Em 2016 o ransomware foi um dos crimes mais praticados, ganhando bastante destaque nas mídias. Recentemente, o ataque ao STJ trouxe o assunto mais uma vez aos noticiários, mostrando o quanto pode ser prejudicial uma paralisação em sistemas públicos de informação. Também, neste último domingo, tivemos eleições municipais e, mais uma vez, o tema "ataques digitais" foi destaque, com informações de que o TSE foi algo de tentativas de indisponibilização dos seus sistemas. Considerando o atual cenário, o que podemos esperar num futuro não tão distante quando o tema são ataques digitais?
Ataques digitais podem ser feitos de diversas formas e muitas vezes podem constituir crimes. Não são, propriamente, novidade já que muitas instituições privadas foram e são constantemente vítimas deste tipo de prática. A grande novidade da atualidade é que os ataques estão sendo direcionados para entes públicos, o que pode trazer imensos prejuízos para uma parcela significativa da população.
Para evitar este tipo de problema, é preciso compreender que a solução não está na criação, pura e simples, de tipos penais (crimes) pelo Legislativo nem de outras leis sobre o ambiente digital. A prática mostra que há basicamente dois caminhos para se evitar estes tipos de ataques: o primeiro é a prevenção, com adoção de programas robustos de segurança da informação, seja por entes particulares, seja por entes públicos; o segundo é melhorar as investigações sobre esses tipos de ataques. É que de nada adianta ter leis que possam punir criminosos digitais se as investigações não prosperarem adequadamente.
É bastante comum ouvirmos dizer que no país faltam leis ou que eles são brandas. Mas, quando falamos em crimes digitais, embora sempre se possa fazer um ou outro ajuste na legislação, em geral, temos leis suficientes para o seu enfrentamento. No entanto, faltam recursos materiais e de cooperação internacional para a ampliação e efetividade das investigações.
O Brasil não tem como fazer incidir suas leis a crimes cometidos no estrangeiro (apenas excepcionalmente) e, portanto, sem mecanismos de cooperação internacional, ataques digitais cometidos contra quem quer que seja, ficarão limitados a levantamento de hipóteses e de contra-medidas para que os sistemas informáticos não sejam prejudicados ou, caso tenham sido, sejam restabelecidos.
Um outro ponto que deve ser observado é que a vigência da LGPD neste ano parece ter pego muitos entes públicos de surpresa, não estando ainda devidamente adequados a esta importante legislação. Apesar da LGPD não ser uma lei que trata minuciosamente sobre aspectos da segurança da informação, traz dispositivos bastante claros de que os agentes de tratamento (todos aqueles que determinam como se dá o tratamento de dados pessoais) devem garantir a segurança da informação (art. 47), definindo segurança como a "utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão" (art. 6º, VII).
Temos, portanto, um cenário complexo, onde cada vez mais nosso cotidiano depende de operações realizadas com dados (grande parte deles são dados pessoais), com desafios de que as instituições se protejam adequadamente garantindo a confidencialidade, autenticidade, disponibilidade e integridade das informações e, respeitando, ainda, leis como a LGPD, que tem o foco na proteção de dados pessoais.
Considerando o recente histórico de narrativas sem qualquer plausibilidade sobre fraudes nos resultados das eleições norte-americanas e também o nosso histórico dos últimos anos com a massificação das chamadas fake news, antevemos ondas de ataques buscando desacreditar as instituições que compõem nosso país.
Isso somente poderá ser evitado com amplo e rápido planejamento e engajamento das autoridades públicas, inclusive da Autoridade Nacional de Proteção de Dados, cuja operacionalização é muito aguardada por todos.
O momento é de concretização das proteção, físicas e lógicas, das normas de segurança da informação e da proteção de dados pessoais, o que deve ser feito por todos, entes públicos e privados, mas especialmente pelos primeiros, porque das falhas nestes tipos de proteção podemos ter sérias consequências para a estabilidade da nossa ainda jovem e tão atacada democracia.
*Marcelo Crespo, PhD em Direito Digital e Direito Penal. Especialista em Proteção de Dados, Gestão de Crises e Contencioso Digital, de Pires & Gonçalves Advogados Associado