Este artigo realiza uma análise exclusivamente jurídica sobre a segurança da informação e os aspectos processuais da proteção de dados pessoais nos processos judiciais.
O recente ataque cibernético ocorrido em alguns órgãos públicos (como o Ministério da Saúde, o Governo do Distrito Federal e o Tribunal de Justiça do Estado de Pernambuco), especialmente no dia 03/11/2020 sobre o Superior Tribunal de Justiça, chamou novamente a atenção para um fato que já é objeto de preocupação no Judiciário (e que se ampliou com a informatização dos processos), que é a segurança da informação.
Recorda-se, por exemplo, que em 24 de janeiro de 2012 e em 19 de julho de 2016 ocorreram ataques de tráfego excessivo (DDoS - Distributed denial-of-service) aos Tribunais de Justiça dos Estados de São Paulo e do Rio de Janeiro (respectivamente), o que deixou os seus sites fora de operação. Ataque similar foi praticado contra os sites da Justiça Federal do Sergipe e do Tribunal de Justiça do Estado do Sergipe no dia 02 de maio de 2016.
A segurança da informação possui três fundamentos, que são as garantias de confiabilidade, de integridade e de disponibilidade da informação. O conjunto deles (e o seu cumprimento) compõe a base das atividades desempenhadas nessa área, a partir da governança da tecnologia da informação, da implantação de uma política de segurança da informação, de boas práticas e da criação de uma cultura organizacional (ou seja, a conscientização de todas as pessoas envolvidas na proteção de dados, das informações e de sua utilização).
A confidencialidade é o fundamento que faz com que a informação não seja revelada sem autorização prévia, ou seja, a informação só pode ser disponibilizada a pessoas e a ferramentas autorizadas. Logo, busca a proteção da privacidade dos titulares dos dados e a manutenção das informações extraídas deles como de acesso privativo a determinadas pessoas, que devem respeitar o seu caráter confidencial. Dessa forma, a confidencialidade leva ao impedimento do acesso a determinadas informações (consideradas sigilosas ou críticas) por quem não tiver autorização.
A integridade é o fundamento que assegura a manutenção da informação, o que leva à proibição de sua modificação, destruição ou perda (entre outras ações ou omissões), de forma não autorizada e, ao mesmo tempo, busca evitar a ocorrência de intervenções acidentais sobre as informações. Assim, a integridade busca impedir que os dados possam ser manipulados de uma forma não permitida.
Por sua vez, a disponibilidade é o fundamento que permite o acesso e o uso constante dos dados, informações e dos locais em que estiverem inseridos (banco de dados, sistemas, recursos do sistema, redes etc.), quando for necessário e pelas pessoas autorizadas. Em outras palavras, a disponibilidade assegura o acesso de forma íntegra e integral, sempre que necessário, para as pessoas previamente autorizadas.
No Judiciário brasileiro, por exemplo, a Política de Segurança da Informação do Conselho Nacional de Justiça é regulamentada pela Portaria nº 47/2017, que trata, basicamente, de seus princípios e objetivos, de aspectos da gestão da segurança da informação (riscos, acesso e uso, controle de ativos, de incidentes e da continuidade de serviços essenciais), dos procedimentos, da implantação de programas de conscientização e capacitação dos usuários e do fomento da cultura organizacional de segurança da informação.
O ataque cibernético ao Superior Tribunal de Justiça afetou (em princípio) a integridade e a disponibilidade, porque ocorreu uma manipulação não permitida dos dados e informações por pessoas não autorizadas, e porque desde o dia 03 de novembro de 2020 (e, em 09/11/2020, data de publicação deste texto, o problema ainda não havia sido totalmente solucionado), houve a interrupção de acesso ao site e a outros sistemas da Corte, por usuários internos e externos. Considerando que os comunicados oficiais do STJ informaram a existência do bloqueio interno de acesso a dados e sistemas por meio do uso da criptografia (e que não houve a divulgação desses dados), ainda não é possível apurar eventual afetação do fundamento da confidencialidade e a extensão dos atos praticados e dos danos causados aos outros dois fundamentos.
Isso leva à segunda parte deste texto, sobre os aspectos processuais da proteção de dados pessoais nos processos judiciais.
A primeira medida judiciária adotada foi a instalação de um regime de plantão extraordinário no Superior Tribunal de Justiça a partir do dia 03/11/2020 (e, em princípio, até o dia 09/11/2020, inclusive), o que levou à suspensão da realização de sessões de julgamento e à suspensão dos prazos processuais (cíveis e criminais).
A Resolução nº 25/2020 do STJ também definiu as medidas processuais que poderiam ser objeto de encaminhamento de pedidos de urgência à Presidência da Corte durante esse período, reportando-se à Instrução Normativa nº 6/2012 do STJ.
Além da suspensão de prazos processuais e dos julgamentos (causada pela falha na disponibilidade), há outra consequência relevante que é a paralisação total da prática de atos processuais (interna e externamente), em virtude da impossibilidade de acesso aos processos.
Também poderão ocorrer violações ao princípio da publicidade processual (em decorrência de falhas na confidencialidade), tanto pela divulgação de dados existentes em processos sigilosos, quanto pela coleta indevida e a prática de outros atos de tratamento de dados pessoais existentes em processos públicos.
A publicidade processual, que é a regra a ser observada nos processos judiciais e administrativos (art. 93, IX e X, da Constituição, arts. 11 e 189 do CPC), é limitada pela proteção da intimidade e do interesse social (art. 5º, LX, da Constituição).
Por isso, a Constituição restringe apenas a publicidade externa ou extraprocessual, ou seja, admite o sigilo extraprocessual, por uma razão: para preservar o direito à intimidade do interessado, quando isto não prejudicar o interesse público à informação. Em outras palavras, é permitido o sigilo extraprocessual (externo), mas não o endoprocessual (interno): as partes têm o direito fundamental de acesso e conhecimento a todos os atos do processo, sem exceção.
Contudo, a aplicação da publicidade interna e externa sobre um processo não leva à conclusão de que qualquer pessoa (com interesse jurídico nele ou não) possa ter acesso ilimitado aos dados pessoais existentes nos atos praticados.
A Lei Geral de Proteção de Dados, ao incidir sobre os processos judiciais, cria uma terceira forma de segredo de justiça, consistente no sigilo parcial do ato processual, ou seja, ainda que um determinado ato seja público (por exemplo, a sessão de julgamento), ou que não exista a decretação de segredo de justiça total ou parcial, os dados pessoais sensíveis das partes (e outros que vierem a ser definidos em ato do CNJ ou do próprio tribunal) não podem ser divulgados.
Os dados pessoais existentes em processos públicos devem ser tratados de acordo com a finalidade do processo, de forma adequada e conforme a necessidade em seu tratamento. Por isso, não podem ser coletados e tratados livremente, mas deve existir uma base legal, o cumprimento de uma finalidade específica, de acordo com a necessidade e observada a forma adequada de tratamento para atingir o seu fim.
Outro reflexo que poderá vir a ocorrer (por eventuais falhas na integridade) será a restauração de autos de processos que eventualmente forem afetados e excluídos do sistema processual eletrônico do Superior Tribunal de Justiça (e, ainda, caso não tenha ocorrido o backup ou não seja possível a sua recuperação adequada).
O Código de Processo Civil regula entre os procedimentos especiais a restauração de autos (arts. 712/718), que pode ser utilizada nos processos físicos e eletrônicos, quando ocorrer o seu extravio ou desaparecimento (independentemente da causa e de quem for o responsável por esse fato). Para esse fim, é preciso dar início a novos autos, com a descrição do processo (e de sua situação) no momento do desaparecimento, instruído com petições, certidões e outros atos documentados que possam ser utilizados na restauração (art. 713 do CPC).
A competência para o procedimento de restauração de autos em tribunal é, em regra, do relator do processo extraviado (art. 717 do CPC).
Após a prática dos atos necessários e do julgamento do pedido de restauração, retorna-se ao curso original do processo restaurado (art. 716 do CPC). Caso ocorra a recuperação dos autos originais durante a tramitação do procedimento de restauração, retorna-se à prática de atos naqueles, com a manutenção deste em apenso (parágrafo único do art. 716 do CPC).
A ocorrência de perda de autos eletrônicos em tribunal superior afeta, em princípio, os atos praticados a partir de sua distribuição à Corte. Logo, os autos (físicos ou digitais) permanecem íntegros no sistema ou na forma de sua tramitação na primeira instância e no tribunal de origem.
Assim, eventual utilização do procedimento de restauração de autos eletrônicos deverá ser restrita à tramitação processual (recurso ou processo de competência originária) no STJ.
Por isso, é importante que, mesmo em processo eletrônico, os advogados das partes mantenham um cópia de segurança integral dos autos, com o armazenamento dos arquivos de todos os atos processuais, a fim de permitir a sua rápida restauração e o retorno à sua tramitação regular.
Como visto, os incidentes ocorridos sobre os fundamentos da segurança da informação podem afetar os processos judiciais, o que se ampliou com a crescente informatização de processos e de sistemas judiciais (e, consequentemente, a sua maior exposição e vulnerabilidade no ambiente virtual), razão pela qual esse tema já é objeto de atenção específica de políticas internas do Judiciário, o que nem sempre será suficiente para evitar a ocorrência de atos ilícitos e de vazamentos (a ser objeto de procedimentos de resposta a incidentes, que serão analisados em um texto futuro).
Artigo também publicado no Jusbrasil (clique aqui) e no Jus Navigandi (clique aqui).