O que o Ministério da Saúde, da Economia, o STF e o STJ têm em comum? Todos são órgãos estatais que sofreram invasões de hackers, expondo a fragilidade de seus sistemas e vazando dados pessoais (nome completo, endereço residencial, RG, CPF e outros) e, em alguns casos, dados pessoais sensíveis (tais como dados de saúde, como, por exemplo, de quem tomou as vacinas contra a Covid, ademais de dados sanguíneos e biometria) de seus cidadãos.
Segundo levantamento da empresa Roland Berger, o Brasil é o 5º maior alvo de cibercrimes culminando em prejuízo global de US$ 6 trilhões, o que equivale ao triplo do PIB do Brasil.
O ataque ao sistema do Conecte SUS e os ataques reiterados ao Ministério da Saúde - seja em novembro de 2021 (quando 16 milhões de pessoas físicas tiveram seus dados vazados, incluindo-se aqui os dados sensíveis do chefe do Poder Executivo, o Presidente da República), seja em dezembro de 2021 e em janeiro e abril de 2022 - demonstram não somente a debilidade e as falhas nos sistemas deste órgão, como também a profunda violação aos princípios insculpidos na LGPD, na LAI (Lei de Acesso à Informação), na Constituição Federal e em outros dispositivos legais, tais como os princípios da transparência, da devida prestação de contas, da prevenção (de riscos, sobretudo, cibernéticos decorrentes de incidentes de segurança) e de segurança dos dados.
Em março de 2021, foi a vez do STF ser invadido por meio de uma vulnerabilidade em seu sistema e o acesso aos servidores. No que versa ao ataque ao STJ, foi este considerado o mais grave da história: os invasores criptografaram todo o acervo de processos do tribunal e tiraram do ar o sistema digital inteiro da Corte, que teve que suspender os trabalhos.
Em dezembro de 2021, o ataque se deu ao Ministério da Economia pelo mesmo grupo que hackeou os sites da Agência Nacional de Transportes Terrestres (ANTT) e outras ligadas à Secretaria de Governo Digital, órgão que integra a estrutura da Secretaria Especial de Desburocratização do Ministério da Economia.
Importante salientar o que o artigo 46 da LGPD exige, in verbis: que “Os agentes de tratamento de dados pessoais – os controladores e operadores- devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, sob multa de até R$50 milhões por dia e de outras sanções administrativas.
Nesta trilha, não obstante, a Lei 12527 (a LAI- Lei de Acesso à Informação) enfatizar o desenvolvimento da transparência na Administração Pública e a LGPD exigir que as empresas públicas e privadas demonstrem a efetividade de seus programas de compliance, focados na Proteção de Dados e na Segurança da Informação, isto não foi cumprido por esses órgãos púbicos.
Ou seja, diferentemente do praticado pelas empresas privadas, que envidam esforços na consecução da efetividade de seus programas de Data Privacy em consonância com as leis locais e estrangeiras, seja para não perderem clientes (afinal, que pessoa quereria adquirir produtos ou serviços de uma empresa que não protege seus dados e os tornam expostos a crimes virtuais e a ataques de hackers?), seja para serem contratadas por outras empresas que não querem correr o risco de serem solidárias ou corresponsáveis por eventuais danos afligidos a seus clientes, a recíproca não é verdadeira no que toca à realidade dos órgãos públicos na esfera estatal.
Ressalte-se ser humanamente impossível evitar, de forma completa e integral, todo e qualquer tipo de risco, incluindo-se aqui os cibernéticos. No entanto, isso não exime de responsabilidade os órgãos públicos (e tampouco os privados) no que tange aos seus deveres de notificar os incidentes de segurança dos referidos ataques hackers e buscarem prevenir, de forma ótima e maximizada, eventuais danos afligidos aos titulares dos dados, os principais prejudicados no que versa aos seus direitos fundamentais, de privacidade, de acesso aos dados que foram vazados, dentre outros.