VAZAMENTO DE DADOS E RESPONSABILIDADE CIVIL

Prévia do material em texto

Universidade Paulista – UNIP
Instituto de Ciências Sociais e Comunicação – ICSC
Curso: Direito
APS – ATIVIDADE PRÁTICA SUPERVISIONADA
 O problema do vazamento de dados e sua responsabilidade civil
DAVISON MACHADO DA SILVA
GABRIEL ALMEIDA SILVA
ISAAC DE CASTRO TOZADORI
LEANDRO CHAGAS SANTOS
SÃO JOSÉ DOS CAMPOS 
2018
DAVISON MACHADO DA SILVA
GABRIEL ALMEIDA SILVA
ISAAC DE CASTRO TOZADORI
LEANDRO CHAGAS SANTOS
APS – ATIVIDADE PRÁTICA SUPERVISIONADA
O problema do vazamento de dados e sua responsabilidade civil
Atividade Prática Supervisionada –trabalho apresentado como exigência para avaliação do segundo bimestre em disciplinas do 4º semestre do curso de Direito da Universidade Paulista – UNIP
Orientadora: Profa. Dra. Ana Maria Viola de Sousa 
SÃO JOSÉ DOS CAMPOS 
2018
RESUMO
Este trabalho tem como objetivo apresentar considerações a respeito do sequestro de dados, principalmente como o mesmo vem a acontecer, a evolução que se teve ao longo do tempo, bem como as consequências para os envolvidos conforme o disposto nas leis, tendo como parâmetro as notícias publicadas na mídia.
Também será exposto através deste, uma análise do texto da lei 13.709 de 2018, que dispõe sobre o tratamento de dados pessoais inclusive nos meios digitais, especialmente no que tange o aspecto específico da responsabilidade civil, completando do mesmo modo como o tema é visto pela doutrina e algumas jurisprudências. 
Será trazido, ainda, um texto como parecer jurídico a respeito da responsabilidade civil de uma escola na eventualidade de um vazamento de dados dos seus alunos, bem como as consequências que poderão resultar para a entidade. 
A partir do que foi visto, ficou evidenciado a importância de um suporte jurídico, com o intuito de que a instituição esteja amparada para encarar possíveis complicações acerca de sua responsabilidade. 
Palavras-chave: Sequestro de dados; Responsabilidade Civil; Ransomware; Dados Pessoais; Meios Digitais; Internet; Privacidade;
ABSTRACT
This work aims to present considerations regarding data sequestration, mainly as the same comes to happen, the evolution that has taken place over time, as well as the consequences for those involved in accordance with the laws, taking as a parameter the news published in the media.
 It will also be exposed through this, an analysis of the text of law 13,709 of 2018, which deals with the processing of personal data including digital media, especially with regard to the specific aspect of civil liability, completing the same way the theme is viewed by doctrine and some jurisprudence.
It will be brought, still, a text as a legal opinion regarding a school's civil liability in the event of a leak of data from its students, as well as the consequences that may result for the entity. 
From what was seen, the importance of legal support was evidenced, with the intention that the institution be supported to face possible complications in relation to its responsibility.
Keywords: Data sequestration; Civil liability; Ransomware; Personal data; Digital media; Internet; Privacy;
1 - INTRODUÇÃO
A responsabilidade civil é um tema de suma importância na atualidade, pois se trata de uma obrigação em reparar os prejuízos causados a outrem, seja por danos morais ou mesmo materiais, algo cada vez mais comum hoje em dia, visto que são frequentes e muitas vezes inevitáveis.
O infortúnio pode ser realizado por ato próprio ou ainda através de atos de pessoas e coisas sob responsabilidade do autor, afetando diretamente a integridade física, a honra, ou os bens pertencentes da vítima, cuja reparação será realizada mediante o processo de indenização.
A origem causadora dessa responsabilidade se dá por um ato ilícito, que pode repercutir tanto na esfera civil, que é independente da criminal e sua recomposição normalmente é perante ressarcimento pecuniário, visto que a única hipótese de prisão cível se dá pela falta de pagamento da pensão alimentícia; quanto na esfera penal, prevendo múltiplas penalidades, como a reclusão e a detenção.
O dano moral no âmbito da responsabilidade civil é entendido como aquele que lesiona o prejudicado, seja pessoa física ou jurídica, não atingindo diretamente o seu patrimônio, e sim sua honra, dignidade, imagem, personalidade, privacidade, intimidade, etc.
Um tema que ainda não é dado muita relevância pelas pessoas, até mesmo pelo desconhecimento, porém que cada vez mais se passou a ser verificado em decorrência do desenvolvimento da tecnologia, é o chamado sequestro de dados, também conhecido como vírus ransomware, no qual as vítimas sofrem violação perante as suas informações pessoais, que da mesma forma pode gerar a responsabilidade civil aos possuidores de banco de dados.
Caso uma pessoa tenha seus dados acessados, retidos ou divulgados, pode ser caracterizado dano moral, gerando assim, responsabilidade de quem os possuíam e os deveriam ter melhor protegido, se assim for comprovado para o magistrado durante o curso do processo.
A partir deste recente episódio, ampliou-se a preocupação em estabelecer um regimento específico que melhor ampare a situação, dando origem assim a lei 13.709/18, intitulada lei geral de proteção dos dados, assegurando uma maior segurança no tratamento da utilização das informações particulares no país.
Apesar de a respectiva lei atualizar nossa legislação, não se trata de uma novidade, pois já se verifica em muitos outros países preceitos semelhantes, visando garantir maior respaldo aos indivíduos que possuem seus dados armazenados sob responsabilidade de terceiros.
Com isso, atualmente são vistos diversas espécies de seguro de responsabilidade, incluindo aqueles específicos para proteção dos possuidores de bancos de dados contra vazamentos de informações confidenciais dos seus clientes.
2 - SEQUESTRO DE DADOS 
Um dos perigos virtuais que mais se expandiu nos últimos tempos é o denominado "ransomware", uma espécie de software criado para causar qualquer tipo de dano aos dados de um dispositivo, que neste caso, os mesmos são retidos, exigindo-se das vítimas uma espécie de resgate para que possa tê-los novamente, muito similar com o agir de um sequestro físico. 
Esse tipo de extorsão porém não é algo novo, pois já verificou-se a existência de casos desse gênero em meados de 2004, o que realmente aconteceu foi um maior desenvolvimento por parte dos criminosos, passando a investir cada vez mais nesse segmento tecnológico, utilizando da criptografia para executar seus ataques. 
Especialmente a partir de 2015, tornou-se cada vez mais comum vítimas desse crime que se espalhou ao redor do mundo, ocorrendo até mesmo ciberataques em grande escala, como vimos em 2017, no qual ao menos 74 países foram afetados simultaneamente por este malware, prejudicando milhares de empresas e órgãos públicos, inclusive do Brasil.
A infecção do disposto, seja ele computador, laptop, ou celulares, normalmente ocorre ao acessar sites ‘’maliciosos’’ ou aqueles já invadidos pelo vírus, ao executar mensagens recebidas via e-mail, infeção por outros dispositivos contaminados, ou por brechas encontradas no sistema operacional (Windows), de forma que apenas os hackers são capazes de suspende-los. 
Trata-se um método extremamente silencioso, consequentemente só é percebida sua existência quando for anunciado o sequestro mediante a notificação exibida no dispositivo.
A finalidade dos sequestradores é obter uma quantia em dinheiro, prometendo em troca, a devolução dos arquivos aos seus proprietários. Apesar deste procedimento ser ilícito e criminoso, a probabilidade de se identificar os responsáveis são mínimas, pois os mesmos não deixam praticamente nenhum rastro.
Habitualmente, o valor exigido como recompensa é obrigado a ser pago em Bitcoins, umamoeda virtual que torna a operação anônima, praticamente impossível de ser rastreado, o que ajuda a tornar o crime quase que perfeito. 
Esta exigência de pagamento é acompanhada sempre por ameaças em caso de não cumprimento, muitas vezes desde o aumento do preço de resgate, da atemorização dos arquivos serem perdidos para sempre, ou até mesmo de divulgação das informações na rede mundial.
O ransomware é um negócio altamente lucrativo aos infratores, estimula-se segundo o próprio FBI, que cerca de US$ 27 milhões são arrecadados por ano com tal prática, o que incentiva cada vez mais a sua propagação.
 Diante disto, especialistas no assunto recomendam que as vítimas não efetuem o pagamento, pois além de não ser garantida a devolução do que lhe foi usurpado, só faz com que os criminosos se encorajem em busca de novos alvos, a começar de pessoas aleatórias, até empresas de pequeno a grande porte, pois todos estão sujeitos a esta ameaça, nem mesmo os hospitais e serviços essenciais ao povo escapam, prejudicando seja quem quer que for.
 
3 – CASOS SEMELHANTES
Roubo de dados Facebook
O roubo de dados na internet tem se tornado frequente nos dias atuais, no dia 28/09/18 uma das redes sociais mais famosas da atualidade, o Facebook, foi alvo de hackers, os assessores e funcionários do facebook contabilizaram cerca de 50 milhões de contas acessadas com um único ataque.
Porém somente 29 milhões foram afetadas, 15 milhões tiveram seus nomes, número de telefone e e-mails acessados, as outras 14 milhões de contas tiveram danos mais graves, foram acessadas, entre outras, nome, sexo, localização, língua, estado civil, aniversário.
Em nota o Facebook evitou declarar quem seria os supostos hackers, deixando o caso a total cargo do FBI. A rede social emitiu mensagens de segurança para brasileiros que tiveram seus dados furtados, e ainda declarou que as demais redes sociais não foram afetadas.
Roubo e vazamento de dados da PMERJ
Outro caso que ficou bastante conhecido no Brasil, ocorreu em 12/09/13, quando um grupo de hackers conhecido como “Anoncyber & Cyb3rgh0sts” adentrou no site Programa Estadual de Integração na Segurança (Proeis) e raptaram cerca de 50 mil dados de Policiais Militares do Estado do Rio de Janeiro.
O Grupo entrou no site utilizando a conta de um usuário, e por meio desta conseguiu acessar o banco de dados e localizar todas as informações contidas sobre a vida particular dos PMs.
Foram divulgados CPFs, endereços, e-mails e número de telefone dos militares, instaurando a angústia e apreensão não só na vida deles, mas também na vida de suas famílias, pois o risco de retaliação por parte de criminosos ficou mais fácil. Lembrando ainda que o Rio de Janeiro é o Estado onde se encontra a maior morte de PMs por ano, tendo em média 134 por ano, sendo 1 a cada 3 dias.
Um dia após o ocorrido, PMs já se queixam de receberem trotes e ameaças, segundo eles, pessoas estão os ameaçando citando seu endereço e prometendo matar suas famílias.
Em nota o grupo assumiu a autoriza do ataque, segundo eles, a PMERJ foi muito agressiva contra indivíduos que estavam em uma manifestação. Horas depois o grupo retirou do ar o link em que se encontrava um PDF com os dados dos policiais e pediu desculpas pelo ocorrido, segundo eles, um “lobo solitário” agiu sozinho, sem consentimento do grupo. 
Roubo de dados Yahoo!
Em agosto de 2013, ocorreu um dos maiores roubos de dados da internet, um grupo de hackers roubou cerca de 3 bilhões de dados de contas da plataforma YAHOO!. Apesar do número exorbitante, a assessoria do Yahoo! Confirmou que nenhuma senha e nenhum dado bancário foi roubado, porém a empresa perdeu muita credibilidade e acabou sendo vendida por um preço muito abaixo do mercado.
Roubo de dados Cambridge Analytica
Em março de 2018, um ex-funcionário da Cambridge Analytica, confirmou que no ano que 2014 a empresa passou a monitorar dados de usuários do Facebook através de testes e curtidas, chegando na incrível marca de 87 milhões de pessoas.
O objetivo da empresa era as eleições presidências estadunidenses, os usurários receberam conteúdos políticos diferenciados e de acordo com o seu perfil, que fora analisado pela empresa. O intuito da empresa era “manipular” o resultado da eleição de 2016, e também auxiliar para a saída do Reino Unido da União Europeia (BREXIT)
Dentre essas 87 milhões de pessoas, cerca de 400 mil são brasileiros, porém pelo que se sabe até o momento, os dados dos brasileiros não foram utilizados, estando ali somente porque os brasileiros também fizeram os testes.
Mark Zuckerberg, dono do Facebook, confirmou o erro e pediu uma série de desculpas, porém teve que prestar explicações no Parlamento Europeu, e também prestou depoimento no Senado e Congresso Americano, onde seguiu com seu discurso de desculpas.
Federação das Indústrias do Estado de São Paulo (FIESP)
No dia 22/11/18 O Ministério Público do Distrito Federal instaurou um inquérito para investigar as causas de um suposto vazamento de dados da FIESP, segundo informações preliminares (visto que é um caso recente).
O vazamento ocorreu no dia 12/11/18, em uma rede de pesquisas onlines chamada ElastichSearch, cerca de 180 milhões de dados de brasileiros tiveram seus dados expostos, entre eles, estão: Nome completo, CPF, RG, gênero, data de nascimento, número de telefone, endereço físico e eletrônico.
Os dados se tornaram públicos durante dois dias, foram raptados de 3 bancos de dados do FIESP, que em nota, lamentou o ocorrido, disse que nenhum dado crítico ou íntimo foi vazado, informou também que já contatou a empresa que supostamente alega ser de segurança digital, para tomar as devidas providências.
4 - LEGISLAÇÃO
Na atualidade, enquanto a Lei Geral de Proteção de Dados (LGPD) n°13.709/2018 não está em seu período de vigência (entrará em vigor apenas em fevereiro de 2020), não possuímos em nosso ordenamento uma norma geral e especifica que regulamente sobre a proteção no que tange a utilização de dados pessoais dos consumidores, apenas princípios gerais.
Conforme o exposto, a legislação brasileira trata o assunto do vazamento de dados de maneira superficial, contando somente com algumas garantias, fundamentos e diretrizes, não prevendo de fato como proceder ou mesmo punições diante o problema no caso concreto, causando inúmeras incertezas a todos.
As determinações cabíveis ao tema são observadas dispersas, previstas em vários dispositivos diferentes, como vemos principalmente no Marco Civil da Internet, Código de Defesa do Consumidor, Código Civil, Lei Geral de Telecomunicações, Lei de Acesso à Informação, e até mesmo preceitos da Constituição Federal.
Podemos citar como exemplo disto, o exposto no Marco Civil da Internet, impondo que quaisquer operações que abranja dados pessoais ocorridas em âmbito nacional respeite os direitos à proteção dos dados pessoais, à privacidade, intimidade, honra, imagem e as demais determinações legislativas, principalmente os direitos garantidos nos incisos de seu art. 7°. 
O Código de Defesa do Consumidor por sua vez, ao considerar uma relação de consumo, o mero vazamento de dados configura defeito do mesmo, visto que não se teve a segurança esperada , como decreta em seu art. 14: ‘’ O fornecedor de serviços responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e riscos. §1°- O serviço é defeituoso quando não fornece a segurança que o consumidor dele pode esperar [...]’’. 
Na Constituição Federal, observamos no art. 5º que “são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação”, completando o sentido do principio da dignidade da pessoa humana (art. 1°, III).
Já o Código Civil ressalta em seu artigo 21 que “A vida privada da pessoa natural é inviolável,e o juiz, a requerimento do interessado, adotará as providências necessárias para impedir ou fazer cessar ato contrário a esta norma”.
Outra lei que se tornou popularmente conhecida devido a repercussão na mídia, é a 12.737 de 2012, batizada de Lei 'Carolina Dieckmann', estabelecendo como crime a invasão de dispositivos informáticos alheios para a obtenção de dados particulares, aplicando além de multa, pena de detenção de três meses a um ano.
Contamos ainda com diversos outros fragmentos encontrados em leis citadas anteriormente, que apesar de não se tratar da mesma questão, possui preceitos semelhantes que poderão ser empregues. 
4.1 - LEI 13.709/2018
A presente lei, sancionada pelo atual presidente Michel Temer e publicada no Diário Oficial da União no dia 15 de agosto de 2018, estabelece normas para regulamentar o modo como são armazenados e tratados os dados pessoais, inclusive no âmbito digital, de forma que seja preservada a liberdade, privacidade, e a intimidade dos seus proprietários, como disposto em seu artigo 1º.
Diante dos inúmeros e preocupantes casos não apenas no Brasil, mas no mundo todo, em que estes dados são violados, divulgados e até mesmo sequestrados, como é o tema deste trabalho, gerou-se a necessidade de criação de uma lei especifica para combater tais abusos, dando origem assim, a exposta lei 13.709/18.
Esta lei é aplicada a todos os realizadores de tratamentos de dados, ou seja, tanto para pessoas físicas ou jurídicas, que utilizam, armazenam, produzem, informações de outrem, como nome, idade, endereço, contatos, senhas, fotos e etc. 
No que se refere à segurança dos procedimentos, é conferida aos denominados ‘agentes de tratamento’, que são compostos pelos Controladores (pessoa física ou jurídica que toma as decisões sobre o tratamento de dados), e por Operadores (pessoa física ou jurídica que realiza as práticas em nome dos controladores), devendo estes, empregarem todos os métodos de segurança para que se garanta a integridade dos arquivos contra ataques, uso indevido, ou qualquer tipo de situação que acarrete em danos.
A norma determina ainda em seu artigo 42, a responsabilidade civil dos encarregados pelo exercício do tratamento de dados, de modo que os Controladores e Operadores são obrigados a reparar qualquer tipo de dano patrimonial, moral, individual ou coletivo, que resulte em prejuízos a outrem, respondendo solidariamente quando assim violar a legislação encarregada pela proteção de dados pessoais, ficando isentos somente quando comprovarem que não eram responsáveis por aqueles dados em questão; que não houve violação a respectiva lei; ou por culpa exclusiva da vítima ou de terceiro (art. 43).
Lembrando que a lei somente não é aplicada tratando-se de hipóteses em que se verifica fins artísticos, científicos ou jornalísticos, que envolva a segurança pública/Estado, defesa nacional, ou em investigações e repressões de infrações penais.
5 - DOUTRINA
Por se tratar de um tema recente, com carência de previsão legal especifica, é previsto também em menores aparições na doutrina, mas de modo geral, a doutrina expõe que nos casos de vazamento de dados, a responsabilidade pode ser atribuída aos fornecedores de bens e serviços de informática (provedores, no caso da internet), e também aos instituídos que utilizam dos bancos de dados para atividades de seus clientes, uma vez que a responsabilidade aumenta na proporção exigida de cada prestador de serviços. 
Gilberto de Almeida Martins no ‘I Fórum brasileiro de legislação do documento digital’, evidencia que o primeiro imbróglio a ser conferido é a responsabilidade dos provedores, visto que são os fornecedores de serviços na Internet, que seria alternativa ou concorrente do infrator, pois de certa forma são considerados encarregados pelo conteúdo.
Renato Opice Blum, em artigo publicado na Gazeta Mercantil (14 janeiro de 2003), esclarece que os diretores, gerentes, ou chefes de segurança de responsáveis por sistemas informáticos ‘’tem o dever de fechar vulnerabilidades em sistemas eletrônicos, como de processar os responsáveis por invasões, fraudes e outros ilícitos digitais’’.
Ocorre também uma separação doutrinária entre os defensores de que estas responsabilidades sejam baseadas na culpa (subjetiva), e outros no risco (objetiva).
Entende Gilberto de Almeida Martins que estão corretos os sistemas modernos, pois apesar de manter o conceito da responsabilidade subjetiva como regra, prevê casos em que é admitida a responsabilidade objetiva, como modo de responsabilidade conjugadas e complementares.
6 – JURISPRUDÊNCIAS
RECURSO INOMINADO. PRIMEIRA TURMA RECURSAL DA FAZENDA PÚBLICA. MUNICÍPIO DE ITAPUCA. INDENIZAÇÃO POR DANOS MORAIS. VAZAMENTO DE DADOS. DIREITO PARCIALMENTE EVIDENCIADO. SENTENÇA DE PARCIAL PROCEDÊNCIA MANTIDA. RECURSO INOMINADO IMPROVIDO. (Recurso Cível Nº 71007544562, Turma Recursal da Fazenda Pública, Turmas Recursais, Relator: Thais Coutinho de Oliveira, Julgado em 24/05/2018).
(TJ-RS - Recurso Cível: 71007544562 RS, Relator: Thais Coutinho de Oliveira, Data de Julgamento: 24/05/2018, Turma Recursal da Fazenda Pública, Data de Publicação: Diário da Justiça do dia 28/05/2018)
RECURSO INOMINADO. CONSUMIDOR. AÇÃO DE INDENIZAÇÃO POR DANOS MORAIS. EXPOSIÇÃO EM REDES SOCIAIS. VAZAMENTO DE DADOS DE CADASTRO DE ALUNA. UTILIZAÇÃO INDEVIDA POR TERCEIROS. FALHA NA PRESTAÇÃO DE SERVIÇO QUE CONTRIBUIU À SITUAÇÃO CONSTRANGEDORA DA ALUNA/PARTE AUTORA. CARACTERIZADO O DEVER DE INDENIZAR. PEDIDO PROCEDENTE EM PARTE. QUANTUM FIXADO A TÍTULO DE DANOS MORAIS EM R$ 7.000,00 MINORADO PARA R$ 3.000,00. SENTENÇA PARCIALMENTE REFORMADA. RECURSO PROVIDO EM PARTE. (Recurso Cível Nº 71007601172, Primeira Turma Recursal Cível, Turmas Recursais, Relator: Fabiana Zilles, Julgado em 24/04/2018).
(TJ-RS - Recurso Cível: 71007601172 RS, Relator: Fabiana Zilles, Data de Julgamento: 24/04/2018, Primeira Turma Recursal Cível, Data de Publicação: Diário da Justiça do dia 27/04/2018)
RECURSO INOMINADO. AÇÃO INDENIZATÓRIA POR DANOS MORAIS. VAZAMENTO DE FOTOS ÍNTIMAS DA PARTE AUTORA NA INTERNET. INVIÁVEL AFERIR QUEM REALIZOU A PUBLICAÇÃO DOS DADOS DA AUTORA SEM REALIZAÇÃO DE PERÍCIA TÉCNICA A FIM DE AFERIR QUEM DEU CAUSA AO CADASTRO FALSO COM OS DADOS E FOTOS ÍNTIMAS DA AUTORA. REFORMA DA SENTENÇA PARA JULGAR EXTINTO O FEITO DE OFÍCIO, PELA COMPLEXIDADE. (Recurso Cível Nº 71006219844, Quarta Turma Recursal Cível, Turmas Recursais, Relator: Gisele Anne Vieira de Azambuja, Julgado em 26/08/2016).
(TJ-RS - Recurso Cível: 71006219844 RS, Relator: Gisele Anne Vieira de Azambuja, Data de Julgamento: 26/08/2016, Quarta Turma Recursal Cível, Data de Publicação: Diário da Justiça do dia 01/09/2016)
AGRAVO DE INSTRUMENTO. SUBCLASSE RESPONSABILIDADE CIVIL. AÇÃO DE INDENIZAÇÃO POR DANOS MORAIS DECORRENTES DO VAZAMENTO, PELA UNIVERSIDADE, DE DADOS PESSOAIS DE SEUS ALUNOS. FATO ADMITIDO PELA RÉ. PROVA PERICIAL PARA APURAÇÃO DOS MOTIVOS DO OCORRIDO. DESNECESSIDADE, NO CASO. Considerando que o direito à prova não se mostra absoluto, cabe indeferir o pedido probatório formulado pelo autor, pois ausente a demonstração de sua relevância para a solução da causa, especialmente frente à admissão, pela própria ré, de que o fato apontado como gerador do dano (vazamento de dados pessoais) ocorreu. Negado seguimento ao recurso. (Agravo de Instrumento Nº 70058460999, Nona Câmara Cível, Tribunal de Justiça do RS, Relator: Eugênio Facchini Neto, Julgado em 11/02/2014)
(TJ-RS - AI: 70058460999 RS, Relator: Eugênio Facchini Neto, Data de Julgamento: 11/02/2014, Nona Câmara Cível, Data de Publicação: Diário da Justiça do dia 14/02/2014)
7 – TEXTO / PARECER JURÍDICO DO CASO
Reparação de danos - Análise técnica de cumprimento de obrigações da relação de consumidor - Exposição de dados pessoais - Fornecimento de serviço defeituoso - Lei 13.709/2018 - Art 14. Parágrafo primeiro do código de defesa do consumidor - Sugestão de reconhecimento da responsabilidade.
Situação do conflitotrata-se de responsabilização de uma empresa que detém informações pessoais de clientes, e através de uma extorsão, disposto no art. 158 do código penal, a extorsão é realizada mediante a ameaça de divulgação de dados pessoais obtidos por meios ilegais, descritos no art. 154-A do CP. A invasão de dispositivo informático foi efetuada por um hacker, que subtraiu dados de alunos da instituição de ensino em questão e ameaça expor tais dados caso não obedeça suas exigências. Em função disso, a escola se encontra em uma situação delicada, haja vista que, os seus alunos de poder aquisitivo considerável, correrão riscos em ter seus endereços e fotos divulgadas na internet. Com isso, as famílias dos estudantes terão que tomar medidas extras no que tange a segurança de seus bens e familiares.
Infelizmente com o advento da tecnologia nos dias de hoje a privacidade se torna cada vez mais frágil, desta forma, a segurança se tornou algo muito mais suscetível de ser violada. A expressão “ipsa scientia potestas est”(O conhecimento em si é poder) de Francis bacon , descreve de forma fidedigna a atual situação, qualquer dado em mãos mal intencionadas pode ocasionar em prejuízos morais e materiais a um civil.
A escola que teve seus computadores invadidos deve ser responsabilizada, pois, trata-se de uma relação de consumo, à vista disso, há a responsabilidade objetiva e é clara o nexo de causalidade no caso concreto, vide art. 14 CDC, que dispõe que, o fornecedor de um serviço responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores originados por defeitos relativos à prestação, ainda mais no primeiro parágrafo deste mesmo artigo, discorre sobre o serviço é defeituoso quando não fornece a segurança que o consumidor dele pode esperar, pois, inquestionavelmente os responsáveis dos alunos esperam que os dados de seus tutelados estejam em segurança, ademais, o fator humano no que tange a proteção de dados é de suma importância e é um dos pilares da segurança da informação e com isso, é dever da empresa com a capacitação dos responsáveis pela proteção de dados de seus clientes.
Por mais que a divulgação dos dados não foi culpa direta da escola, não há o que se falar de exclusão de responsabilidade por parte da instituição, haja vista que ao receber a ameaça dos criminosos o controlador (pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais) não entrou em contato imediato com as autoridades nacionais, desta forma, foi contrário ao art. 48 da Lei 13.709/18, e a não comunicação da polícia sobre o ocorrido, houve um desimpedimento da concretização do fato.
Tendo em vista que ao matricular um filho em uma escola, os pais esperam que os mesmos estejam seguros dentro dela e na atualidade o conceito de segurança não se limita mais ao aspecto físico. Quando um aluno se machuca dentro da escola por irresponsabilidade dos funcionários, espera-se que os mesmos sejam responsabilizados.  Desta forma, por analogia, ao falhar com a segurança dos dados das crianças que ali estudam, a instituição falha com a expectativa que os pais depuseram a ela.
É inegável que, a partir do em que a instituição solicita e torna imprescindível o fornecimento de dados pessoais no ato da matrícula, a mesma assume para si a responsabilidade incondicional da segurança destas informações, tornando o zelo por estas informações parte do serviço prestado, e qualquer dano causado por estas informações torna-se o serviço anômalo.
Em face do exposto, sugere-se o acolhimento ao pedido pelas fundamentações sobre não só o desmazelo por parte da instituição no que tange a segurança dos dados de seus clientes, como também os atos errôneos após o sequestro de dados, deixando a provocação de medidas de seguranças por último e com isso não pode-se concluir que não foram tomadas as melhores medidas cabíveis para evitar o ocorrido, com toda a sequência de atitudes levou o desapontamento do cliente com o fornecedor de um serviço, derivado de danos morais, de segurança e possíveis danos materiais futuros.
8 - CONCLUSÃO
A obrigação em reparar o prejuízo causado a outrem conforme positivado Código Civil, em seu artigo 159, engloba todas as formas de danos, seja ele patrimonial ou moral (aquela que lesiona o prejudicado ou suas informações pessoais), devido a conduta ilícita que pode se dar ato próprio do agente, de terceiro ou de objeto, configurando-se a relatada Responsabilidade Civil, que abrange até mesmo temas recentes e de certa forma desconhecidos por todos, como foi o caso deste, a responsabilidade civil a cerca do vazamento de dados pessoais.
O sequestro de dados, também conhecido como vazamento de dados, é uma forma de violação de informações pessoais e em razão da repercursão de episódios recentes gerou-se a necessidade de um regimento específico para tal, sendo assim, foi sancionada a lei 13.709/2018, intitulada Lei Geral de Proteção dos Dados, que promete certificar uma maior segurança no tratamento da utilização das informações particulares no país, seja por armazenamento físico ou digital, preservando liberdade, privacidade e intimidade de seus proprietários. 
Como dito anteriormente, é um assunto moderno, porém assim como a tecnologia que está se desenvolvendo rapidamente, especialmente por conta do avanço da internet e dos aparelhos altamente inovadores, expondo os usuários cada vez mais aos ricos dos mal-intencionados. A discussão se estende nos casos onde os dados destes consumidores foram subtraídos de bancos de dados sobre a tutela de fornecedores de um determinado serviço, pois aponta-se a responsabilidade objetiva destes, uma vez que é dever dos agentes de tratamento, sejam controladores (encarregados físicos ou jurídicos do armazenamento dos dados) ou operadores (aquele que utiliza os dados em nome dos controladores) empregar métodos de segurança para garantir a integridade dos dados contra ataques, uso indevido ou qualquer outra situação que cause danos, sendo os mesmos reponsáveis pela reparação de danos morais ou materiais, respondendo solidariamente, caso violem tal legislação. Estão isentos caso comprovem que não são responsáveis ou comprovado culpa exclusiva da vítima ou terceiro.
São crescentes os eventos de vítimas que tiverem a sua intimidade, privacidade, honra, imagem, violadas por conta deste, levando a necessidade de um maior respaldo legal, pois a legislação brasileira trata do tema de maneira superficial, com leis esparsas em diversos dispositivos, levando a muitas dúvidas de como proceder em um eventual caso concreto.
Considerando todos os fatos constatados no caso concreto, sugere-se o acolhimento do pedido, pois em alguns casos práticos, já observamos jurisprudências que determinam a recomposição mediante o pagamento de indenização por danos morais, em virtude de estar comprovado o não cumprimento da obrigação de assegurar os dados dos clientes, bem como o não informe às autoridades no tempo necessário, devendo assim responder por eventuais danos atuais ou futuros, sejam eles materiais ou morais. 
Espera-se, portanto, que a empreitada contra esse tipo de fato ilícito não se estagne, pois necessitamos de uma legislação sólida e capaz de assegurar as garantias fundamentais que estão em jogo, bem como capaz de apontar claramente os direitos e deveres, e as consequências aos envolvidos.
9 – REFERÊNCIAS BIBLIOGRÁFICAS
https://www.techtudo.com.br/noticias/noticia/2016/06/o-que-e-ransomware.html
https://www.e-trust.com.br/blog/ransomware-e-sequestro-de-dados-o-que-%C3%A9-e-como-se-proteger/
https://legalcloud.com.br/lei-geral-de-protecao-de-dados-resumo-lgpd/
https://www1.folha.uol.com.br/mercado/2018/08/saiba-o-que-muda-com-a-lei-geral-de-protecao-de-dados-pessoais.shtml
http://tiinside.com.br/tiinside/09/01/2015/cadeia-de-responsabilidades-no-vazamento-de-dados/
http://emporiododireito.com.br/leitura/a-lei-de-protecao-de-dados-pessoais-e-a-responsabilidade-empresarial-e-estatal-por-atos-no-meio-ambiente-digitalhttp://agenciabrasil.ebc.com.br/geral/noticia/2018-07/lei-das-telecomunicacoes-faz-21-anos-em-meio-crescimento-da-internet
http://www.ambito-juridico.com.br/site/index.php?n_link=revista_artigos_leitura&artigo_id=7969
https://politica.estadao.com.br/blogs/fausto-macedo/vazamento-de-dados-internet-e-a-responsabilidade-das-empresas/
https://direitosbrasil.com/lei-carolina-dieckmann/ 
http://www.agfadvice.com.br/2018/08/16/sancionado-marco-legal-de-protecao-de-dados-pessoais/
https://www.tecmundo.com.br/projeto-de-lei/54490-internet-brasileira-aprovacao-marco-civil-internet.htm
https://www.migalhas.com.br/dePeso/16,MI281464,41046-Aspectos+juridicos+da+seguranca+digital+empresarial+contra+o
10 - REFERÊNCIAS JURISPRUDÊNCIAS 
TJ-RS Recurso Cível: 71007544562 RS, Relator: Thais Coutinho de Oliveira, DJ: 24/05/2018. JusBrasil, 2018. Disponível em: <https://tj-rs.jusbrasil.com.br/jurisprudencia/584391610/recurso-civel-71007544562- rs>. Acesso em: 14 nov. 2018.
TJ-RS Recurso Cível: 71007601172 RS, Relator: Fabiana Zilles, DJ: 24/04/2018. JusBrasil, 2018. Disponível em: <https://tjrs.jusbrasil.com.br/jurisprudencia/574605518/recurso-civel-71007601172-rs>. Acesso em: 14 nov. 2018.
TJ-RS Recurso Cível: 71006219844 RS, Relator: Gisele Anne Vieira de Azambuja, DJ: 26/08/2016. JusBrasil, 2016. Disponível em: <https://tj-rs.jusbrasil.com.br/jurisprudencia/379863115/recurso-civel-71006219844-rs/inteiro-teor-379863125>. Acesso em: 14 nov. 2018.
TJ-RS AI: 70058460999 RS, Relator: Eugênio Facchini Neto, DJ: 11/02/2014. JusBrasil, 2014. Disponível em: <https://tj-rs.jusbrasil.com.br/jurisprudencia/113593376/agravo-de-instrumento-ai-70058460999-rs>. Acesso em: 14 nov. 2018.