Multa bilionária aplicada por vazamento de dados
4 milhões de pessoas tiveram seus dados vazados recentemente
Artigo de Josmar Lenine Giovannini Junior em conjunto com o Dr. Daniel Callejon Barani*
A Justiça Federal de São Paulo determinou que cerca de 4 milhões de pessoas que tiveram seus dados vazados em 2022 sejam indenizadas individualmente em R$ 15.000,00 cada, estipulando, ainda, multas e outras obrigações aos envolvidos no vazamento de dados pessoais. Durante a 60ª edição do Equipotel, evento que é a referência nacional para a geração de negócios e apresentação de soluções inovadoras para o mercado de hospitalidade, diversas reportagens veiculadas informaram sobre o resultado do julgamento referente a um caso acontecido em 2022, quando dados pessoais de titulares que recebiam o benefício do Auxílio Brasil foram vazados, supostamente provenientes dos bancos de dados mantidos pela Caixa, União e Dataprev, as vésperas da última eleição, quando o Auxílio Brasil passou a permitir a contratação de crédito consignado. De acordo com o Ministério Público Federal, dados pessoais foram divulgados ilegalmente a correspondentes bancários, que usaram as informações para oferecerem empréstimos e outros produtos financeiros aos beneficiários vítimas dos vazamentos apontados.
Segundo reportagem publicada pelo portal “The Brazilian Report” à época, “as informações incluem o endereço completo das pessoas, números de telefone (fixo e celular), data de nascimento, quanto elas recebem em benefícios por mês, e números do NIS e CadSUS – respectivamente, os registros dos cidadãos na Caixa Econômica Federal e no Sistema Único de Saúde”, e completa afirmando que “quem possui acesso a eles (dados) são o Ministério da Cidadania, a Caixa Econômica Federal, que administra o programa, e o DataPrev, que gerencia o banco de dados social do país. Todos negaram qualquer violação de dados ou vazamento malicioso”
Tal vazamento motivou o Instituto Brasileiro de Defesa da Proteção de Dados Pessoais, Compliance e Segurança da Informação sigilo a ingressar com uma ação civil pública contra a Dataprev S.A – empresa de tecnologia da previdência social -. (REU) , União Federal e Caixa Econômica Federal, dentre outros órgãos, requerendo a condenações destes em diversas obrigações de fazer e ao pagamento de indenização por danos materiais e morais, com base na LGPD – Lei Geral de Proteção de Dados, no Marco Civil da Internet e no Código de Defesa do Consumidor.
A sentença proferida pelo Juiz Federal Marco Aurelio de Mello Castriann, em sua fundamentação, ressaltou aspectos importantes da Lei Geral de Proteção de Dados, no Marco Civil da Internet e do Código de Defesa do Consumidor, sendo eles: (i) a proteção dos direitos fundamentais de liberdade e privacidade; (ii) a proteção à privacidade; (iii) a proteção aos dados pessoais; (iv) a inviolabilidade da intimidade, da honra e da imagem e, (v) a obrigação da reparação de danos materiais ou morais que forem causados pelo controlador ou operador de dados, julgando a ação parcialmente procedente.
Como consequência direta do reconhecimento de falha por parte das empresas em não proteger os dados pessoais de forma efetiva, determinou a sentença a realização de diversas obrigações às empresas envolvidas:
- a) Fornecimento de registros de conexão ou de registros de acesso por meio dos quais os dados pessoais foram vazados;
- b) Obrigação de fazer, no sentido de disponibilizar a todos os titulares de dados vazados o livre acesso aos registros existentes quanto aos seus dados;
- c) Obrigação de fazer para desenvolverem mecanismos de segurança e de controle preventivo, que impeçam o vazamento de dados;
- d) Obrigação de fazer, no sentido de comunicarem a todos os titulares dos dados que foram vazados acerca do incidente de segurança;
- e) Obrigação de fazer, na elaboração de relatórios independentes de impacto à proteção de dados pessoais;
- f) Revisão do sistema de segurança de armazenamento de dados e suas matrizes de risco, como forma de se evitarem novos e futuros vazamentos;
E, ao final, ainda condenou as empresas ao pagamento de indenização por danos morais em favor de cada um dos titulares no valor de R$ 15.000,00 e o valor de R$ 40.000.000,00 a título de danos morais coletivos.
Observação: dados retirados da própria sentença proferida, a qual pode ser acessada no link: https://www.mpf.mp.br/sp/sala-de-imprensa/docs/sentenca-vazamento-de-dados.
Mas sanções não podem ser aplicadas somente pela Autoridade Nacional de Proteção de Dados (ANPD)? Não. Como visto acima, além da ANPD, o poder judiciário também pode tutelar essas questões, condenando a empresa causadora do dano à diversas obrigações, inclusive a obrigação de indenizar.
A ANPD pode sim instaurar procedimento administrativo para aplicações de sanções já previstas na Lei Geral de Proteção de Dados Pessoais (LGPD), porém, tal fato não exclui que a questão possa ser levada diretamente ao judiciário pela parte diretamente afetada ou pelo Ministério Público.
Ou seja, tanto o Poder Judiciário como a ANPD possuem competência para a aplicação de sanções decorrentes de vazamentos de dados, trazendo consequências prejudiciais a qualquer estabelecimento, sejam elas de ordem financeira ou reputacional.
Cuidado dos Hotéis
Os hotéis tratam de um volume expressivo de dados pessoais dos seus hóspedes. Mas, o cuidado a ser tomado com o tratamento de dados pessoais se resume apenas aos dados dos hóspedes? Não, é claro. Adicionalmente aos dados deles, os hotéis tratam também dados dos seus colaboradores, prestadores de serviços, fornecedores, acompanhantes, visitantes e passantes, em diferentes ocasiões e para diferentes finalidades. O fato é que esse tratamento inclui dados pessoais de diferentes categorias, incluindo algumas que requerem maior atenção para o tratamento, como é o caso dos dados pessoais sensíveis e dos dados pessoais de crianças e adolescentes.
Tais dados e informações possuem um alto valor, não só para o hotel, mas para diversas outras empresas, atividades e finalidades lícitas ou ilícitas. Assim, os hotéis devem se proteger de forma adequada, evitando que tais dados e informações sejam perdidos, ou seja, sejam transferidos para fora dos limites dos hotéis sem a devida autorização ou, quando autorizados, que o seu parceiro de negócios também tenha esse cuidado de proteger os dados recebidos, uma vez que o hotel pode ser responsabilizado pelo vazamento de dados ocorridos por terceiros. Além disso, os hotéis devem se precaver, mediante ao uso de infraestruturas robustas de TI a fim evitar a perda ou o roubo de dados pessoais fruto da ocorrência de episódios de violação de segurança, internos ou externos aos hotéis, com alvo nas informações pessoais dos titulares, os quais serão usados para os mais diversos fins.
Os hotéis precisam entender também que, além de possuírem infraestruturas adequadas para a proteção dos dados pessoais que tratam, deverão também investir na prevenção contra a ocorrência de episódios de violação de segurança, que seja adequada de acordo com as suas necessidades e com os seus modelos de negócio. E, tudo isso, a fim de estarem adequados com os requisitos legais da Lei.
Com metodologia e processos adequados, isso é possível. O monitoramento do tratamento de dados pessoais e a gestão da conformidade legal são essenciais a fim de que um hotel possa estar adequado continuamente à Lei, de forma completa e correta, evitando maiores preocupações administrativas e/ou financeiras.
* Artigo escrito por Josmar Lenine Giovannini Junior em conjunto com o Dr. Daniel Callejon Barani, Especialista em Direito Digital
Aviso Legal: Este texto sobre a LGPD é fornecido apenas para fins informativos e não deve ser considerado como aconselhamento jurídico ou orientação profissional. As informações aqui contidas não se destinam a ser uma interpretação abrangente ou exaustiva da LGPD. A aplicação da LGPD pode variar dependendo de circunstâncias individuais, e os leitores são encorajados a buscar aconselhamento profissional especializado para entender como a lei se aplica em seus casos específicos. Os autores e o editor deste texto não se responsabilizam por quaisquer danos ou perdas decorrentes do uso das informações aqui contidas.
