Carregando

Notícias

< voltar

A resolução de segurança cibernética e a LGPD no direito marítimo

08/01/2021 16:39:3975 visualizações

A resolução de segurança cibernética e a LGPD no direito marítimo

Reportagem produzida pelo Estadão

O ano de 2020, sem dúvida, foi marcado pela pandemia em face da COVID-19, mas também registrou diversos ataques cibernéticos, ameaças que alteraram a realidade global.  Inclusive o trabalho remoto foi apontado como possível fator de aumento do prejuízo de um vazamento de dados e dos tempos de resposta a incidentes (IBM Security, 2020).

A boa notícia é que a partir de janeiro de 2021, a proteção de dados ganha mais um forte aliado no âmbito marítimo, as medidas afeitas à segurança cibernética se tornaram obrigatórias, nos Sistemas de Gerenciamento de Segurança das embarcações.

De acordo com o Relatório sobre o prejuízo de um vazamento de dados, da IBM Security, em 2020 o prejuízo foi estimado em US$ 3,86 milhões. Ainda, 80% das organizações afetadas declararam que as informações de identificação pessoal do cliente foram comprometidas.

Na indústria marítima, o cenário não foi diferente. Em 02 de outubro, a Organização Marítima Internacional (IMO) sofreu um ataque cibernético contra os sistemas de TI da organização. Companhias de navegação como a CMA CGM GROUP, MSC, a COSCO Shipping e a Maersk, já reportaram ataques cibernéticos. A ameaça de ataques cibernéticos no transporte marítimo é inclusive um dos sete tópicos do Cybersecurity Trends 2020 da TÜV Rheinland.

Os riscos dos ataques cibernéticos envolvem além de elevado prejuízo financeiro, ameaças à segurança, meio ambiente e pessoas a bordo. Considerando que um ataque pode alterar a rota de navegação, atingir equipamentos, causar acidentes marítimos e violar dados de pessoas.

Não à toa, a Organização Marítima Internacional (IMO) publicou a Resolução MSC.428 (98), em 2017, que trata da gestão de riscos cibernéticos em Sistema de Gestão de Segurança, com medidas obrigatórias a partir de 1º de janeiro de 2021, que serão comprovadas nos relatórios de conformidade.

A segurança cibernética está diretamente relacionada à proteção de dados, que ganha especial relevância com a Lei Geral de Proteção de Dados Pessoais (LGPD), no 13.709/2018. Nesta senda, caso não sejam adotadas as medidas obrigatórias de segurança cibernética, no âmbito marítimo, haverá o tratamento de dados irregular, por não ter sido observada a legislação nem ter sido fornecida a segurança necessária, gerando responsabilidade civil específica pela violação do dever de proteção de dados.

No que concerne à segurança no âmbito marítimo, destaca-se o Código Internacional da Gestão da Segurança (ISM) e o Código Internacional para a Proteção de Navios e Instalações Portuárias (ISPS), ambos obrigatórios de acordo com as disposições da Convenção Internacional para a Salvaguarda da Vida Humana no Mar (SOLAS).

De acordo com Código ISPS, o navio é obrigado a realizar uma avaliação de proteção, que deve abordar sistemas de rádio e telecomunicações, incluindo redes de computadores. Portanto, o plano de segurança do navio, documento que deve ser mantido a bordo, deve abarcar medidas adequadas para proteger o equipamento e a conexão. Além de o navio dever portar o Certificado Internacional de Proteção de Navio, com validade de até 5 anos.

Por sua vez, o Código ISM estabelece um Sistema de Gerenciamento de Segurança documentado, que inclui certificações, verificações iniciais e periódicas anuais, Documento de Conformidade, o qual atestará o atendimento às exigências do Código entre outros.

Assim, a partir de 1º de janeiro de 2021, referidas verificações devem incluir as medidas de segurança cibernética, conforme estabelece a Resolução MSC 428 (98), Código ISM.

De acordo com as diretrizes para navios da IMO (Guidelines on maritime cyber risk management), o gerenciamento de riscos cibernéticos deverá conter medidas eficientes para prevenção e controle, incluindo medidas técnicas e procedimentais para proteção contra um incidente cibernético e garantir continuidade das operações, além de medidas para resposta a incidentes, incluindo planos de contingência.

Como a segurança cibernética está diretamente relacionada à proteção de dados, importante destacar que, de acordo com a LGPD, respondem pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança, der causa ao dano.

No cenário marítimo, não pairam dúvidas de que essas medidas incluem as normas de segurança, com destaque aos Códigos ISM e ISPS. A não adoção dessas medidas obrigatórias poderá ensejar a responsabilidade civil objetiva em decorrência do descumprimento do dever de proteção de dados.

Ressalta-se ainda que não haverá responsabilidade quando os dados forem repassados por exigência legal, que dispensam o consentimento da parte, como exemplo, para atendimento do Código ISM. É possível citar, por exemplo, a obrigação constante na NORMAM 01/DPC, com repasse da lista de tripulação à Autoridade Marítima, entre os documentos necessários para a obtenção das certificações de segurança.

Portanto, a segurança cibernética, como forma de preconizar a proteção de dados, está coberta pelo Código ISM a partir de 1º de janeiro de 2021, devendo ser parte integrante do sistema de gestão da segurança das embarcações.

*Ingrid Zanella é sócia titular do escritório Queiroz Cavalcanti Advocacia, doutora em Direito Marítimo e Ambiental, professora da Universidade Federal de Pernambuco e vice-presidente da OAB-PE