APS 2018

                     SEQUESTRO DE DADOS E RESPONSABILIDADE CIVIL        

                 A prática de sequestro de dados, denominado Ransomware - aglutinação de ransom (resgate) + software (código/programa), caracteriza-se pelo uso de programas maliciosos criados com o objetivo de infiltrar sistemas sem a percepção do seu titular, através de um código informático que visa a degradação de dados ou roubo de informações, mediante invasão de forma ilícita. Possui por diretriz criptografar ou compactar dados com senhas e, assim, bloquear o acesso aos mesmos, em muitos casos, inutilizando o dispositivo infectado. Posteriormente, é iniciado um mecanismo de exibição de imagens/mensagens informando sobre como realizar o resgate dos dados mediante um pagamento. Estas solicitações são normalmente valoradas em bitcoins, devido ao extremo anonimato sobre as transações realizadas nesse sistema de pagamentos.

                De acordo com a esfera penal, podemos concluir que o ransomware trata-se de um crime de extorsão com pena base em reclusão de quatro a dez anos; porém, o anonimato por intermédio dos resgates exigidos em bitcoins e a difícil rastreabilidade, dificultam o traçamento da rota de origem do código malicioso e a localização do autor do mesmo, fatores que agilizam o pagamento do resgate e, muitas vezes, as autoridades policiais não tomam conhecimento durante o processo.

                Entre as razões apontadas pelo relatório da CISCO (companhia transnacional estadunidense sediada em San José, Califórnia - EUA, líder mundial em TI) para a área educacional ter se tornado alvo preferencial de ciberataques nos últimos anos, estão o baixo nível de maturidade em TI e as próprias caraterísticas do mundo acadêmico. No caso em tela, estamos diante de uma relação privada entre contratada (escola particular) e contratante (alunos, representados por seus responsáveis), caracterizando-se, dessa forma, a responsabilidade objetiva (responsabilidade advinda da prática de um ilícito ou de uma violação ao direito de outrem que, para ser provada e questionada em juízo, independe da aferição de culpa, ou de gradação de envolvimento, do agente causador do dano). O fato ocorrido encontra fundamento na teoria do risco, uma vez que a atividade de coleta, gestão e armazenamento de dados de outrem, por sua própria natureza, é suscetível de gerar riscos para direitos alheios, o chamado "risco interno do negócio", que consistiria, justamente, na perda, adulteração ou divulgação não autorizada desses casos, por parte de quem possui a incumbência de preservá-los. Isso posto, aplica-se o Art. 927, parágrafo único, do Código Civil:

"Art. 927. Aquele que, por ato ilícito (arts. 186 e 187) causar dano a outrem, fica obrigado a repará-lo.

Parágrafo único. Haverá obrigação de reparar o dano, independentemente de culpa, nos casos especificados em lei, ou quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem."

                 Tal respaldo encontra-se estabelecido como um direito constitucional, conforme disposto no Art. 5º, X da Constituição Federal:

“X - são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação.”

                Ao celebrarem contrato, transferiu-se um risco para a escola, de modo que a mesma responderá por esse risco, independentemente de dolo ou culpa. Não é viável a escola alegar que o dano foi fruto de um desígnio autônomo de um funcionário, uma vez que o Código Civil não admite tal espécie de escusa, ou afirmar que adotou toda a diligência possível para evitá-lo, sendo a perda decorrente de caso fortuito ou força maior.

                O Marco Civil da internet determina que qualquer operação de coleta, armazenamento, guarda ou tratamento de dados pessoais ocorrida no território nacional, incluindo atividades de pessoas jurídicas sediadas no exterior, mas que ofertem serviço ao público brasileiro, exige o respeito à legislação brasileira e aos direitos à privacidade e à proteção dos dados pessoais. Adicionalmente, prevê expressamente a aplicação das normas de proteção e defesa do consumidor nas relações de consumo. Desse modo, quando se trata de trata uma relação de consumo, como é o caso da escola particular e seus alunos/representantes, o mero vazamento de dados configura defeito no produto ou serviço contratado, nos termos do Art. 14, parágrafo primeiro do Código de Defesa do Consumidor. Senão vejamos:

...