Ataque à rede virtual do STJ: a Lei Geral de Proteção de Dados e a segurança dos sistemas dos Tribunais
Fernanda de Figueiredo Gomes e Eduardo Metzker Fernandes
O desenvolvimento tecnológico fez com que os Tribunais brasileiros passassem por gradativas evoluções. As históricas máquinas de escrever e os registros em papel foram, aos poucos, dando lugar aos computadores e aos sistemas informatizados.
Nesse contexto, é certo que um dos maiores avanços tecnológicos no âmbito judicial foi alcançado com a publicação da Lei Federal nº 11.419 (1), de 19 de dezembro de 2006, que introduziu o processo eletrônico. Pela primeira vez no Brasil, portanto, admitia-se a tramitação de um processo judicial cujos dados estariam armazenados única e exclusivamente em meio virtual.
Para materializar a previsão legal, foram vários os sistemas desenvolvidos. No total, considerando os tribunais estaduais, federais, trabalhistas e superiores, são mais de 40 (quarenta) plataformas diferentes, dentre as quais as mais conhecidas seriam o PJe, o E-Saj, o E-Proc e o Projudi.
A mudança teve por objetivo utilizar a tecnologia existente para facilitar a tramitação dos processos, concretizando os princípios da celeridade e da economia processual. Além do ganho de celeridade e praticidade, o processo eletrônico proporcionou maior economia de recursos com menor impacto no meio ambiente. Recentemente, com a pandemia da COVID-19, a importância do processo eletrônico ficou ainda mais evidenciada, já que permitiu a tramitação dos feitos sem haver contato pessoal entre as partes, servidores, magistrados e advogados.
No entanto, os benefícios da virtualização do sistema jurídico brasileiro vieram acompanhados de certas vulnerabilidades que não podem ser desprezadas.
Efetivamente, o ganho de celeridade não pode acontecer com o sacrifício de valores igualmente caros ao sistema jurídico, como o direito à privacidade, à intimidade e à segurança jurídica.
As alterações implementadas pelos órgãos judiciários aconteceram no mesmo período em que o mercado passava a operar com base em um modelo econômico firmado no compartilhamento de conhecimento, informações e dados pessoais. O processamento e armazenamento de dados em enorme volume, conhecido como big data, sem qualquer limitação estatal, passou a ameaçar a privacidade e a dignidade humana.
Visando tutelar o direito à proteção de dados, em 14 de agosto de 2018 foi editada no Brasil a Lei nº 13.709 (2), conhecida como Lei Geral de Proteção de Dados (“LGPD”). Apesar das manobras que o governo realizou para tentar retirar o setor público de seu alcance, a Lei foi aprovada com previsão expressa de aplicabilidade às pessoas de direito público, contando, inclusive, com um capítulo dedicado exclusivamente ao tratamento de dados pessoais pelo poder público.
Publicada em 2018, após adiamentos e discussões, a LGDP entrou definitivamente em vigor no dia 18 de setembro de 2020, por meio de sanção do Presidente da República. Embora as multas administrativas somente possam ser aplicadas pela Autoridade Nacional de Proteção de Dados a partir de 1º de agosto de 2021, é certo que todos os demais dispositivos legais já devem ser observados pelas pessoas jurídicas de direito público e privado.
Conforme se depreende do art. 6º da LGPD, são princípios regentes das atividades de tratamento de dados pessoais: a segurança, a prevenção e a responsabilização e prestação de contas pelos agentes de tratamento.
Para a concretização dos referidos princípios, compete aos agentes de tratamento, categoria na qual se inserem os Tribunais, adotar todas as medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados ou situações de tratamento inadequado ou ilícito de dados (3).
A expectativa, portanto, especialmente considerando o grande lapso temporal entre a publicação e a vigência da lei, era que os agentes privados e públicos, incluindo os Tribunais, já estivessem operando em consonância com os dispositivos da lei.
Contudo, no dia 5 de novembro de 2020, o Superior Tribunal de Justiça (“STJ”) retirou seu sistema do ar e informou a todos sobre um ataque cibernético aos seus sistemas eletrônicos ocorrido no dia 3 de novembro de 2020. Durante o ataque, de magnitude inédita no país, todo o acervo do tribunal, incluindo a jurisprudência e milhões de processo eletrônicos foram criptografados por um sequestrador e ficaram inacessíveis.
Pelo que se sabe, tratou-se de ataque conhecido como ransomware, modalidade na qual os dados de uma instituição são criptografados e o responsável exige o pagamento de resgate (ransom) para liberar o acesso aos dados bloqueados sob pena de apagamento definitivo dos arquivos.
Após trabalho conjunto dos setores de informática e de vários órgãos judiciais, no dia 11 de novembro de 2020, o sistema voltou a funcionar parcialmente e as atividades do STJ foram reestabelecidas gradualmente. No entanto, por muitos dias houve receio fundado de que o acervo processual e jurisprudencial fosse definitivamente apagado e ainda persiste a grave possibilidade de que os dados sigilosos sejam divulgados pelo hacker. O prejuízo sofrido pelos jurisdicionados, muitos dos quais aguardam há anos a solução de seus litígios, seria imensurável.
Na opinião de muitos especialistas em segurança digital, o incidente, que paralisou o STJ por diversos dias, poderia ter sido evitado com a adoção de medidas mais efetivas de proteção de dados, conforme exigido pela LGPD.
Em que pese o STJ não poder ser alvo de sanção pela Autoridade Nacional de Proteção de Dados, poderia ser responsabilizado por eventuais danos sofridos pelos jurisdicionados, como por exemplo, danos morais decorrentes de divulgação indevida de dados sensíveis e sigilosos.
De todo modo, o ataque causa preocupação com as fragilidades dos sistemas dos Tribunais brasileiros e deve servir de alerta para que eles passem a investir em sistemas de segurança adequados e compatíveis com as novas exigências legais.
Em 16 de novembro de 2020, o Tribunal de Justiça de Minas Gerais inaugurou uma página em seu site virtual para tratar de seu “Programa de Proteção de Dados Pessoais”. Embora a página indique que o Programa ainda está em desenvolvimento, parece evidente que este Tribunal já demonstra maior preocupação com a segurança de seus dados digitais.
Diante do grande número de dados eletrônicos armazenados pelos Tribunais, especialmente com o advento dos sistemas de processo eletrônico, e da sua enorme importância para os jurisdicionados, espera-se que o ataque ao STJ faça com que os demais Tribunais demonstrem verdadeira preocupação com a segurança de seus dados e adequem-se aos parâmetros estabelecidos pela LGPD.
Fernanda de Figueiredo Gomes
Trainee da Equipe de Contencioso Cível do VLF Advogados
Eduardo Metzker Fernandes
Coordenador da Equipe de Contencioso Cível do VLF Advogados
(1) BRASIL. Lei nº 11.419, de 19 de outubro de 2006 (CTN). Dispõe sobre a informatização do processo judicial; altera a Lei nº 5.869, 11 de janeiro de 1973. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2004-2006/2006/lei/l11419.htm. Acesso em: 20 jul. 2020.
(2) BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso em: 23/11/2020.
(3) Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
