19/05/2021

Renato de Oliveira Valença no Portal LexLatin – LGPD – Responsabilidade – Invasão hacker – Roubo de bitcoins

Até onde vai a responsabilidade das empresas por roubo de bitcoins?

Reportagens

Guilherme Mendes

Fecha de publicación: 18/05/2021

STJ julga se Google é culpado por invasão hacker em email com senhas de acesso a criptomoedas.

A Lei Geral de Proteção de Dados (LGPD) promoveu mudanças nas relações entre usuários de serviços virtuais – mas até onde vai a responsabilidade dos provedores de serviços na Internet quanto ao uso de seus produtos – e eventual indisponibilidade? O tema é o pano de fundo de um recurso ainda em tramitação no STJ (Superior Tribunal de Justiça), dentro do REsp (Recurso Especial) 1.885.201/SP.

No caso, um cidadão brasileiro requereu que o Google deveria ressarci-lo por uma invasão hacker em seu e-mail. O ponto principal, alega, não era a invasão às suas mensagens privadas, mas o fato de que a conta detinha a senha a uma carteira virtual com 79.22 bitcoins, avaliada à época da ação em R$ 5,5 milhões.

Segundo o autor da ação, “o ataque por hackers ou crakers é um risco do negócio da ré, a qual deve tomar medidas eficazes para tornar seguro o conteúdo armazenado em seus servidores”. O seu pedido original à Corte requeria dados de quem acessou sua conta, tais como IP e dados de geolocalização de onde ocorreu o acesso.

Flávia Bortolini, associada do Damiani Sociedade de Advogados e especialista em direito digital e proteção de dados pelo Data Privacy Brasil, explica que os ataques virtuais podem ocorrer de diversas maneiras: vírus, robôs e softwares mal intencionados (malwares), incluindo softwares que obtêm informações do usuário sem que ele saiba (spywares).

“Não há, necessariamente, a atuação de um indivíduo no momento do ataque. Já o ataque hacker pressupõe um indivíduo ou grupo que tenha como objetivo danificar ou invadir uma rede, expondo ou se apoderando de dados sigilosos”, conclui a advogada.

A decisão do TJSP (Tribunal de Justiça do Estado de São Paulo), foi por determinar pena de multa de R$1 mil por dia até que o Google cedesse todas as informações necessárias ao acesso na conta. A empresa deveria também proceder ao pagamento de R$15 mil por danos morais – mas a Corte limitou honorários sucumbenciais e prazo máximo para as multas diárias. Leia aqui a decisão do TJSP. (*)

O caso já foi julgado na Terceira Turma do STJ, onde o dono da conta do e-mail pediu a anulação do julgamento da 2ª Instância. O argumento, no entanto, foi rechaçado por unanimidade pela Corte em novembro de 2020.

“A jurisprudência do STJ é pacífica no sentido de que a modificação do valor fixado a título de danos morais somente é permitida quando a quantia estipulada for irrisória ou exagerada, o que não está caracterizado na presente hipótese, em que foi arbitrada em R$15 mil”, escreveu a relatora do caso, ministra Nancy Andrighi. “Salvo essas hipóteses, incide a Súmula 7/STJ, impedindo o conhecimento do recurso”. Leia aqui a decisão do STJ.

Nesta terça-feira (18), a Corte ainda não conseguiu chegar a um acordo sobre a questão. Por unanimidade, os cinco ministros da Terceira Turma acolheram os embargos do Google, para garantir o julgamento da questão em sessão telepresencial. A tese, portanto, permanece em aberto na Corte Superiora.

O criminalista André Damiani, especialista em direito penal econômico e sócio fundador do Damiani Sociedade de Advogados, entende que a Lei Geral de Proteção de Dados tem bases muito claras sobre o tema. “A LGPD prevê que uma pessoa jurídica pode atuar como controlador ou operador de dados e, em caso de vazamento, comprovado o dano patrimonial, coletivo, moral ou individual causado a terceiro, o controlador ou operador poderá ser responsabilizado civilmente”, disse.

Para Renato Valença, especialista em LGPD do Peixoto & Cury Advogados, organizações como Google e Facebook têm a obrigação de se preocupar e atuar diligentemente buscando proteger as informações de seus clientes/usuários, implementando um sistema de gestão de segurança da informação robusto, com constantes avaliações de riscos e adoção de medidas de controle que sejam compatíveis com os riscos identificados.

“Um incidente de segurança caracterizado por ataque criminoso necessita da análise do grau de culpa da organização que teve suas informações invadidas. Até que ponto a empresa se empenhou em proteger os dados das pessoas? Se constatada omissão, ou outra modalidade de culpa, a empresa passa a  ser responsável por indenizar as perdas e danos sofridas por terceiros em decorrência dessa falha”, afirmou.

Wilson Sales Belchior, que é sócio do RMS Advogados, argumenta que a responsabilização de fornecedores de produtos e serviços não pode ser observada de forma genérica. “A análise deve ser específica, considerando inclusive a cautela adotada no uso, por exemplo, de uma nova tecnologia, a eventual conduta de terceiros, o atendimento às recomendações do fornecedor, a exposição à vulnerabilidades e riscos que não estão abrangidos pelas medidas técnicas e administrativas exigidas daquela tecnologia”, disse.

André ainda pontua que o Marco Civil da Internet, de 2014, garante como obrigação dos servidores de correio eletrônico, como é o caso do Gmail, “que tomem as precauções hábeis para assegurar a inviolabilidade da correspondência eletrônica. Se ficar demonstrado que o ataque ocorreu por falha no servidor, este pode ser condenado à reparação moral e material. Já em caso de culpa de terceiro, alheio à relação inicialmente contratada, como plataformas de gerenciamento de e-mails, ou mesmo do próprio consumidor, o servidor não poderá ser responsabilizado”, concluiu.

Renato Valença lembra que, além da responsabilidade de indenizar terceiros, a partir de  agosto deste ano as organizações estarão sujeitas à fiscalização da Autoridade Nacional de Proteção de Dados (ANPD). Além de outras penalidades, a autarquia poderá aplicar multas que podem chegar a R$50 milhões.

(*) Número do processo que consta no endereço do link indisponível – 1090359-77.2017.8.26.0100.

Fonte: https://br.lexlatin.com/reportagens/ate-onde-vai-responsabilidade-das-empresas-por-roubo-de-bitcoins