Resumo
Neste artigo, serão discutidas questões relacionadas ao cumprimento da Lei Geral de Proteção de Dados (LGPD - Lei n° 13.709/2018) e à importância da implementação eficaz de programas de proteção de dados pessoais para combater crimes cibernéticos. Além disso, é relevante destacar que o principal objetivo deste artigo é buscar na LGPD e em legislações semelhantes ao redor do mundo uma maior segurança para a privacidade das pessoas físicas, prevenindo potenciais crimes que envolvam esses dados, considerando o aumento dos casos de cibercrimes. Por último, será abordada a possível responsabilidade criminal dos responsáveis pelo tratamento de dados pessoais, assim como a discussão em torno do Anteprojeto da "LGPD Penal", iniciada em 2019.
Palavras-chave: LGPD, Lei Geral de Proteção de Dados, Crimes Cibernéticos, Responsabilidade Criminal.
Introdução
Este estudo científico enfoca a relevância da Lei Geral de Proteção de Dados (LGPD - Lei n° 13.709/2018) na luta contra os chamados crimes cibernéticos ou cybercrimes.
Inicialmente, será abordado o contexto histórico que envolve o surgimento da discussão sobre proteção e privacidade de dados na Europa. Esse debate teve início com a publicação das "Diretrizes para a Proteção da Privacidade e dos Fluxos Transfronteiriços de Dados Pessoais" em 1980, que estabeleceram os princípios conhecidos como Fair Information Privacy Principles - FIPPs. Posteriormente, em 1995, evoluiu para a Diretiva 95/46/CE do Parlamento Europeu e do Conselho. Mais tarde, a Comissão Europeia propôs sua reforma, e somente em 2016, a União Europeia adotou o Regulamento 2016/679, implementando a "General Data Protection Regulation" (GDPR) em 25 de maio de 2018.
Em seguida, será discutida a introdução da Lei nº 13.709, de 14 de agosto de 2018, mais conhecida como a Lei Geral de Proteção de Dados (LGPD). É importante ressaltar que a questão da privacidade e proteção de dados já era abordada no Brasil por meio da Constituição Federal, do Marco Civil da Internet, do Código de Defesa do Consumidor, da Lei de Acesso à Informação, da Lei do Habeas Data e do Decreto do Comércio Eletrônico.
Em seguida, serão apresentadas algumas considerações relevantes sobre a atuação da Agência Nacional de Proteção de Dados (ANPD), destacando como esse órgão do governo fiscaliza o tratamento de dados e assegura a proteção dos dados pessoais de pessoas físicas (titulares). Serão discutidos os princípios que norteiam sua atuação, bem como suas abordagens, que se dividem em dois principais aspectos: orientação e fiscalização, e penalidades e arrecadação.
Também será discutido o papel dos Agentes de Tratamento de Dados Pessoais, que são o controlador e o operador, uma vez que surgiram com a promulgação da LGPD. Esses agentes são encarregados da coleta, do tratamento e da segurança dos dados pessoais, além de esclarecer as responsabilidades específicas de cada um, as obrigações que devem cumprir em suas respectivas funções e as responsabilidades às quais estão sujeitos, conforme estabelecido no artigo 42 da Lei nº 13.709/18.
Será realizada uma avaliação do papel do encarregado de dados, também referido como Data Protection Officer (DPO), que tem a responsabilidade de servir como um elo de comunicação entre o controlador dos dados, os titulares dos dados e a autoridade nacional competente, que é a Agência Nacional de Proteção de Dados (ANPD). A identidade e as informações de contato do DPO devem ser divulgadas publicamente, de preferência no site da organização ou instituição em que atua.
A seguir, devido ao contexto da pandemia de COVID-19, tem-se observado um aumento nos crimes cibernéticos no país. Nesse sentido, iremos explorar a origem da primeira legislação penal referente a esses crimes, que surgiu em 1983, pela Organização para Cooperação e Desenvolvimento Econômico (OCDE), além da criação de uma comissão de especialistas em crimes cibernéticos pelo Comitê Europeu para Problemas Criminais (CDPC), e também discutiremos sobre a Convenção do Conselho da Europa sobre Cibercrime, realizada em Budapeste em 2001. Além disso, abordaremos a definição de crimes cibernéticos, sua evolução ao longo dos anos e as legislações brasileiras que tratam do assunto.
Por último, será abordada a relevância do cumprimento da Lei Geral de Proteção de Dados, considerando o aspecto criminal. Além das penalidades previstas na legislação em termos cíveis e administrativos, existe a possibilidade de debate sobre a responsabilidade penal dos agentes envolvidos. Embora a Lei seja silenciosa nesse aspecto, isso não implica em isenção dessa possibilidade.
A Lei Geral de Proteção de Dados
Com o avanço rápido da internet e a disseminação global de informações ao longo do século passado, surgiu a necessidade de discutir a privacidade e a proteção dos dados pessoais.
Assim, em 23 de setembro de 1980, a Organização para a Cooperação e Desenvolvimento Econômico (OCDE) lançou as chamadas "Diretrizes para a Proteção da Privacidade e dos Fluxos Transfronteiriços de Dados Pessoais".
Os princípios estabelecidos são caracterizados pela clareza e flexibilidade em sua aplicação, abrangendo todos os meios utilizados para o processamento automatizado de dados relacionados a indivíduos, todos os tipos de processamento de dados pessoais e todas as categorias de dados. Essas diretrizes se aplicam tanto no âmbito nacional quanto no internacional.
Esses princípios, também referidos como "Fair Information Privacy Principles - FIPPs", estabelecem diretrizes para a preservação e tratamento de dados pessoais, incluindo: (i) princípio de restrição da coleta; (ii) princípio de qualidade dos dados; (iii) princípio de especificação da finalidade; (iv) princípio de restrição da utilização; (v) princípio de segurança do backup; (vi) princípio de transparência; (vii) princípio de participação do indivíduo; e (viii) princípio de responsabilidade.
Na Europa, a proteção de dados foi inicialmente estabelecida pela Diretiva de Proteção de Dados (Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995), cabendo a cada Estado-Membro da União Europeia sua implementação por meio da adoção de legislação nacional específica sobre o assunto.
Somente em 2012, a Comissão Europeia propôs uma reforma das normas existentes. Em 2016, a União Europeia adotou o Regulamento 2016/679 e, posteriormente, em 25 de maio de 2018, foi efetivamente implementada a "General Data Protection Regulation" (GDPR).
No Brasil, a Lei Geral de Proteção de Dados é uma legislação mais recente.
Inspirada na GDPR europeia mencionada anteriormente, a LGPD foi estabelecida para proteger os dados pessoais de indivíduos. Ou seja, a LGPD não visa proteger os dados das empresas, mas sim os dados pessoais das pessoas físicas armazenados por entidades jurídicas, independentemente da finalidade.
Embora a Lei n° 13.709, de 14 de agosto de 2018, seja a mais recente e detalhada, não é a única legislação a tratar da proteção de dados no Brasil, uma vez que o assunto já havia sido abordado anteriormente por outras normativas, como: (i) Constituição Federal; (ii) Lei n° 12.965, de 23 de abril de 2014 (Marco Civil da Internet); (iii) Lei n° 8.078, de 11 de setembro de 1990 (Código de Defesa do Consumidor); (iv) Lei n° 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação); (v) Lei n° 9.507, de 12 de novembro de 1997 (Lei do Habeas Data); e (vi) Decreto 7.962, de 15 de março de 2013 (Decreto do Comércio Eletrônico).
De toda forma, a Lei Geral de Proteção de Dados, devido à sua especificidade e, consequentemente, à sua maior amplitude na proteção dos dados individuais, representa um avanço significativo na legislação brasileira.
Origem na União Europeia
Apesar de ser uma novidade no Brasil, o cumprimento da Lei n° 13.709/2018, as leis de proteção de dados e privacidade na internet têm sido discutidas na União Europeia por um longo período.
Nos anos 70, o progresso tecnológico em países mais avançados levantou preocupações entre os juristas sobre os direitos individuais daqueles que utilizavam a computação de diversas maneiras.
Embora o direito à privacidade tenha sido inicialmente discutido em jurisprudência e doutrina nos Estados Unidos, foi apenas em 1970 que a primeira lei sobre o assunto foi promulgada, no Estado de Hesse, na Alemanha. Essa legislação foi finalizada e implementada somente em 1978.
Após a implementação na Alemanha, outros países europeus, como Áustria, Suécia, França e Noruega, seguiram o exemplo, elaborando suas próprias leis sobre o direito à privacidade.
Agência Nacional de Proteção de Dados (ANPD)
A Agência Nacional de Proteção de Dados, conforme indicado pelo seu nome, é uma entidade governamental estabelecida com o propósito de reforçar a estabilidade e segurança na aplicação eficaz da Lei n° 13.709/2018.
Atualmente, a ANPD é liderada pelo Diretor-Presidente Waldemar Gonçalves Ortunho Júnior, que possui uma série de responsabilidades, conforme delineado no artigo 6° do Regimento Interno da ANPD.
O referido órgão administrativo desempenha um papel crucial na formulação de políticas públicas para a conformidade e implementação de Códigos de Conduta, conforme estabelecido no artigo 50 da LGPD. Este artigo aborda a competência dos controladores e operadores para desenvolver, entre outras normas de boas práticas e governança, tais Códigos de Conduta.
Em todo o mundo, em nações que possuem legislação de proteção de dados, existem diversos órgãos que desempenham funções semelhantes à ANPD no Brasil.
Embora compartilhem o objetivo comum de garantir estabilidade e segurança para as leis locais de proteção de dados, esses órgãos reguladores adotam duas abordagens distintas em sua atuação: orientativa/fiscalizatória e punitiva/arrecadatória.
Enquanto as autoridades que adotam a abordagem orientativa/fiscalizatória respondem a consultas públicas, colaboram com diversos setores para validar Códigos de Conduta e aplicam multas com valores mais baixos visando principalmente a educação, as autoridades que seguem a abordagem punitiva/arrecadatória concentram-se principalmente na aplicação de multas como principal medida, visando punir aqueles que não cumprem a legislação de proteção de dados.
Portanto, de maneira geral, o trabalho das autoridades se fundamenta em 4 pilares: (i) Assegurar o cumprimento efetivo da Lei de Proteção de Dados; (ii) Assessorar empresas no manejo de dados, fiscalizá-las e conduzir auditorias; (iii) Oferecer orientações sobre as melhores práticas para o uso de dados em conformidade com a legislação existente; e (iv) Monitorar o tratamento de dados.
Além disso, a natureza jurídica da ANPD é abordada na própria Lei Geral de Proteção de Dados brasileira, conforme o artigo 55-41, que trata da sua criação e inicialmente a vincula à Presidência da República.
No entanto, devido à sua natureza jurídica transitória, existe a possibilidade de ser convertida em autarquia após dois anos da entrada em vigor da estrutura regimental da ANPD.
Além do papel técnico que deve ser desempenhado pela autoridade em relação às questões de fiscalização do tratamento de dados e ao gerenciamento do cumprimento da norma contra o mau uso dos dados, a ANPD também é encarregada de proteger os direitos fundamentais, uma vez que a proteção de dados pessoais é inerente desde o início da implementação da LGPD.
Tanto é verdade que a proteção de dados foi recentemente incluída na Constituição Federal como um direito fundamental. Essa inclusão ocorreu por meio da Emenda Constitucional n° 115/2022, em 10 de fevereiro de 2022.
A Emenda Constitucional estabelece que compete exclusivamente à União legislar sobre proteção e tratamento de dados pessoais, proporcionando uma aplicação mais segura da Lei n° 13.709/2018, e inclui o direito à proteção de dados pessoais na lista de direitos fundamentais.
As alterações podem ser observadas nos artigos 5°, inciso LXXIX; 21, inciso XXVI; e 22, inciso XXX, todos da Constituição Federal.
Os Agentes de Tratamento de Dados Pessoais
A Lei n° 13.709/2018 define os indivíduos encarregados pela coleta, processamento e proteção dos dados pessoais como agentes de tratamento, incluindo o controlador e o operador.
Conforme especificado nos artigos 5°, incisos VI e VII, da LGPD, esses agentes podem ser tanto pessoas físicas quanto jurídicas, de natureza pública ou privada, e devem desempenhar funções institucionais dentro da organização.
O controlador, como estabelecido legalmente, é encarregado de receber os dados pessoais dos titulares, adquiridos mediante consentimento ou em circunstâncias excepcionais. Sua função é tomar decisões sobre o tratamento dessas informações, o que inclui definir suas finalidades e os motivos subjacentes, como o legítimo interesse.
Para isso, o controlador tem as seguintes responsabilidades: a) manter registros das atividades de tratamento de dados pessoais (art. 37, LGPD); b) elaborar relatórios de impacto à proteção de dados, inclusive para dados sensíveis, quando exigido pela ANPD (art. 38, LGPD); c) assegurar a segurança da informação por meio da implementação de medidas técnicas e administrativas (art. 46, LGPD); d) comunicar à autoridade nacional e ao titular sobre incidentes de segurança que possam resultar em risco ou dano significativo (art. 48, LGPD); e) estabelecer regras de boas práticas e governança (art. 50, LGPD); f) garantir transparência, informação e respeito aos direitos dos titulares; e g) manter o sigilo das informações.
Portanto, ao cumprir suas responsabilidades, será possível estabelecer sua responsabilidade por danos causados a terceiros, especialmente aos titulares dos dados pessoais, devido a falhas no tratamento desses dados, conforme estipulado pelo artigo 42 da mesma lei.
Por outro lado, o operador é subordinado hierarquicamente ao controlador (que o nomeia para a função), desempenhando suas tarefas sob as ordens e diretrizes de seu superior.
Adicionalmente, o operador também deve cumprir as obrigações atribuídas ao controlador, uma vez que a execução das tarefas sob sua responsabilidade depende das instruções deste, conforme estipulado no artigo 39 da Lei n° 13.709/2018.
Observa-se que, para efeitos de responsabilização conforme a referida lei, é possível equiparar o operador ao controlador caso não cumpra as instruções recebidas ou execute instruções de tratamento de forma ilícita, como previsto no artigo 42, §1°, da LGPD.
Ambos têm a responsabilidade de designar o encarregado de dados, também conhecido como Data Protection Officer (DPO), que pode ser uma pessoa física ou jurídica, interna ou externa, individualmente ou atuando de maneira colegiada, como em um comitê, por exemplo.
A função do encarregado de dados está descrita no artigo 5°, inciso VIII, da LGPD, e envolve servir como ponto de contato entre o controlador, os titulares dos dados e a autoridade nacional responsável (Agência Nacional de Proteção de Dados - ANPD). Sua identidade e informações de contato devem ser divulgadas de forma clara e objetiva, preferencialmente no site da empresa ou do órgão em questão.
As responsabilidades atribuídas ao encarregado de dados, conforme estabelecido no artigo 41, parágrafo 2°, da LGPD, incluem: a) receber reclamações e comunicações dos titulares, fornecendo esclarecimentos e tomando medidas necessárias; b) gerenciar as comunicações com a ANPD; c) orientar os funcionários e contratados sobre as melhores práticas de proteção de dados; d) cumprir outras atribuições designadas pelo controlador ou especificadas em regulamentos complementares.
Adicionalmente, o Governo Federal emitiu a Instrução Normativa SGD/ME n° 117/202010, emitida pela Secretaria do Governo Digital do Ministério da Economia, que aborda a designação do encarregado de dados nos órgãos e entidades da administração pública federal direta, autárquica e fundacional.
Essa normativa estipula que, essencialmente, o encarregado de dados que atua no setor público deve possuir habilidades multidisciplinares, especialmente em áreas como privacidade e proteção de dados pessoais, segurança da informação, gestão de riscos, análise jurídica e governança de dados.
Por último, é importante destacar que a responsabilidade mencionada nesta seção, especialmente por ser objetiva (não requerendo análise de culpa), refere-se às violações decorrentes do não cumprimento das obrigações estabelecidas pela LGPD, sendo aplicada principalmente para questões administrativas e civis.
Em seguida, será discutida neste trabalho a perspectiva da responsabilidade criminal (que requer análise de culpa) aplicável aos agentes de tratamento de dados mencionados aqui.
O Crescimento de Crimes Cibernéticos no período pandêmico
Inicialmente, é crucial destacar a natureza dos crimes cibernéticos.
Os crimes cibernéticos, também conhecidos como cibercrimes, referem-se a atividades ilegais conduzidas através da internet e que envolvem o uso de dispositivos eletrônicos, como tablets, computadores, celulares, entre outros.
As pessoas que se envolvem na prática desses crimes têm várias motivações, incluindo vingança pessoal, busca por reconhecimento público e, principalmente, ganho financeiro.
É importante destacar que, independentemente da motivação, a maioria dos crimes é perpetrada por indivíduos com amplo conhecimento técnico em informática. Muitas vezes, esses crimes ocorrem no ambiente empresarial, onde os perpetradores têm acesso a grandes quantidades de dados pessoais armazenados, resultando em sérios prejuízos para as organizações.
Os crimes cibernéticos representam uma séria ameaça ao bem-estar econômico das vítimas, devido à facilidade com que podem ser cometidos remotamente, sem que os perpetradores estejam fisicamente presentes no local do crime. Isso se deve à capacidade de realizar tais crimes de qualquer lugar do mundo, desde que haja acesso à internet.
Os crimes cibernéticos representam uma forma de delito com considerável potencial prejudicial para as vítimas, devido à facilidade aumentada de sua execução pelos motivos mencionados anteriormente.
As categorias de crimes cibernéticos incluem: (i) Crimes econômicos, referentes a atividades ilícitas realizadas online para obter ganho financeiro ilegal através da manipulação de dados e violação de sistemas; (ii) Ataques contra indivíduos, envolvendo invasão e coleta de dados pessoais com o propósito de extorsão posterior; (iii) Manipulação de dados para prejudicar interesses coletivos ou supra-individuais; (iv) Ataques contra sistemas informáticos visando vandalismo ou ganho ilícito.
Quanto à categorização dos delitos, Vianna afirma o seguinte:
a) crimes informáticos impróprios: aqueles nos quais o computador é usado como instrumento para a execução do crime, mas não há ofensa ao bem jurídico inviolabilidade da informação automatizada (dados), como por exemplo, os crimes contra a honra (calunia, injúria e difamação), praticados nas redes sociais ou através do envio de um e-mail.
b) crimes informáticos próprios: são aqueles em que o bem jurídico protegido pela norma penal é a inviolabilidade das informações automatizadas (dados). Ex. a interceptação telemática ilegal, prevista no art. 10 da lei 9.296/96.
c) delitos informáticos mistos: são crimes complexos em que, além da proteção da inviolabilidade dos dados, a norma visa tutelar bem jurídico de natureza diversa.
d) crimes informáticos mediatos ou indiretos: é o delito-fim não informático que herdou esta característica do delito-meio informático realizado para possibilitar a sua consumação.
Existem várias outras maneiras de perpetrar crimes cibernéticos, embora as modalidades mencionadas sejam as mais comuns, especialmente nos últimos anos.
No contexto internacional, a legislação sobre crimes cibernéticos teve sua primeira manifestação em 1983, quando a Organização para a Cooperação e Desenvolvimento Econômico (OCDE) implementou a normativa intitulada "Crimes Informáticos: análise dos regulamentos legais".
Na normativa mencionada, foram apresentadas algumas diretrizes que os Estados Membros foram orientados a seguir, incluindo exemplos de má utilização da tecnologia. Estas recomendações abordavam condutas como fraudes eletrônicas, pirataria de software, falsificações, espionagem de computadores, uso indevido de sistemas computacionais, entre outras práticas que necessitam ser reprimidas.
No entanto, é importante destacar que as orientações mencionadas anteriormente servem apenas como diretrizes para que as leis sejam devidamente implementadas em cada país pelos órgãos legislativos competentes.
Logo após, em 1996, o Comitê Europeu para Problemas Criminais (CDPC) estabeleceu uma comissão de especialistas em crimes cibernéticos. Essa iniciativa foi motivada pelo rápido avanço da tecnologia e pela necessidade de antecipar os potenciais crimes que poderiam surgir.
Da mesma forma, surgiu a discussão sobre a viabilidade de crimes ocorrendo no ciberespaço que poderiam, em princípio, comprometer a confiabilidade, disponibilidade e integridade das redes, o que levou à necessidade de uma convenção denominada "Convenção do Conselho da Europa" sobre essas questões relacionadas a esse tipo de crime.
Neste ponto, a categoria de crime em discussão foi caracterizada como englobando todos os possíveis atos destinados a contornar de alguma maneira a confiabilidade, disponibilidade e integridade das redes, bem como dos dados e sistemas informáticos.
No contexto do Brasil, abordado neste artigo, durante a paralisação global devido à pandemia de COVID-19, o país e o mundo precisaram se ajustar ao "novo normal" e às novas normas de convivência. Isso também se refletiu no cenário dos criminosos, que enfrentaram maiores dificuldades para cometer crimes tradicionais, pois as pessoas estavam em casa, o que reduziu a vulnerabilidade física.
Adicionalmente, o aumento da utilização dos meios digitais como uma alternativa para evitar contato físico proporcionou mais oportunidades para que algumas pessoas explorassem a conveniência da tecnologia para cometer crimes.
Como resultado, os crimes cibernéticos se tornaram mais prevalentes, especialmente após o início da pandemia de COVID-19.
Segundo um estudo recente divulgado pela Federação Brasileira de Bancos - FEBRABAN, houve um aumento significativo de aproximadamente 70% nas tentativas de cometer crimes pela internet durante o período da pandemia.
De acordo com as informações, os criminosos estão utilizando links falsos de bancos para atrair possíveis vítimas com o objetivo de roubar seus dados.
O Diretor Arthur Sabbat da ANPD destacou que, durante o período pandêmico, os crimes cibernéticos inicialmente direcionavam-se principalmente a instituições privadas e órgãos públicos. No entanto, posteriormente, os criminosos passaram a focalizar indivíduos, ou seja, os titulares dos dados.
Sabbat enfatiza a importância crucial de examinar e avaliar as potenciais vítimas desse tipo de crime, para que estratégias de prevenção possam ser desenvolvidas.
Crimes cibernéticos e legislação
No contexto dos crimes cibernéticos no Brasil, é relevante notar que o termo é relativamente novo, uma vez que até a primeira década do século XXI não havia uma definição específica para os crimes realizados no ambiente digital.
A Lei 12.737/2012 modificou-se a disposição legal que trata da invasão de dispositivo informático, impondo aos infratores uma pena de detenção de 3 (três) meses a 1 (um) ano, além de multa, conforme estabelecido no artigo 154-A do Código Penal.
Após o escândalo envolvendo a atriz e o vazamento de fotos, a inclusão do crime de invasão de dispositivo informático no Código Penal tornou-se evidente. Desde então, o artigo 154-A tem sido amplamente aplicado como forma de punição para diversas outras condutas relacionadas a crimes cibernéticos, como por exemplo, fraudes digitais.
Ao longo dos anos, tem havido uma significativa transformação no panorama dos crimes cibernéticos no Brasil.
Com o crescimento do uso da internet e o avanço tecnológico, houve um aumento substancial tanto na quantidade quanto na sofisticação dos crimes cibernéticos, com os criminosos se tornando cada vez mais especializados.
Isso ocorre porque os perpetradores desse tipo de crime veem como uma forma de delito menos arriscada e mais "limpa" do que o furto e o roubo tradicionais. Eles também percebem que a natureza dos crimes cibernéticos dificulta as investigações pelas autoridades policiais e pelo Ministério Público, uma vez que os criminosos não precisam estar fisicamente presentes no local do crime.
Portanto, fica claro o quanto a Lei Geral de Proteção de Dados era aguardada e necessária quando se trata de crimes cibernéticos.
A importância do adimplemento da Lei Geral de Proteção de Dados no âmbito penal
Com o crescente aumento dos crimes cibernéticos, especialmente após o período da pandemia, a importância da Lei Geral de Proteção de Dados no aspecto criminal torna-se ainda mais evidente. Isso ocorre porque os programas de proteção de dados adotados pelas empresas dificultam o acesso dos criminosos às informações privadas de indivíduos.
No entanto, mesmo sendo crucial a implementação dessa lei, os criminosos cibernéticos encontraram uma forma de se apropriar desses dados armazenados nos bancos de dados das empresas e exigir um resgate financeiro em troca.
A situação evidencia uma certa vulnerabilidade e revela deficiências no sistema de segurança da informação das empresas. Portanto, para corrigir essas falhas, é crucial que as instituições se adaptem de forma eficaz à LGPD, a fim de prevenir potenciais crimes relacionados a dados sensíveis de terceiros ou possíveis multas impostas pela Agência Nacional de Proteção de Dados (ANPD).
Considerando que as penalidades por falta de conformidade das empresas com os programas de proteção de dados são bastante elevadas, podendo atingir até R$ 50.000.000,00 (cinquenta milhões de reais), as empresas acabam cedendo às exigências financeiras dos criminosos.
No contexto brasileiro, a situação é motivo de grande preocupação, destacando assim a importância de se adotar a LGPD de forma séria. Um relatório divulgado em uma matéria do portal UOL revela que o Brasil ocupa o segundo lugar no mundo em incidência de crimes cibernéticos.
Nesse contexto, torna-se ainda mais evidente a necessidade urgente de as empresas se adaptarem aos programas de proteção de dados, priorizando investimentos em sistemas de segurança da informação.
A Responsabilidade Criminal no âmbito da LGPD
Como discutido anteriormente no segmento que trata dos agentes envolvidos no tratamento de dados pessoais, o artigo 42 da LGPD estipula as responsabilidades que podem acarretar em indenizações e sanções administrativas perante a Agência Nacional de Proteção de Dados (ANPD).
No entanto, é conhecido que a responsabilidade criminal é de natureza subjetiva, o que significa que requer que o agente tenha agido com dolo ou culpa, conforme estabelecido no artigo 18 do Código Penal, de forma a estabelecer sua ligação com o nexo causal entre a conduta e a lesão a um bem jurídico protegido.
Conforme as instruções de Paulo César Busato:
O lado subjetivo do ilícito, no entanto, não cuida de uma verificação do que se passa na cabeça do agente, mas sim da afirmação axiológica de uma das garantias derivadas do princípio de culpabilidade, qual seja, a de que a afirmação de todo ilícito penal depende de aspectos objetivos e subjetivos. Não existe responsabilidade penal objetiva, daí a necessidade de demonstração da contribuição do agente com dolo ou imprudência para a produção do resultado.
A responsabilidade penal por omissão é estipulada pelo art. 13, §2°, do Código Penal, exigindo que a omissão tenha relevância penal, ou seja, o agente tinha o dever e a capacidade de agir para impedir o resultado devido ao seu papel como garantidor.
Para determinar a responsabilidade do garante, seu dever surge de uma norma, que pode ser extrapenal, que o obriga a agir para evitar o resultado previsto pela lei, devendo proteger a fonte do perigo.
No contexto presente, é responsabilidade do encarregado de dados, no âmbito de suas funções, garantir a segurança das informações sob sua responsabilidade, implementando medidas técnicas e administrativas para prevenir incidentes de segurança que possam causar riscos ou danos significativos aos titulares dos dados pessoais sob sua custódia.
De acordo com os ensinamentos da professora Heloísa Estellita:
(...) o foco de atenção do garantidor de vigilância é a fonte de perigo sob seu controle. O conteúdo abstrato do dever de agir de ambos é agir para evitar o resultado. Se para o desempenho desse dever têm de desempenhar atividades antecedentes de supervisão, controle ou cuidado, é algo que pode ser circunstancial, ligado a questões fenomênicas.
Assim, o encarregado de dados pode enfrentar responsabilidade penal, pois assumiu o papel de garantidor ao ser responsável por uma fonte de perigo, podendo ser responsabilizado por omissão imprópria, conforme estabelecido no artigo 13, parágrafo 2°, do Código Penal.
A responsabilização penal do controlador de dados também pode ser considerada, caso seja equiparado ao seu superior, conforme previsto no artigo 42 da LGPD, devido à não observância das instruções recebidas ou à realização de instruções de tratamento ilícitas.
Também é evidente que a referida lei não abordou o tratamento de dados no contexto criminal. O seu artigo 4°, inciso III, explicitamente proíbe o tratamento de dados nos casos de: (i) segurança pública, (ii) defesa nacional, (iii) segurança do Estado, (iv) atividades de investigação, e (v) repressão de infrações penais, bem como aquelas provenientes de fora do território nacional.
Atualmente, está em debate o Anteprojeto conhecido como "LGPD Penal", elaborado por uma comissão de 15 juristas designada pelo Presidente da Câmara dos Deputados em 2019. Esta iniciativa visa regulamentar o tratamento de dados relacionados à segurança pública e à persecução penal, alinhada à Diretiva UE 680/2016 do Parlamento Europeu e do Conselho.
No contexto deste trabalho, é relevante destacar o artigo 29 e seguintes do Anteprojeto, que estabelecem a obrigação para o encarregado e o controlador de elaborarem um relatório de impacto à proteção de dados pessoais. Esse relatório deve ser elaborado para o tratamento de dados pessoais sensíveis, sigilosos ou em operações que representem um risco elevado para os direitos, liberdades e garantias dos titulares de dados, e deve ser submetido ao Conselho Nacional de Justiça (CNJ).
Por fim, o artigo 66 do Anteprojeto propõe modificações no Código Penal, introduzindo um novo capítulo que trata da transmissão ilegal de dados pessoais. O texto completo desse novo capítulo é o seguinte:
Capítulo V - Dos crimes contra a proteção de dados pessoais (NR)
Transmissão ilegal de dados pessoais (NR)
Art. 154-C. Transmitir, distribuir, usar de forma compartilhada, transferir, comunicar, difundir dados pessoais ou interconectar bancos de dados pessoais sem autorização legal para obter vantagem indevida ou prejudicar o titular dos dados ou a terceiro a ele relacionados: (NR)
Pena - reclusão, de 1 (um) a 4 (quatro), anos e multa. (NR)
Parágrafo único. Aumenta-se a pena de um a dois terços se: (NR)
I - os dados pessoais forem sensíveis ou sigilosos; (NR)
Il - o crime for praticado por funcionário público em razão do exercício de suas funções. (NR)"
Conclusão
Ao longo deste artigo, foi possível compreender mais profundamente o significado e a importância da Lei n° 13.709/2018, conhecida como Lei Geral de Proteção de Dados, implementada no Brasil após a constatação da relevância de legislações similares em outros países, especialmente na Europa.
Além disso, é importante destacar que a implementação da Lei Geral de Proteção de Dados no Brasil ocorreu com algum atraso, considerando a significativa incidência de crimes cibernéticos no país e seu aumento expressivo durante a pandemia de COVID-19.
Além disso, no contexto dos crimes cibernéticos em si, observa-se que sua ocorrência está se tornando mais comum e diversificada, apresentando abordagens cada vez mais inovadoras, o que dificulta escapar das estratégias dos infratores.
Apesar disso, a implementação da Lei Geral de Proteção de Dados no Brasil foi crucial para estabelecer a nomeação e responsabilização de encarregados designados para supervisionar o tratamento de dados pessoais (agentes de tratamento), além de instituir uma entidade reguladora para evitar quaisquer violações da lei (Agência Nacional de Proteção de Dados).
Além disso, apesar do grande valor da Lei implementada no combate aos crimes cibernéticos, ainda há muitos desafios relacionados à sua aplicação. Um desses desafios é a abordagem punitiva adotada pela ANPD em relação às empresas que ainda não estão em conformidade com os programas de proteção de dados, o que acaba criando uma nova oportunidade para a prática de crimes cibernéticos. Isso ocorre quando os criminosos se aproveitam dos dados pessoais armazenados nos bancos de dados de empresas que ainda não implementaram efetivamente programas de proteção de dados e exigem resgate posteriormente.
Portanto, é crucial que as empresas se adaptem de maneira eficaz aos programas de proteção de dados conforme estabelecido pela LGPD, considerando que as sanções administrativas e civis já estão em vigor, enquanto as sanções penais estão em debate na LGPD Penal. Além disso, diante da possibilidade de responsabilização criminal por omissão dos agentes de tratamento ou até mesmo dos gestores das empresas, é essencial que a ANPD adote uma abordagem mais proativa na fiscalização. É importante ter em mente que, no Brasil, essa questão é relativamente nova em comparação com a União Europeia, e pode levar algum tempo até que todos estejam completamente alinhados às expectativas estabelecidas pelo legislador da Lei mencionada.
Referências
Agência Nacional de Proteção de Dados. ANPD participa de Seminário que discute o combate aos crimes cibernéticos. Disponível em: <https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-participa-de-seminario-que-discute-o-combate-aos-crimesciberneticos#:~:text=De%20acordo%20com%20pesquisa%20da,os%20consumidores%20e%20roubar%20dados>. Acessado em 12.04.2024.
Anteprojeto de Lei LGPD Penal. Disponível em: <https://escola.mpu.mp.br/a-escola/comunicacao/noticias/especialistas-discutem-anteprojeto-da-lgpd-penal/anteprojeto-lgpd-penal.pdf/view> Acesso em 18.05.2024.
ANPD e LGPD: desafios e perspectivas / coordenação Cíntia Rosa Pereira de Lima. -1. ed. --São Paulo: Almedina, 2021.
BITTAR, Alan. Manual de Compliance. 3. ed. Rio de Janeiro: Forense, 2021.
Blog da FIA. Crimes cibernéticos: o que são, tipos, como detectar e se proteger. Disponível em: <https://fia.com.br/blog/crimes-ciberneticos/> Acessado em 10.03.2024. Disponível em: <https://www.nucleodoconhecimento.com.br/lei/crimes-ciberneticos#2-CRIME-CIBERNETICO> Acessado em 10.03.2024.
Brasil é o segundo país no mundo com maior número de crimes cibernéticos. Disponível em: <https://www.uol.com.br/tilt/noticias/redacao/2018/02/15/brasil-e-o-segundo-pais-no-mundo-com-maior-numero-de-crimes-ciberneticos.htm> Acessado em 25.02.2024.
BUSATO, Paulo C. Direito Penal - Parte Geral - Vol. 1. São Paulo: Grupo GEN, 2020.
Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados. Disponível em: <https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=CELEX:32016L0680> Acessado em 18.02.2024.
ESTELLITA, Heloísa. Responsabilidade penal de dirigentes de empresas por omissão. Estudo sobre a responsabilidade omissiva imprópria de dirigentes de sociedades anônimas, limitadas e encarregadas de cumprimento por crimes praticados por membros de empresa, São Paulo: Marcial Pontes, 2017.
FILHO, Demócrito Reinaldo. A Diretiva Europeia sobre proteção de dados pessoais: Uma análise de seus aspectos gerais. Revista Jus Navigandi, ISSN 1518-4862, Teresina, ano 18, n. 3507, 6 fev. 2013. Disponível em: <https://jus.com.br/artigos/23669/a-diretiva-europeia-sobre-protecao-de-dados-pessoais>. Acessado em: 15.03.2024.
JAHANKHANI, Hamid, AI-NEMRAT, A., HOSSEINIAN-Far, Amin. (2014). Cyber crime Classification and Characteristics. 10.1016/B978-0-12-800743-3.00012-8. Disponível em: <https://www.researchgate.net/publication/280488873 Cyber crime Classification a nd Characteristics> Acessado em 10.04.2024.
LIMA, Cíntia Rosa Pereira D. Comentários à Lei Geral de Proteção de Dados. São Paulo: Grupo Almedina (Portugal), 2020.
LUX, Laura Mayer. Elementos criminológicos para el análisis jurídico-penal de los delitos informáticos. lus et Praxis, Talca, v. 24, n. 1, p. 159-206, June 2018.
Ministério da Justiça. Emenda Constitucional 115/2022. Disponível em <http://www.planalto.gov.br/ccivil_03/constituicao/Emendas/Emc/emc115.htm#:~:text=EMENDA%20CONSTITUCIONAL%20N%C2%BA%20115%2C%20DE,e%20tratamento%20de%20dados%20pessoais>. Acessado em 06.03.2024.
Ministério da Justiça. Lei 13.853/2019. Disponível http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art2>Acessado em 31.02.2024.
Ministério Público Federal. MP em Combate aos Crimes Cibernéticos. Disponível em: <https://www.cnmp.mp.br/portal/images/Palestras/Atua%C3%A7%C3%A30_do_MPno combate aos crimes cibern%C3%A9ticosINFANCIA E JUVENTUDE.pdf> Acessado em 10.04.2024.
PINHEIRO, Patrícia P. PROTEÇÃO DE DADOS PESSOAIS: COMENTÁRIOS À LEI N. 13.709/2018 (LGPD). São Paulo: Saraiva, 2021.
PINTO, Douglas G. A proteção de dados alçada a direito fundamental na Constituição brasileira. Disponível em: <https://www.conjur.com.br/2022-fev-17/douglas-pinto-protecao-dados-alcada-direito-fundamental#:~:text=Em%20sess%C3%A30%20solene%20realizada%20no,artigo%205%C2%BA%20da%20Constitui%C3%A7%C3%A30%20Federal.> Acessado em 06.03.2024.
RESPO, Marcelo Xavier de Freitas. O cibercrime. São Paulo: Saraiva, 2011.
SCHAUM, Guilherme. Uma lista com 24 crimes virtuais. JusBrasil, 2019. Disponível em: <https://guilhermebsschaun.jusbrasil.com.br/artigos/686948017/uma-lista-com-24-crimes-virtuais > Acessado em 16.02.2024.
SANTOS, Juarez Cirino dos. Direito penal. Parte Geral. 3. ed. Curitiba-Rio de Janeiro: ICPC-Lumen Juris, 2008.
TV Senado. Proteção de Dados Pessoais agora é um direito fundamental. Disponível em: <https://www.gov.br/anpd/pt-br/protecao-de-dados-pessoais-agora-e-um-direito-fundamental> Acessado em 06.03.2024.
VIANNA, Túlio Lima. Fundamentos de direito penal informático. Rio de Janeiro: Forense, 2003.
