O modelo de responsabilidade a ser seguido pela LGDP e sua autoridade de fiscalização em casos de vazamento de dados dos consumidores
Marina Duarte Rocha
Apesar de a proteção aos dados pessoais dos consumidores não estar expressamente tutelada na Constituição Federal de 1988, a Carta Magna prevê a proteção a direitos fundamentais, dispondo sobre a garantia das pessoas à segurança de suas informações pessoais, seja no meio virtual ou no físico (1).
Além das facilidades trazidas com o crescimento das relações consumeristas através da internet, houve também um aumento proporcional de vazamento de dados dos consumidores que utilizam esse meio.
Dentro desse contexto é certo que a entrada em vigor da Lei Geral de Proteção de Dados (“LGPD”) (2) fará com que as empresas que oferecem serviços através da internet, como por exemplo o e-commerce, tragam em sua estrutura maior segurança aos usuários da plataforma digital para preservação dos dados pessoais utilizados para realização dos diversos serviços ali prestados. É importante ressaltar que para isso as empresas deverão buscar a devida adequação de sua base de dados e de suas rotinas aos preceitos da LGPD.
Em razão do cenário pandêmico e de sua evidente influência na economia, o legislador entendeu por bem prorrogar a possibilidade de aplicação das sanções dispostas na LGPD para o mês de agosto do corrente ano. No entanto, conforme determina o artigo 42 (3) desta lei, aquele que causar dano a outrem, seja patrimonial, moral, individual ou coletivo, no exercício da atividade de tratamento dos dados, é obrigado a repará-lo.
Ou seja, no que se refere ao vazamento de dados de consumidores, ainda que as penalidades pela violação à LGPD não estejam em vigor, conforme previsto nos artigos 42 e seguintes da LGPD, os agentes de tratamento que causarem danos em razão do exercício de atividades de tratamento de dados pessoais fica obrigado a repará-lo. Conclui-se pois que a responsabilização pelos danos causados é semelhante àquela prevista no Código de Defesa do Consumidor (4). Contudo, na LGPD o legislador não deixou expresso no texto da lei que a responsabilidade dos agentes de tratamento é objetiva, como ocorre no CDC. E essa falta de clareza do texto dá margens para diversas interpretações, para as quais será indispensável observar como será a interpretação jurisprudencial.
Mesmo com a recente criação da Autoridade Nacional de Dados (“ANPD”) (5), esta já está conduzindo os trabalhos de apuração de diversos vazamentos de dados, dentro os quais o mais relevante atinge dados pessoais de mais de 220 (duzentos e vinte) milhões de titulares. Para auxiliar na investigação a autoridade oficiou outros órgãos a fim de adotar medidas de contenção e mitigação dos riscos, como a Polícia Federal, o Comitê Gestor da Internet no Brasil e o Gabinete de Segurança Institucional da Presidência da República.
Em que pese a impossibilidade momentânea de aplicação de multas com base na LGPD, que podem chegar até 2% (dois por cento) do faturamento das empresas, além da suspensão do exercício da atividade de tratamento dos dados pessoais, entre outros (6), fica evidente que isso não afasta a possibilidade de arbitramento de dano moral individual, uma vez que tanto a LGPD quanto a Lei Consumerista se amparam na responsabilidade civil.
Ressalta-se a importância da adequação a essa nova legislação e em caso de dúvidas, o VLF Advogados se coloca inteiramente à disposição para melhor esclarecer sobre o tema.
Marina Duarte Rocha
Advogada da Equipe de Direito Consumerista do VLF Advogados
(1) Art. 5º, X, XII e LVI da CF/88: Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes:
[…] X - são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação;
[…] XII – é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal;
[…] LVI - são inadmissíveis, no processo, as provas obtidas por meios ilícitos.
(2) BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso em: 13 fev. 2021.
(3) Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
(4) EMENTA: APELAÇÃO CÍVEL - AÇÃO ANULATÓRIA DE CONTRATO E INDENIZAÇÃO POR DANOS MORAIS - CONTRATAÇÃO DE EMPRÉSTIMOS - CAIXA ELETRÔNICO - CULPA EXCLUSIVA DA VÍTIMA - NÃO CONFIGURADA - DEFEITO NA PRESTAÇÃO DO SERVIÇO BANCÁRIO - VAZAMENTO DE DADOS PESSOAIS - DANOS MORAIS CARACTERIZADOS - QUANTUM INDENIZATÓRIO - ADEQUAÇÃO DEVIDA - SENTENÇA REFORMADA EM PARTE.
- O fornecedor de serviços responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, nos termos do art. 14 do Código de Defesa do Consumidor.
- Para que seja configurada a excludente de responsabilidade do fornecedor prevista art. 14, §3º, II do CDC deve ser comprovada a culpa exclusiva do consumidor.
- Reveste-se de ilicitude a hipótese em que a instituição financeira permite ou não cuida para impedir o vazamento dos dados pessoais de seus clientes oportunizando, assim, a atuação ilícita de terceiros fraudadores.
- A fixação da indenização por danos morais pauta-se pela aplicação dos princípios da razoabilidade e da proporcionalidade. (TJMG - Apelação Cível 1.0471.16.012594-7/001, Relator(a): Des.(a) Juliana Campos Horta, 12ª CÂMARA CÍVEL, julgamento em 31/07/2019, publicação da súmula em 08/08/2019)
(4) Julgados disponíveis em: https://www.tjmg.jus.br/portal-tjmg/ e https://www.tjsp.jus.br/.
(5) Site da Autoridade Nacional de Proteção de Dados disponível em: https://www.gov.br/anpd/pt-br. Acesso em: 24 fev. 2021.
(6) Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
[…] Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
[…] XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período (Incluído pela Lei nº 13.853, de 2019).
