Topo

Carlos Affonso Souza

Ataque ao STJ é muito grave e consequências serão sentidas por muito tempo

Getty Images
Imagem: Getty Images

06/11/2020 11h06

Receba os novos posts desta coluna no seu e-mail

Email inválido

O ataque hacker aos servidores do Superior Tribunal de Justiça (STJ) talvez seja um dos incidentes de segurança mais graves envolvendo o setor público no Brasil. Ele é relevante não apenas porque uma quantidade expressiva de dados foi indevidamente acessada e criptografada - com o atacante aparentemente pedindo um resgate para a sua devolução, prática conhecida como ransomware -, mas também porque o ataque simplesmente paralisou as atividades do tribunal, alterando prazos de processos e cancelando audiências.

As consequências desse ataque ainda serão sentidas por muito tempo, seja na hercúlea tarefa de se restaurar o acervo atingido, seja na memória de servidores e de cidadãos que dependem da operação regular da principal corte do País que uniformiza o entendimento sobre a legislação federal.

Enquanto se aguarda maiores detalhes sobre o ataque, três perguntas parecem surgir em decorrência desse caso. A primeira é como a lembrança persistente de um incidente dessa magnitude afeta o equilíbrio entre o setor público e o setor privado na aplicação da Lei Geral de Proteção de Dados (a chamada "LGPD")?

Com a entrada em vigor da LGPD, o setor privado se apressou para buscar adequação aos termos da Lei. Seja porque algumas empresas entenderam que proteger os dados de seus clientes gera uma vantagem competitiva, seja por receio de tomar uma multa expressiva - ou até pelos dois motivos! - diferentes setores empresariais passaram a levar a cibersegurança a sério. Investimentos importantes foram feitos por muitas empresas para buscar tornar os seus sistemas de proteção de dados mais robustos, gerando protocolos de atuação em caso de incidentes e reformulando políticas de acesso e uso de dados.

Incidentes de segurança importantes ocorrem tanto no setor público como no setor privado, mas nesse momento de implementação da LGPD, casos como esse reforçam a noção de que o tratamento de dados pelas autoridades públicas pode apresentar riscos significativos. Sabe onde essa corda arrebenta? Nas ações judiciais em que empresas se recusam a entregar dados para autoridades públicas alegando - mais ou menos discretamente - que os dados de seus clientes estariam mais vulneráveis se compartilhados com o Poder Público.

Isso se aplica aos casos de aplicativos de mobilidade urbana que buscam limitar os dados que são compartilhados com Prefeituras. Ou mesmo no caso Marielle Franco, em que o próprio STJ reconheceu como indevida a recusa da Google em compartilhar um abrangente universo de dados com as autoridades investigativas. Vai ser cada vez mais importante pensarmos na Polícia Federal e no Ministério Público, por exemplo, como controladores de dados pessoais, que devem respeitar os deveres de sigilo, de segurança e de descarte de dados recebidos por força de investigações.

Em tempos de vazamentos de dados indiscriminados e de formação de dossiês não é difícil entender como as questões de cibersegurança passam necessariamente por uma reflexão sobre confiança e pelo reconhecimento de que dados pessoais não devem ser trocados entre órgãos governamentais de maneira descompromissada.

Uma segunda pergunta que nasce do incidente de segurança envolvendo o STJ é sobre a atuação da Autoridade Nacional de Proteção de Dados (ANPD). Na formação da Diretoria da Autoridade chamou atenção o peso que o tema da cibersegurança possui no currículo dos nomeados. Sendo essa uma questão de relevo para os Diretores, será que o incidente pode servir de teste para uma primeira atuação da instituição?

Como as sanções administrativas pelo descumprimento da LGPD apenas começam a vigorar em agosto de 2021, é pouco provável que esse incidente venha a gerar uma atuação da Autoridade, que ainda dá os seus primeiros passos. De qualquer forma, vale lembrar que a suspensão das sanções administrativas não impacta os processos de responsabilidade civil movidos por qualquer indivíduo que se sinta lesado pelo incidente. Parece paradoxal, mas teríamos assim casos judiciais sobre um incidente de segurança no Poder Judiciário sendo apreciados pelo próprio Poder Judiciário.

Por fim, fica uma terceira e importante pergunta sobre o caso do ataque hacker ao STJ: qual é o papel das chamadas legaltechs nessa história? Diversas startups, maiores ou menores, vêm se dedicando a baixar e a organizar a base de dados dos tribunais brasileiros para gerar serviços para os seus clientes. São softwares que buscam identificar processos, teses ou mesmo padrões de julgamento. Muitas dessas empresas possuem em seus servidores uma parte expressiva da base dos tribunais.

Esse incidente de segurança chama atenção para o fato de que bases de dados distribuídas - e não centralizadas - podem fazer com que um ataque tenha um impacto menor, impedindo o acesso a um conjunto expressivo de dados e de funcionalidades do tribunal.

Além disso, não parece difícil imaginar que, no futuro, podemos ter um caso em que dado órgão público tenha a sua base de dados centralizada atacada e que, no final das contas, quem salva o dia é uma startup que fez o scraping da base pública e a utiliza para gerar algum serviço customizado.

Acontece que esse acesso a bases de dados públicas vive sendo contestado. Na França até se proibiu o scraping de base de dados de tribunais para fins de jurimetria. Aqui no Brasil o tema aparece na mesma LGPD, que trata de dados públicos e sobre como os mesmos devem ser acessados, armazenados e utilizados. Quem sabe o incidente do STJ também não levanta a discussão sobre o direito de acesso e uso de dados em bases públicas, especialmente quando o setor de legaltech só faz crescer no País?

O STJ foi um dos tribunais pioneiros na digitalização das suas atividades e no oferecimento de funcionalidades para o cidadão através da Internet. Vamos torcer para que os estragos desse incidente sejam os menores possíveis e que a rotina da corte possa retornar o quanto antes. Até lá, as perguntas que surgem desse episódio ajudam a colocar a cibersegurança e a proteção de dados no setor público bem no centro das atenções.