Por Gabriel Felipe Silva das Neves
Introdução
No contexto atual das relações empresariais em torno da coleta de dados pessoais, é necessário considerar a possível e eventual ocorrência de falha da empresa no tratamento, na segurança da informação e nas boas práticas e governança dos dados – tópicos já aprofundados no artigo “Conceitos base da LGPD: a teia de proteção dos dados pessoais” publicado pela Caputo Advogados – dando-se a ocorrência de um incidente de segurança aos dados pessoais dos titulares, como o vazamento dos dados.
Nesse sentido, é necessário entender que em razão dos titulares dos dados pessoais tratados em uma relação de consumo serem definidos propriamente como consumidores, o dano causado ao titular/consumidor deverá, futuramente, ensejar a responsabilidade civil da empresa para indenizar os danos e prejuízos causados, nos termos da legislação brasileira referente à proteção dos dados e do consumidor, principalmente a Lei Geral de Proteção de Dados Pessoais (LGPD) e o Código de Defesa do Consumidor (CDC).
Dessa forma, esse artigo irá apresentar quais ações poderão ser tomadas pela empresa na eventual ocorrência de falha no tratamento dos dados pessoais armazenados, a fim de reduzir os prejuízos à sociedade e seus sócios.
Ocorrência do incidente de segurança
Como passo inicial, dá-se necessário entender que a Lei Geral de Proteção de Dados Pessoais regula a ocorrência de um incidente de segurança por meio de seu art. 48, caput:
O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
Nesse sentido, um incidente de segurança é como uma situação que permite o acesso aos dados por terceiros não autorizados, principalmente por meio do tratamento inadequado, de vazamentos ou de data breaches, podendo também, por exemplo, sofrer das invasões conhecidas como ataques hackers.
Assim, as medidas técnicas e administrativas de segurança e proteção de dados, boas práticas e governança de dados definidas na LGPD – e aprofundadas no suprarreferido artigo – têm justamente o objetivo de proteger os dados pessoais dos consumidores desses incidentes de segurança, mantendo-os privados nos bancos de dados das empresas.
Porém, caso o incidente ocorra mesmo com a prática das medidas protetivas pela empresa, o controlador ou operador dos dados que esteja responsável pelo tratamento deve estar preparado para reagir ao incidente nos termos da governança instaurada na empresa, comunicando tanto a ocorrência da falha do tratamento como as medidas protetivas que estão sendo tomadas para o titular dos dados e para a Autoridade Nacional de Proteção de Dados (ANPD), conforme será analisado.
Das ações a serem tomadas e das consequências pela ocorrência do incidente de segurança
A possibilidade de o incidente de segurança acarretar risco ou dano relevantes aos titulares, referido do art. 48, caput, da LGPD, é avaliado por meio do disposto no § 3º do mesmo artigo, vejamos:
Art. 48. […]
3º No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los.
Isso significa que a gravidade do incidente (e subsequente penalização da empresa) depende se os dados pessoais estão comprometidos, e qual o nível de comprometimento, sendo avaliado da seguinte forma:
- Caso o dado pessoal seja vazado, mas esteja criptografado de forma que sua leitura fique impossibilitada, o incidente se tornará menos grave;
- Caso o dado possa ser livremente divulgado, analisado ou alterado, se tratará de gravíssimo incidente que compromete a confidencialidade e a integridade dos dados.
Além disso, o art. 48 da LGPD inclui também, além dos conceitos explicados, a obrigação do controlador comunicar ao titular e à autoridade nacional, por meio de notificação referente ao incidente de segurança, informando a natureza dos dados afetados e as medidas de controle para a mitigação dos efeitos do incidente, contanto que tenha a possibilidade de risco ou dano ao consumidor.
Dessa forma, o titular e a ANPD podem promover, junto à empresa, medidas de segurança adicionais a fim de proteger os dados e mitigar os possíveis prejuízos e danos.
Inclusive, a não realização da comunicação ao titular e à autoridade nacional em prazo razoável – no prazo de 2 dias úteis, conforme recomendação da ANPD – também constitui violação à lei; já a realização demonstra transparência e boa-fé a ser considerada na fiscalização a ser realizada pela autoridade em relação ao incidente ocorrido.
Dos danos causados
O art. 42 da LGPD reconhece a possibilidade de ocorrência de dano patrimonial, moral, individual ou coletivo pela violação à proteção de dados pessoais – violação sendo, nesse caso, o incidente de segurança.
Dessa forma, a partir da ocorrência de um incidente de segurança, o comprovado nexo causal entre esse incidente e o aparecimento dos dados dos consumidores na internet, é possível iniciar a qualificação mais adequada sobre o prejuízo e o dano causado, mesmo considerando que atualmente ainda faltem alguns critérios específicos para essa qualificação, devido à jurisprudência e doutrina sobre o tema serem ainda escassas. Contudo, a realização de tal qualificação e delimitação dos danos não é simples; em conceituação simples, o dano é a lesão a um bem juridicamente protegido de um indivíduo, de forma a figurar a responsabilidade civil para que esse dano seja reparado
Assim, e em filtro aos arts. 42 e 48 da LGPD, o tratamento irregular de dados pessoais e consequente ocorrência do incidente fere o titular por meio de diversos danos, tais como, danos patrimoniais (por exemplo, pelo cometimento de fraudes por intermédio do roubo de identidade) e extrapatrimoniais. Além disso, podem causar lesão à dignidade da pessoa (por exemplo, pelo vazamento de dados – podendo ser sensíveis – que causam violação à privacidade e à intimidade e causam medo, receio ou riscos à segurança física do titular), ambas noções construídas a partir de uma perspectiva estritamente individual do indivíduo prejudicado.
Assim, após o vazamento dos dados pessoais que causem danos ao titular, a empresa e os agentes de tratamento deverão ser sancionadas administrativamente e responsabilizados civilmente, mitigando os efeitos e reparando as consequências do incidente, por meio de avaliações às particularidades do caso concreto pela ANPD, conforme a proteção da LGPD e do CDC às informações dos consumidores, considerando os atos realizados realizados pela empresa, conforme o tópico 3 deste artigo.
Por fim, deixa-se claro que faltam ainda critérios para as avaliações realizada pela ANPD, lacuna que está sendo preenchida pela jurisprudência e doutrina, levando-se em consideração as boas práticas e a governança de dados da empresa, o controle de danos, a notificação realizada e a boa-fé em geral da empresa e dos agentes de tratamento.
Conclusão
Por meio do estudo realizado, conclui-se que a empresa deverá realizar específicas ações em eventual incidente de segurança nos dados armazenados a fim de que os prejuízos causados por essa situação sejam reduzidos.
Exercer a administração de sua sociedade seguindo os preceitos legais é essencial para refrear danos aos dados pessoais e seus titulares, além de evitar a judicialização pelos consumidores. Assim, caso tenha interesse em receber maiores informações e publicações relacionadas à proteção de dados, fique conectado no site e nas redes sociais da Caputo Advogados!
*Gabriel Felipe Silva das Neves – Estagiário no Escritório Caputo Duarte Advogados. Graduando em Direito pela Universidade Federal de Pelotas (UFPel); Membro do grupo de pesquisa “O Direito Privado na Contemporaneidade” da UFPel; Atuação em projetos de escrita científica com foco em direito digital, empresarial e contratual; Estágio nos setores Trabalhista e de Procedimentos Especiais na Procuradoria Geral de Pelotas; Estágio em escritório de advocacia nos setores de: Startups, Trabalhista e Tributário; Estágio no Caputo Advogados, asessoria empresarial especializada em startups.
Referências
MENKE, Fabiano; GOULART, Guilherme Damasio. Segurança da Informação e Vazamento de Dados. In: BIONI, Bruno. Tratado de Proteção de Dados Pessoais. Rio de Janeiro: Grupo GEN, 2020. p. 350-370. E-book. Disponível em: https://integrada.minhabiblioteca.com.br/#/books/9788530992200/. Acesso em: 26 fev. 2024.
OLIVEIRA, Ricardo Alexandre de. Vazamento de dados pessoais pós LGPD. Revista dos Tribunais. vol. 1025. ano 110. p. 365-370. São Paulo: Ed. RT, março 2021. Disponível em: https://www.revistadostribunais.com.br. Acesso em: 26 fev. 2024.
PINHEIRO, Patricia Peck. Proteção de dados pessoais: comentários à lei n. 13.709/2018 (LGPD). São Paulo: Saraiva JUR, 2023.
SCHREIBER, Anderson. Responsabilidade Civil na Lei Geral de Proteção de Dados Pessoais. In: BIONI, Bruno. Tratado de Proteção de Dados Pessoais. Rio de Janeiro: Grupo GEN, 2020. p. 330-349. E-book. Disponível em: https://integrada.minhabiblioteca.com.br/#/books/9788530992200/. Acesso em: 26 fev. 2024.