorsão cometido por intermédio de invasão de dispositivo
informático com pena base em reclusão de quatro a dez anos e multa.
Por isso, para a garantia da segurança é imprescindível que, desde já, haja a adoção pelas empresas
e empresários de boas práticas de governança e compliance, visando à proteção de dados pessoais,
visto que as novas legislações exigirão importantes adaptações nas rotinas de governança de dados e
documentos. 
Daqui para frente, os aspectos que não forem sanados por meio da legislação, deverão ser
resolvidos por meio da ética dos indivíduos responsáveis por lidar com os dados. Apesar de o futuro
ser incerto, para cada grande inovação, será preciso repensar, de maneira ética, quais serão suas
aplicações e como essas informações poderão ser protegidas. Essa será, sem dúvida, uma
necessidade crescente para o compliance na era dos dados. 
Responsabilidade e ressarcimento de danos
O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados
pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação
de proteção de dados pessoais, é obrigado a repará-lo.
A fim de assegurar a efetiva indenização ao titular dos dados:
I - o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as
obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do
controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão
previstos no art. 43 da Lei nº 13.709/2018;
II - os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos
ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 da
Lei nº 13.709/2018.
Inversão do ônus da prova
O juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados quando, a seu
juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando
a produção de prova pelo titular resultar-lhe excessivamente onerosa.
Ação de reparação por danos coletivos
As ações de reparação por danos coletivos que tenham por objeto a responsabilização podem ser
exercidas coletivamente em juízo.
Aquele que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na
medida de sua participação no evento danoso.
Exclusão da responsabilidade
Os agentes de tratamento só não serão responsabilizados quando provarem:
I - que não realizaram o tratamento de dados pessoais que lhes é atribuído;
II - que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve
violação à legislação de proteção de dados; ou
III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
Essas penalidades não substituem a aplicação de sanções administrativas, civis ou penais definidas
em legislação específica.
Vigência
A Lei nº 13.709/2018 entra em vigor no dia 15/01/2020.