O ser humano sempre buscou novas maneiras de armazenar dados e informações. A escrita na pedra, posteriormente no papel, a máquina tabuladora e o disquete são maneiras mais primitivas de transmitir/armazenar as informações. A evolução tecnológica exigiu que essas formas fossem superadas, resultando no armazenamento em maior escala e múltiplo processamento digital. Na mesma moeda, essa evolução trouxe à tona uma série de perigos, em especial, um risco jamais visto anteriormente: a violação em massa da privacidade através do vazamento de dados pessoais.
De acordo com a Coordenação-Geral de Tratamento e Resposta a Incidentes Cibernéticos de Governo (CGCTIR), no ano de 2019 ocorreram 10.913 incidentes relacionados à segurança dos sistemas de computação ou das redes de computadores em Órgãos ou entidades dos Poderes da União, Estados e Municípios, sendo que os incidentes relacionados a vazamento de dados estão no segundo lugar da lista, com 2.430 casos. No ano de 2020, já foram 652 incidentes, sendo 36 casos relacionados ao vazamento de informações1.
Justamente em decorrência deste risco, a Lei de Proteção Geral de Dados2 (LGPD), sancionada em agosto de 2018, veio com o intuito de mitigar os riscos de vazamentos com a aplicação de sanções aos agentes de tratamento de dados.
Dentre os dados armazenados de uma instituição empresarial, destacam-se os dados sensíveis de seus usuários/clientes, informações tão confidenciais quanto às de um prontuário médico. Em razão da sua relevância, o vazamento desses dados pode acarretar uma grande exposição tanto na vida social quanto profissional de uma determinada pessoa, violando diretamente seus direitos e liberdades individuais.
Contextualizando com um exemplo prático, consideremos a situação de uma cliente que utiliza de um aplicativo de um smartwatch para acompanhar e controlar seu clico menstrual e oferecer uma visão mais ampla da sua saúde. Consideremos que os dados dessa cliente apontam indícios de que ela possa estar grávida. E, supondo que, por ventura, os dados sensíveis coletados por este aplicativo vazem através de hackeamento e sejam compartilhados com alguma empresa de plano de saúde. Neste caso poderia ocorrer de a seguradora de saúde recusar aquela pessoa como sua segurada em razão de sua condição. Isso sem contar a exposição indevida desta gravidez perante a sociedade, fato de extrema seriedade em muitas das cidades e culturas brasileiras.
Provavelmente, como ocorre na maioria das situações, também será difícil decifrar como ocorreu determinado ataque, se foi por uma vulnerabilidade do sistema interno, falha de segurança da rede empresarial ou ausência de proteção adequada na nuvem.
Este contexto de evidente violação de direitos nos suscita algumas perguntas: foi praticado algum crime? Caso positivo, quem teria responsabilidade penal?
Os tipos penais possíveis variam muito, desde estelionatos decorrentes de dados obtidos indevidamente até hackeamento em si, passando por crimes contra a honra e até mesmo organização criminosa.
Cumpre registrar que, no exemplo elucidado, o bem jurídico violado seria a liberdade individual e a privacidade da titular dos dados. O agente que invadiu o dispositivo informático provavelmente responderia pelo tipo penal previsto no artigo 154-A, do Código Penal Brasileiro. O delito de invasão de dispositivo informático consiste em: “invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita”.
Já no tocante à responsabilidade criminal dos sócios da empresa controladora ou operadora dos dados, essa deverá ser analisada pelo risco criado por eles contra o bem jurídico tutelado. Além dos critérios da dogmática clássica - ação, nexo de causalidade e resultado - neste caso, é fundamental a utilização de critérios normativos, em especial os da imputação objetiva.
O âmbito de estudo da Teoria da Imputação Objetiva é o paradigma do risco, onde o Direito Penal deveria atuar como escudo protetor anteriormente da ocorrência da lesão. A Teoria da Imputação Objetiva proposta pelo jurista alemão Günther Jakobs orbita em torno do conceito de papel social dos membros de uma sociedade. Haverá, portanto, a criação ou implementação do risco quando se viola o dever de cuidado, de garante, ou melhor, a obrigação de evitar que se crie o risco sobre a coisa em sua responsabilidade.
A LGPD não aceita apenas um compliance meramente cosmético, mas exige uma análise pormenorizada dos elementos estruturais, os riscos e o entorno específico de cada empresa. A própria cultura organizacional da empresa precisará passar por mudanças significativas.
Dentro dos conceitos da Teoria da Imputação Objetiva mencionados anteriormente, podemos perceber que os riscos criados pela atividade de tratamento de dados do controlador ou do operador deverão ser efetivamente mitigados pela aplicação dos princípios e exigências legais da LGPD, sob pena de ser possível a imputação penal do sócio ou administrador negligente.
Soma-se a isso a ausência de responsabilidade penal da pessoa jurídica no Brasil, o que move a responsabilidade de vigilância dos dados diretamente para os sócios e administradores da empresa.
Como se não bastasse, temos visto na prática a aplicação banalizada da Teoria do Domínio do Fato de Claus Roxin para responsabilização de dirigentes de empresas, fato que, aliado à maior dificuldade de identificação de hackers do que dos sócios e administradores, poderá deslocar a atenção das autoridades para estes.
Neste cenário, não é difícil imaginar a situação em que um administrador é criminalmente responsabilizado por fraudes cometidas a partir de dados pessoais vazados de sua posse.
Mais do que cumprir com um dever legal por tabela e reproduzir os “missões e valores” da empresa, implementar um programa de governança em privacidade requer no mínimo que: 1) demonstre o comprometimento em adotar processos e políticas internas que assegurem o cumprimento de normas e boas práticas relativas à proteção de dados pessoais; 2) seja adaptado à estrutura da empresa frente ao volume de suas operações; 3) estabeleça políticas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade; 4) tenha mecanismos de supervisão internos e externos; 5) conte com planos de resposta a incidentes e remediação; 6) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas; 7) conte com canais de comunicação a seus funcionários e terceiros; 8) as regras de boas práticas e de governança sejam publicadas abertamente; 9) o fácil acesso das informações necessárias possibilite que os colaboradores da empresa, sempre que fiquem com dúvidas sobre os limites de permissibilidade do seu comportamento, não caia em erro e; 10) haja a participação ativa da alta direção no treinamento e monitoramento do programa.
Ao final, para demonstrar a efetividade do programa de governança em privacidade, é fundamental que exista uma avaliação, tanto sobre sua qualidade quanto sobre seu grau de eficácia na proteção dos dados sensíveis. Para tal, a efetividade dos treinamentos deverá ser empiricamente testada, avaliando o que os seus funcionários sabem antes e depois do treinamento. Caso a coeficiente de alteração seja nulo, o treinamento pode ser ineficaz e, talvez, seja o caso do seu aperfeiçoamento.
Estes parâmetros e exigências certamente servirão de base para a análise da responsabilidade criminal dos sócios e administradores na ocorrência de crimes relacionados ao vazamento de dados pessoais.
Frente a tudo isso, além dos riscos cíveis já abordados pela literatura jurídica, também se faz necessária atenção aos possíveis reflexos criminais que os vazamentos de dados pessoais poderão trazer à prática jurídica, mormente em uma sociedade com crescente fervor punitivista com a atual.
___________________________________________________________________________
1 CGCTIR. Disponível em: Clique aqui. Acesso em: 26 fev. 2020.
2 Lei nº 13.709, de 14 de Agosto de 2018. Disponível em: Clique aqui. Acesso: 28 jan. 2020.
___________________________________________________________________________
*Pedro Junqueira Pimenta Barbosa Sandrin e Julia Xavier Rosa da Silva são advogados do escritório Celso Cordeiro & Marco Aurélio de Carvalho Advogados.