Arquivos lgpd - Revista Algomais - a revista de Pernambuco

lgpd

Vazamento de dados gera direito a indenização por danos morais?

Desde a entrada em vigor da lei 13.709/2018, a Lei Geral de Proteção de Dados (LGPD), em setembro do ano passado, a discussão sobre a obrigação das empresas de garantir a segurança dos dados aos quais têm acesso se intensificou e ganhou os tribunais. Um questionamento, em especial, tem se destacado. O vazamento de informações gera direito a indenização por danos morais? Ou o titular dos dados precisa comprovar que resultaram danos dessa exposição? As decisões judiciais sobre o tema, que ainda não alcançou as cortes superiores, têm orientações divididas. Enquanto algumas concedem a indenização levando em conta o fato de haver exposição dos dados, outras condicionam o pagamento de danos morais à vinculação entre o vazamento das informações e danos sofrido pelos autores das ações. O vazamento de informações por si só não gera indenização. A disposição está na própria LGPD, que em seu artigo 42 estabelece que “o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo”. O artigo 186 do Código Civil diz que ‘aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano, ainda que exclusivamente moral, comete ilícito’. A LGPD tem exatamente a mesma estrutura. A única coisa de novo é o dano moral coletivo. Decisões opostas Decisões recentes mostram que o entendimento não é pacífico. Em abril deste ano, o juiz Mario Sergio Leite, da 2ª Vara Cível da Comarca de Osasco (SP), decidiu no processo 1025226-41.2020.8.26.0405 negar indenização de R$ 10 mil a uma usuária da Eletropaulo cujos dados ficaram expostos, o que foi reconhecido pela empresa. A autora da ação alegou que a situação “tirou seu sono, causando angústia e sentimento de tristeza”, uma vez que os dados vazados são irrecuperáveis e estão sujeitos a ser negociados para propaganda ou usados para possíveis golpes. No entanto, para o juiz, embora fosse “inequívoco que a ré tem a obrigação de proteger os dados pessoais de seus clientes (...) para o surgimento do dever de indenizar, faz-se necessário aferir se tal vazamento de dados causou efetivamente à parte autora algum dano”. Ainda de acordo com o magistrado, “a parte autora informa genericamente que sofreu abalos psicológicos pelo vazamento de seus dados, não havendo, todavia, demonstração alguma de que, após a invasão, tais dados foram utilizados de forma indevida” e, além disso, também “não demonstrou que eventuais e-mails indesejados e ligações de empresas tenham relação com o vazamento de dados, até porque, muito comum recebê-los sem o referido vazamento”. Por outro lado, em 22 de junho os desembargadores da 26ª Câmara de Direito Privado do TJSP no processo 1003122-23.2020.8.26.0157. O caso envolvia um cliente que efetuou uma compra no site da empresa Sodimac.  Horas depois, foi contatado por um desconhecido via WhatsApp, que o informou que seus dados estavam expostos na página eletrônica da empresa. Em sua defesa, a companhia alegou que adota diversos protocolos de segurança e que “pequenos problemas como esses” são rapidamente resolvidos. Ainda assim, os desembargadores entenderam que “a divulgação de dados pessoais do autor em página eletrônica, acessível por terceiros, ainda que por curto período de tempo, é hábil a ensejar indenização por danos morais” e determinaram o pagamento de R$ 2 mil ao cliente. Dano moral coletivo Em de 23 de fevereiro, em resposta à apelação no processo 0418456-71.2013.8.19.0001, numa ação civil pública proposta pelo Ministério Público do Rio de Janeiro, as empresas Smarty Solutions, BV Financeira, Bracom e Grupo Líder foram condenadas a pagar R$ 500 mil por dano moral coletivo e R$ 1 mil por danos materiais e morais aos consumidores, individualmente considerados, devido a um vazamento de dados que deixou expostos por pelo menos três meses de informações dos clientes da BV Financeira. Segundo os autos, "a Bracom, integrante do Grupo Líder, possuía os dados dos clientes da BV Financeira em função de seu papel mercadológico, já que a prestadora utiliza os serviços da financeira. Por outro lado, delegou a manutenção do banco de dados para a empresa Smarty Solutions". Para os julgadores, houve negligência da BV Financeira: "Não há como deixar de se constatar a culpa in eligendo, pela má escolha do preposto, que inobservou as cláusulas contratuais referentes ao sigilo, como também pela culpa in vigilando, pois o descaso como dever de cuidado sobre as funções delegadas a Smarty, é de tal ordem que a empresa BV só tomou conhecimento do vazamento do seu banco de dados meses depois." Diante deste cenário, a melhor forma das empresas se protegerem é adotar sempre as melhores práticas em segurança da informação. Neste sentido, se a empresa apresenta atuação objetiva seja na mitigação, seja com a preocupação da empresa com a proteção dos dados dos clientes isso será levado em conta pelas autoridades judiciária e administrativa. Sanções administrativas A LGPD é discutida em ações judiciais desde o ano passado, mas somente em 1º de agosto de 2021 passaram a valer as sanções administrativas para empresas que não se enquadrarem nas novas regras. As punições previstas na legislação vão de advertência a multa no valor de até 2% do faturamento da empresa, limitada a R$ 50 milhões. Na esfera administrativa a situação é diferente da esfera judiciária, aplicando-se multa no caso de mero vazamento de dados. A Autoridade Nacional de Proteção de Dados (ANPD), responsável por fiscalizar a aplicação da LGPD, divulgou que nos primeiros meses adotará o que chamou de uma postura responsiva, tentando mostrar quais medidas as empresas devem adotar para remediar o problema e, se o agente não cooperar, vai estabelecer um procedimento administrativo, ou aplicar sanção. Portanto, o segmento empresarial precisa estar pronto para este novo desafio e as incertezas que o rodam apostando em metodologia, transparência, sistema e com ênfase numa analise jurídica preventiva do tema, a fim de mitigar riscos e usar isso como capital da empresa e diferencial num mercado tão competitivo e enfrentando uma enorme

Vazamento de dados gera direito a indenização por danos morais? Read More »

Gustavo Escobar: “Se sua empresa sequer começou a implantar a LGPD, então corra!”

Vivemos, no cotidiano, informando nossos dados pessoais a todo momento: quando entramos num prédio empresarial e nos identificamos, quando fazemos uma compra online, ou quando nos cadastramos numa rede social, só para ficar em alguns exemplos. Com a instituição da Lei Geral de Proteção de Dados (LGPD), que entrou em vigência semanas atrás, as empresas passaram a ter uma série de obrigações para preservar a privacidade dessas informações das pessoas, sejam clientes, fornecedores e até empregados. Muitos empresários, porém, segundo o advogado Gustavo Escobar, ainda não atentaram para a urgência da sua adequação às exigências da nova lei. O que é temerário: entre as penalidades previstas está a multa de até R$ 50 milhões. Nesta entrevista a Cláudia Santos, Escobar, que é especialista em propriedade intelectual e proteção de dados, explica detalhes da LGPD, o que é necessário para se adaptar às suas determinações e alerta que essa adequação já deveria ter sido feita pelas empresas. Você poderia dizer, em linhas gerais, o que estabelece a Lei Geral de Proteção de Dados? A LGPD cria um sistema de proteção e regula o uso dos dados pessoais pelas empresas. Até hoje, o tratamento desses nossos dados não tinha uma proteção mais robusta. Com a vigência da lei, há uma mudança de cultura que coloca as pessoas (titulares dos dados), ou seja, todos nós, no centro da atenção e no controle das nossas informações. A legislação, em síntese, determina que o consentimento para uso dos dados pessoais deve ser a regra e cria todo um sistema legal para fazer valer essa previsão, inclusive com multas pesadas. A lei considera dados pessoais toda informação que identifique ou possa identificar uma pessoa física. Ela se aplica a todos que fazem tratamento de dados de clientes, funcionários, fornecedores etc. Na verdade, na prática, todas as empresas serão impactadas e precisarão se adequar à LGPD. Usando o teor da própria legislação, podemos dizer que a lei tem como fundamentos: “o respeito à privacidade; a autodeterminação informativa; a liberdade de expressão, de informação, de comunicação e de opinião; a inviolabilidade da intimidade, da honra e da imagem; o desenvolvimento econômico e tecnológico e a inovação; a livre iniciativa, a livre concorrência e a defesa do consumidor; os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais”. Por que a lei foi criada? Desde a década de 90, na Europa, existem iniciativas que visam a preservar a privacidade e a proteção aos dados pessoais. À medida que o uso desses dados foi crescendo por parte das empresas, também aumentou a preocupação de todo o mundo civilizado com a necessidade de impor limites e regras. Com o crescimento exponencial do tratamento de dados, a partir do desenvolvimento tecnológico e da velocidade da internet, com o surgimento do chamado big data, redes sociais e depois dos escândalos envolvendo o Facebook e a empresa Cambridge Analytica, que foi acusada de usar massivamente os dados de usuários daquela rede social para manipular a opinião política e influenciar no resultado de eleições, houve praticamente um consenso de que era necessário se fazer algo para impor limites a esse uso indiscriminado de nossos dados pessoais. É nesse cenário que, na Europa, surgiu o RGPD (Regulamento Geral de Proteção de Dados), criando as bases para várias legislações nacionais, inclusive, para a nossa LGPD. É preciso compreender que no cenário de globalização e interconectividade, os dados transitam sem fronteiras entre servidores e computadores que estão localizados em países e mesmo continentes diferentes. Dessa forma, para preservação de tratados internacionais e reciprocidade entre as nações, o Brasil foi induzido a se adequar ao status quo que regula a proteção de dados pessoais. É assim que temos a atual legislação. Os países mais avançados impõem essa regra aos demais, as empresas multinacionais se adequam e passam a pressionar a sua cadeia de fornecedores a se adequar para poderem continuar a fazer negócios e, desta forma, de cima pra baixo, vai surgindo um movimento que passa pela legislação até às cláusulas dos contratos e obrigações de compliance, chegando às pequenas e médias empresas. O que é ANPD (Autoridade Nacional de Proteção de Dados)? A Autoridade Nacional de Proteção de Dados é o órgão criado pela LGPD que, com autonomia técnica, tem várias funções associadas à implementação, cumprimento e eficácia da proteção de dados no Brasil. A ANPD tem funções que vão desde “elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade”, passando por “editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade”, como também “editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei”, até à imposição de pesadas sanções em casos de violações à lei, vazamento de dados, etc. Quais as consequências da LGPD para as pessoas físicas? O que acontece se os dados de alguma pessoa vazar? Na verdade, para as pessoas físicas, desde que não sejam responsáveis por tratamento de dados, a lei não tem consequências, mas sim, proteção. A LGPD protege os dados pessoais das pessoas naturais (pessoas físicas) e regula como e quando esses dados podem ser usados. Dessa forma, havendo vazamentos por parte de empresas que façam tratamento de dados pessoais (atualmente praticamente todas empresas), surge a possibilidade de que os titulares dos dados (pessoas físicas) possam acionar as empresas pedindo uma reparação moral pelo uso ou exposição indevida de seus dados. Assine a Revista Algomais e leia a entrevista completa na edição 174.4

Gustavo Escobar: “Se sua empresa sequer começou a implantar a LGPD, então corra!” Read More »