Neste mês de novembro de 2022, o Judiciário Trabalhista teve os seus principais sistemas indisponíveis, em virtude de suposta “clonagem de certificados digitais” que culminou em um golpe estimado no montante de R$ 4 milhões. Em pronunciamento público, o diretor-presidente do Instituto Internacional de Identificação (InterID) e presidente da Associação Brasileira das Empresas de Tecnologia em Identificação Digital (Abrid), Célio Ribeiro aponta ser improvável que a certificação ICP-Brasil (Infraestrutura de Chaves Públicas Brasileira) tenha sido fraudada, pois, em suas palavras, trata-se de “(...)uma das ICP mais eficientes do mundo. Em termos sistêmicos, é totalmente confiável”.
Célio acredita que o incidente tenha sido causado por falha humana em uma de duas possibilidades: o uso fraudulento da certificação ou a emissão fraudulenta do certificado. Diante disso, é possível notar que provavelmente foi empregado no golpe método de engenharia social, isto é, técnica utilizada por criminosos cibernéticos para induzir usuários despreparados a enviar dados confidenciais, ter seus dispositivos infectados por malwares ou abrir links para sites nocivos. Em todas estas técnicas, o ponto de semelhança é que os hackers se valem da falta de conhecimento do usuário.
O episódio em questão evidencia como uma política de treinamentos às equipes de servidores do setor judiciário seria determinante para minimizar o risco de incidentes. Isto porque, como é sabido, por diversas vezes estes certificados digitais acabam tendo passe livre entre diversos colaboradores da instituição, sendo conectados, até mesmo, em dispositivos pessoais, domésticos e de uso compartilhado, o que certamente facilita o vazamento de dados de acesso. Não sem motivo, é exaustivamente aconselhado pelos profissionais de privacidade e proteção de dados que sejam listados quais são os usuários autorizados a operar determinados dados, em quais meios e sob quais condições, não sendo tratamento que se possa deixar à deriva de dinamizações e praticidades a qualquer custo.
Este cenário traz o cerne da questão mais para a seara da governança em proteção e privacidade de dados que para a esfera da ciência da computação. Nota-se, mediante tal incidente, como seria crucial a elaboração de um Relatório de Impacto à Proteção de Dados (RIPD), conhecido também pela sigla em inglês “DPIA” (Data Protection Impact Assessment), onde avaliaria os possíveis riscos da atividade que envolve dados pessoais frente aos direitos e liberdades dos titulares e determinaria medidas a serem tomadas diante deles.
No manual “Lei Geral De Proteção De Dados (LGPD) - Guia de Boas Práticas para Implementação na Administração Pública Federal” elaborado pelo Comitê Central de Governança de Dados, a abordagem orientada é de Privacidade desde a Concepção (PdC), sendo caracterizada por medidas proativas e não reativas. Isto é, uma abordagem que antecipa e evita eventos invasivos de privacidade antes que eles ocorram, orientação cuja observância poderia ter poupado diversos danos e transtornos, posto que o episódio em questão provavelmente decorreu de falha humana.
A Instrução Normativa GSI/PR nº 1, de 27 de maio de 2020, estipula a obrigação de que os órgãos que compõem a administração pública federal implementem uma política de segurança da informação. Diante disso, o órgão ou a entidade pública deve estabelecer, inclusive, processos de gestão de incidentes cibernéticos que englobem requisitos de segurança expostos na LGPD. Devem ser observadas, também, outras disposições normativas referentes ao tema abordadas no Decreto nº 10.748, de 16 de julho de 2021, que institui a Rede Federal de Gestão de Incidentes Cibernéticos, com o objetivo de proporcionar prevenção contra incidentes cibernéticos nos órgãos e entidades da administração pública, elevando a segurança dos ativos de informação.
Nota-se que todo o ordenamento pátrio tem reagido ao crescente protagonismo da proteção de dados em meios digitais entre os bens juridicamente tutelados. Além de ter sido incluído pela Emenda 115/2022 como Direito Constitucional Autônomo, a Lei 14.155 de 2021, acrescenta o § 4º-B ao art. 155 do Código Penal prevendo agravante do furto qualificado por meio eletrônico “com ou sem a violação de mecanismo de segurança ou a utilização de programa malicioso, ou por qualquer outro meio fraudulento análogo”. Segundo a nova redação do Código, o crime de invasão de dispositivo informático passará a ser punido com reclusão, de 1 a 4 anos, e multa, não mais de detenção de 3 meses a 1 ano e multa. Prevê ainda o aumento da pena de um terço a dois terços se a invasão culminar em prejuízo econômico, o que se configurou no caso em tela.
Sob perspectiva dogmática/principiológica, as consequências de episódios como o que se analisa são subversivas, posto que os atos administrativos, por natureza, devem se presumir lícitos e legítimos. Assim, o fato de o poder judiciário, parte integrante da administração pública, ter seus procedimentos invadidos e dissimulados, apresenta desafio à ordem institucional e ao próprio Estado Democrático de Direito, que tanto a esfera pública quanto a privada devem se empenhar para superar.