STJ é alvo de ataques cibernéticos

- Rafael Foschetti Meirelles, Renan Palhares Torreão Braz em Privacidade e Proteção de Dados

No dia 03/11/2020, o Superior Tribunal de Justiça sofreu ataques de hackers em seu sistema de informática. O ataque se deu mediante uso de um ransomware, forma de bloqueio de informações mediante criptografia dependente de uma chave, que atingiu dados, sistemas, e-mails e até backups do Tribunal.

No dia seguinte, o presidente, Ministro Humberto Martins, comunicou o incidente à Polícia e solicitou uma investigação para apurar o ocorrido. Também divulgou a Resolução STJ/GP n. 25, que anunciou a suspensão das “atividades judicantes do STJ até o dia 9 de novembro de 2020, funcionado o Tribunal em sistema de plantão”[1].

Com isso, ficaram suspensas todas as sessões de julgamento da Corte, as audiências e os prazos processuais, sendo somente analisadas medidas urgentes. O Ministro esclareceu que tais medidas poderiam ser revertidas antes do prazo estipulado, caso o sistema de informática do STJ voltasse à normalidade.

Outros órgãos também noticiaram terem sofrido tentativas de ataque, como o CNJ e o GDF, além do Ministério da saúde, que relatou ter perdido acesso à internet, linhas de telefone fixo e e-mails nessa mesma semana do incidente.

Dessa forma, esse episódio, entendido por alguns como o maior ataque tecnológico a um órgão público brasileiro, expõe a vulnerabilidade da sociedade a violações da privacidade e de quebra de segurança de dados informáticos, uma vez que até mesmo um dos órgãos de maior importância do país está passível de incidentes de tal natureza.

A rigor, aplicada a letra da Lei Geral de Proteção de Dados (LGPD)[2], caso se entenda que o incidente ocorrido possa acarretar risco ou dano relevante aos titulares de dados pessoais, o STJ deveria comunicar a ocorrência do incidente de segurança à Autoridade Nacional de Proteção de Dados – que se encontra em estágio embrionário – e aos titulares de dados. Também cabe à Corte envidar esforços para minimizar os impactos do incidente.

O caso ensejará repercussões futuras, além de que inspira reflexões, como aquela voltada ao receio de empresas quanto ao compartilhamento de dados com o Poder Público geral, por exemplo, para fins regulatórios ou fiscalizatórios, assumindo que os dados podem estar mais bem protegidos em seus sistemas do que dentro da estrutura tecnológica dos órgãos públicos.

Além disso, é curioso ver o Poder Judiciário – órgão julgador e intérprete da LGPD – posicionado no lado de agente de tratamento responsável por incidente de segurança. Resta saber como se inclinará a jurisprudência a respeito de temas tais como o dano moral presumido em função de violações à LGPD.

Como comumente alertado, o caso revela a importância do trabalho preventivo, inclusive na esfera do Poder Público, para que incidentes como esse não aconteçam – ou se repitam.

 

[1]Disponível em: https://www.cjf.jus.br/dje/infra/js/pdf/web/viewer.html?file=https%3A%2F%2Fwww.cjf.jus.br%3A443%2Fdje%2F%2Fjsp%2Fdje%2FDownloadDeDiario.jsp%3Fdj%3DDJ189_2020-ASSINADO.PDF%26amp%3BstatusDoDiario%3DASSINADO

[2] Art. 48/LGPD. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.