Flora Sartorelli Venâncio de Souza
Mestre em Direito Penal e Criminologia pela Universidade do Estado do Rio de Janeiro (UERJ), com estágio de pesquisa no Instituto Max Planck (Freiburg/Alemanha). Membro do departamento de Novas Tecnologias e Justiça Criminal do IBCCRIM. Advogada. CIPM. CDPO/BR
Caio Henrique de Moraes Cintra
Advogado, especialista em Direito Digital e Proteção de Dados pela Escola Brasileira de Direito. Coautor do Livro LGPD x Campanha Eleitoral: Perspectivas e Desafios
Em abril de 2023, fotos do procedimento de autópsia da Marília Mendonça, vítima de um acidente aéreo em novembro de 2021, foram expostas indevidamente e amplamente compartilhadas nas redes sociais. De forma não surpreendente, o fato revoltou familiares e fãs da cantora.
A Polícia Civil de Minas Gerais – responsável pela condução das investigações do acidente que vitimou Marília – abriu procedimento para investigação interna, por meio de sua Corregedoria-Geral, buscando apurar a origem do vazamento e responsabilizar os eventuais envolvidos. Verificou-se, até o momento, que os responsáveis foram dois servidores que tinham acesso à plataforma utilizada para processar inquéritos policiais, um da Polícia Civil e outra do Instituto Médico Legal.
O acontecimento suscitou debates sobre a segurança e confidencialidade de dados armazenados por órgãos policiais, para além de questões de ética policial, proteção a direitos da personalidade e do direito constitucional à privacidade e proteção de dados.
A exposição indevida de informações, seja de forma dolosa ou culposa, partindo de dentro ou de fora de organização, tem sido uma preocupação cada vez mais comum de entidades públicas e privadas. Um levantamento recente colocou o Brasil na segunda posição entre os países mais atingidos por ataques ransonware[1]. Ao mesmo tempo, vazamento de informações de forma dolosa por pessoas internas de uma organização, como no caso da cantora Marília Mendonça, também é objeto de preocupação.
No caso de órgãos policiais, o risco é alto. Seja por conta do volume e diversidade de informações tratadas, seja por conta de sua criticidade, incluindo potencial discriminatório e/ou vexatório. O tratamento de dados, pessoais ou não, sempre foi um grande desafio ao poder público.
Muito se discute sobre como proteger dados, incluindo os pessoais e os confidenciais. Do ponto de vista de segurança cibernética, já há normas setoriais voltadas a regular o tema em âmbito privado. Mas a tendência é de expansão para todos os setores, incluindo públicos como os órgãos de polícia. Hoje a criação de uma lei nacional de segurança cibernética vem sendo debatida, na esteira da Política Nacional de Segurança da Informação, publicada por meio de decreto em 2018[2]. Entre os objetivos, está justamente o de evitar a exposição indevida de informações.
Além disso, sob o ponto de vista de dados pessoais, a referência legislativa do tema é a Lei Geral de Proteção de Dados Pessoais (Lei Federal nº 13.709/18). Contudo, ela não se aplica a atividades de tratamento que tenham como finalidade a segurança pública e a persecução penal, que deverá ser objeto de lei específica. Da mesma forma como ocorrido com os demais setores, a partir do momento em que essa regulação existir, os órgãos de polícia serão obrigados a adotar medidas de prevenção e segurança das informações que tramitam em suas dependências.
Pensando especificamente em casos como o da Marília Mendonça, a legislação de proteção de dados pode não ser diretamente útil. Isso porque no último 17 de março, a Coordenação-Geral de Fiscalização – CGF da Autoridade Nacional de Proteção de Dados (ANPD) se posicionou pela não incidência da Lei Geral de Proteção de Dados Pessoais – LGPD no caso de tratamento de dados de pessoas falecidas. Ou seja, essa lei tampouco se aplicaria para o vazamento das fotos da cantora. Contudo, não se pode negar que uma futura LGPD Penal poderá obrigar os órgãos policiais a adotarem medidas mais rígidas de proteção a informações, pessoais ou não.
De todo modo, para além do debate regulatório, em termos práticos, medidas de segurança da informação já podem e devem ser adotadas por órgãos policiais para que não se renuncie à confidencialidade, disponibilidade e integridade das informações sob sua custódia. Infelizmente, sabe-se que por conta de limitações orçamentárias ou de conhecimento técnico, isso muitas vezes é deixado de lado.
No entanto, o investimento em conscientização e treinamento técnico para todo o efetivo deve figurar entre as prioridades dos órgãos policiais. É importante que os servidores saibam da natureza das informações que lidam e adotem medidas para evitar exposição indevida.
Além disso, o uso de dispositivos particulares para armazenamento ou tráfego de informações relacionadas ao trabalho devem ser evitados pois não contam com os mesmos controles e ferramentas de segurança disponibilizados em dispositivos corporativos. Outro ponto que merece atenção do servidor é a utilização de senhas fortes e que sejam mantidas em sigilo. Ainda, para evitar vazamentos intencionais de informações, recomenda-se a utilização de ferramentas de Data Loss Prevention para maior controle das informações compartilhadas para fora dos sistemas da polícia.
[1] https://canaltech.com.br/seguranca/brasil-foi-o-segundo-pais-mais-atingido-por-ransomware-em-2022-248304/
[2] http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/decreto/D9637.htm