Desde que a LGPD (Lei Geral de Proteção de Dados) entrou em vigor, casos de vazamento de dados têm ganhado cada vez mais destaque na internet. Não apenas por conta da frequência com que ocorrem tais fatos, mas também porque as empresas responsáveis pelos dados vazados agora respondem à nova lei.

Recentemente, a Comissão de Proteção de Dados da Irlanda aplicou multa ao Grupo Meta no montante de 265 milhões de euros, pelo vazamento de dados de 533 milhões de usuários da plataforma.

Segundo informações, a conduta do Grupo Meta violou o art. 25 da General Data Protection Regulation (GDPR), já que permitiu, através do método de data scraping (processo de coleta de dados estruturados da web de maneira automatizada), o amplo acesso não autorizados a dados de usuários do Facebook, entre os quais podemos citar a data de nascimento, número de telefone e e-mail.

No que toca ao direito brasileiro, a LGPD (Lei geral de Proteção de Dados) também possui regras para reprimir a ocorrência de fatos análogos.

Inicialmente, é necessário traçar o significado do termo “vazamento de dados”. O vazamento de dados pode ser conceituado como um incidente de segurança, no qual dados pessoais e/ou informações pessoais ou confidenciais são disponibilizados ao público ou a terceiros, sem autorização.

Desta forma, as informações podem ser acessadas, visualizadas, copiadas, vendidas, compradas e utilizadas para diversos fins. Por exemplo, fraude financeira, extorsão e tentativas de prejudicar os negócios e a imagem de uma empresa.

As violações de dados, portanto, colocam pessoas e empresas em risco.

Vencido esse ponto, a Lei Geral de Proteção de Dados determina explicitamente que quem deve responder em casos de vazamentos de dados são os agentes de tratamento, quais sejam os controladores e os operadores (art. 5º, IX, da LGPD). É o que determina o parágrafo único do art. 46 da LGPD:

Art. 44. O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:

 

[…]

Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano.

Entretanto, o art. 43 da LGPD nos traz as hipóteses em que o controlador e o operador não responderão pelo vazamento de dados pessoais, quando comprovarem:

 

  1. que não realizaram o tratamento de dados pessoais que lhes é atribuído;

 

  1. que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou

 

  1. que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.

O vazamento de dados pode ensejar à aplicação de sanções administrativas ao infrator, em seu art. 52 da LGPD. Cite-se:

– Advertência, com prazo para corrigir as infrações;

– Multa simples de até 2% do faturamento da empresa no ano anterior, até o limite de R$50 milhões por infração;

– Multa diária de até 2% do faturamento da empresa no ano anterior, até um limite de R$50 milhões por infração;

– Tornar pública a infração cometida;

– Bloqueio dos dados pessoais relacionados à infração;

– Eliminação dos dados pessoais relacionados à infração;

– Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período;

– Suspensão da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período;

– Proibição parcial ou total das atividades relacionadas a tratamento de dados.

Além disso, na aplicação das sanções serão considerados os parâmetros previstos em lei, tais como a cooperação do infrator, a pronta adoção de medidas corretivas e a implementação de mecanismos internos para o tratamento adequado dos dados.

Outro ponto que merece destaque na legislação pátria diz respeito à possibilidade de o consumidor ingressar em juízo contra o controlador ou operador de dados pessoais responsável pelo vazamento de dados. Neste sentido, vejamos o teor do art. 42 da LGPD, in litteris:

“Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.”

Portanto, entendemos que se o titular de dados (inclusive o consumidor) sofrer danos materiais ou morais decorrentes do vazamento de dados, é recomendado a procura de profissional especializado para o auxílio na solução do problema, que pode ser resolvido tanto na via administrativa como na via judicial, a depender do caso concreto.

 

BRUNO SILVA & SILVA ADVOGADOS