Em um caso recente que tem causado reflexões no meio jurídico, a Justiça de São Paulo decidiu sobre uma situação envolvendo alegado vazamento de dados por uma seguradora. Este caso chama a atenção, em particular, por levantar questões relevantes no contexto da Lei Geral de Proteção de Dados (LGPD) e seus impactos na jurisprudência brasileira.
Uma das questões era se a seguradora deveria ser responsabilizada pelo vazamento de dados de um cliente que, posteriormente, alegou ter sido alvo de estelionatários. O cliente buscou reparação por danos morais, e a questão foi, em primeira instância, decidida em seu favor, com uma indenização estabelecida.
Contudo, ao recorrer da decisão, a seguradora trouxe ao debate dois pontos fundamentais: o caráter dos dados vazados e a comprovação do dano.
O Tribunal avaliou que os dados em questão não se enquadravam no conceito de “dados sensíveis” conforme determina a LGPD. A distinção é fundamental, pois a proteção conferida a esses dados é mais ampla, e sua exposição pode gerar repercussões mais significativas. Neste caso, o entendimento foi que não houve exposição de tais dados e, portanto, não caberia a condenação da empresa nesse aspecto.
Além disso, houve um forte argumento de que a responsabilidade pela exposição dos dados não estava, de fato, com a seguradora. Invasões e vazamentos, por mais indesejáveis que sejam, não são necessariamente reflexo de falhas internas da empresa. É uma discussão que vai além da culpa e adentra a efetiva responsabilização.
O Tribunal entendeu que não houve comprovação de dano efetivo ao cliente. A tentativa de golpe alegada não teve relação direta com o incidente de vazamento, faltando assim o nexo causal entre o vazamento e o suposto dano.
No contexto mais amplo, o caso se alinha a um entendimento crescente sobre a aplicabilidade e os limites da LGPD, bem como a necessidade de uma avaliação criteriosa sobre danos morais em situações de vazamento de dados. A decisão reforça a ideia de que cada caso deve ser analisado de maneira individual, levando em consideração a natureza dos dados, as circunstâncias do vazamento e a real extensão do dano causado.
A Lei Geral de Proteção de Dados (Lei 13.709/18) estabeleceu a categorização de dados relacionados à saúde como “sensíveis”, conferindo-lhes um status especial e resguardando a privacidade dessas informações. Essa classificação se aplica a qualquer dado capaz de identificar uma pessoa entre um grupo de indivíduos.
O artigo 5º, inciso II da referida lei define os tipos de dados sensíveis, abrangendo dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de cunho religioso, filosófico ou político, informações referentes à saúde ou vida sexual, dados genéticos ou biométricos, quando associados a uma pessoa.
É notável que a lei não apresenta uma lista fechada de categorias, o que significa que o escopo de dados sensíveis é amplo e abrangente.
Contudo, em um contexto de conjunto de pessoas, um dado sensível isolado por si só não seria suficiente para identificar alguém. A identificação ocorre quando esses dados são combinados com outros, como o CPF, por exemplo. Nesse caso, a anonimização deve ser aplicada para proteger a privacidade do indivíduo.
Dentro dos registros médicos, como prontuários, guias de internação, exames e receitas, há uma concentração significativa de dados sensíveis. O Conselho Federal de Medicina (CFM) estabeleceu regulamentações, como a Resolução 1.639/2002, seguidas pelas Resoluções 1821/2007 e 2.218/2018, para garantir a segurança e integridade dos prontuários eletrônicos dos pacientes.
Entretanto, mesmo com tais diretrizes, o compartilhamento desses dados requer o consentimento expresso do paciente. O artigo 7º da LGPD delimita as situações em que o tratamento de dados pessoais é permitido. Na área da saúde, destacam-se os casos de consentimento do titular, proteção da vida ou incolumidade física, tutela da saúde em procedimentos médicos, e interesses legítimos do controlador ou terceiros, desde que não sobreponham os direitos fundamentais do titular.
Para obter consentimento, é vital que o profissional de saúde explique ao titular de forma clara e compreensível quais dados serão coletados e como serão utilizados. No entanto, existem exceções em que o tratamento de dados sensíveis pode ocorrer mesmo sem o consentimento explícito do titular, como no cumprimento de obrigações legais, estudos de pesquisa com anonimização, proteção da vida ou saúde, entre outros.
A importância do consentimento em relação aos dados de saúde frequentemente é subestimada, em parte devido ao sigilo médico que protege essas informações. A LGPD, ao elevar os dados de saúde à categoria de dados sensíveis, aprimora a proteção da privacidade do paciente e promove sua autonomia ao exigir a adoção de práticas transparentes e confiáveis no tratamento desses dados.
Em 14 de agosto, a Lei Geral de Proteção de Dados (LGPD) completou cinco anos desde sua promulgação no Brasil. No entanto, especialistas apontam que, apesar da ampla abertura de horizontes regulatórios em relação às mais novas tecnologias, ainda persistem dúvidas quanto ao impacto prático das normas no cotidiano de empresas e cidadãos.
Desde sua implementação, a LGPD enfrentou um caminho burocrático e gradual, com partes da legislação entrando em vigor apenas anos após sua aprovação. A Autoridade Nacional de Proteção de Dados (ANPD), responsável por fiscalizar o cumprimento da LGPD, só foi efetivamente estruturada em 2020, dois anos após sua criação.
A LGPD trouxe consigo uma mudança cultural necessária, mas a compreensão completa dos conceitos e mecanismos ainda é limitada, principalmente devido à falta de conscientização sobre o valor dos dados pessoais. Muitos ainda não percebem que informações como o CPF, fornecidas para obter descontos, contêm preciosas informações sobre hábitos e preferências pessoais.
A aplicação de sanções também enfrentou atrasos, o que levanta preocupações sobre a efetividade da lei. A necessidade de uma educação digital e uma mudança cultural em relação à propriedade dos dados pessoais é crucial para construir uma base sólida de proteção de dados.
Apesar das incertezas e desafios, especialistas concordam que a LGPD já deixou marcas significativas. Houve uma mudança cultural nos processos de coleta, uso e armazenamento de dados em todas as esferas da sociedade, o que resultou em relações mais transparentes e duradouras entre as partes envolvidas.
Alguns destacam que a lei já gerou impactos positivos, estimulando empresas a repensarem suas práticas e a investirem em conformidade. A implementação da LGPD também serve como um prelúdio para a regulamentação de outras tecnologias emergentes, como inteligência artificial e segurança da informação.
À medida que o Brasil enfrenta novos desafios regulatórios associados às tecnologias, a experiência adquirida com a LGPD pode servir como base para um debate cuidadoso e equilibrado sobre questões como a inteligência artificial. O futuro da proteção de dados no país dependerá da capacidade de responder a esses desafios sem comprometer os princípios fundamentais da privacidade e inovação.
Em resumo, os cinco anos de vigência da LGPD no Brasil têm sido marcados por avanços, desafios e uma mudança cultural essencial. A construção de uma cultura de proteção de dados e a garantia de conformidade devem continuar sendo prioridades, à medida que o país enfrenta os próximos capítulos na evolução tecnológica e regulatória.
A 2ª Turma Recursal do Poder Judiciário de Santa Catarina manteve uma decisão que responsabiliza duas empresas por um ataque hacker devido à falta de cuidados na contratação de um firewall para proteção do ambiente de rede. A invasão resultou em um prejuízo de R$ 3,9 mil, levando à sentença do Juizado Especial Cível de São Miguel do Oeste que determinou que cada empresa pagasse metade do prejuízo.
No caso, uma empresa do setor atacadista e varejista firmou um contrato com uma empresa que administra máquinas de pagamento por cartão de crédito. A invasão ao sistema ocorreu em janeiro de 2022, quando funcionários da empresa de atacado enfrentaram dificuldades para acessar a conta. A invasão resultou na transferência de R$ 3,9 mil para um indivíduo não autorizado.
O atacadista moveu uma ação de danos materiais contra a empresa de cartão de crédito, buscando a devolução dos fundos indevidamente transferidos. A empresa de cartão alegou culpa de terceiros e a inaplicabilidade do Código de Defesa do Consumidor.
A responsabilização das empresas baseou-se na falha concorrente, onde a empresa de cartão foi condenada a pagar R$ 1.950 ao atacadista. A operadora da máquina de cartão recorreu à Turma Recursal, mas teve seu pedido negado. A decisão destacou que a empresa atacadista foi negligente ao não contratar um firewall de proteção para a rede e ao não verificar as tentativas de acesso ao sistema. Além disso, a empresa de cartão contribuiu para o incidente devido à segurança insuficiente do sistema, incluindo senhas fracas e falta de monitoramento de IPs.
Nesse contexto, é importante ressaltar a relevância das práticas de segurança da informação, como o uso de senhas fortes, para proteger dados pessoais e informações sensíveis. A Lei 13.709/2018, conhecida como Lei Geral de Proteção de Dados (LGPD), estabelece diretrizes para a segurança e proteção de dados, e empresas que negligenciam essas práticas podem enfrentar sanções administrativas e multas.
A Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD®) também destaca a importância do entendimento e discussão sobre a privacidade de dados, buscando melhorias na lei e promovendo o papel dos agentes de privacidade de dados. A adoção de medidas rigorosas de segurança da informação não apenas evita prejuízos financeiros, mas também auxilia as empresas a estarem em conformidade com a LGPD, protegendo os direitos dos titulares de dados e mantendo a confiança dos clientes.
Após cinco anos da entrada em vigor da Lei Geral de Proteção de Dados (LGPD), a Autoridade Nacional de Proteção de Dados (ANPD) aplicou a primeira multa com base nessa legislação, que estabelece regras para a coleta, uso e compartilhamento de dados pessoais. A sanção foi imposta a uma microempresa que atua no setor de telemarketing. Essa medida representa um marco significativo no cumprimento da LGPD e destaca a importância da proteção dos dados pessoais dos indivíduos.
Localizada na encantadora cidade litorânea de Vila Velha, a Telekall Infoservice enfrentou uma multa no valor de R$ 14.400, tornando-se a primeira empresa a ser penalizada por violar dois artigos cruciais da Lei Geral de Proteção de Dados (LGPD). A infração incluiu o não atendimento às solicitações da Autoridade Nacional de Proteção de Dados (ANPD) durante o processo administrativo de investigação.
Além da multa, a microempresa recebeu uma advertência da ANPD por descumprir a disposição da legislação que exige a nomeação de um encarregado responsável pelo tratamento dos dados pessoais manipulados pelo negócio. Essa situação destaca a importância da conformidade com as disposições da LGPD e reforça a necessidade de as empresas estabelecerem uma estrutura adequada para proteger os dados pessoais de seus clientes.
O processo que é de 2022, tinha o objetivo de “investigar as condutas: ausência de comprovação de hipótese legal; ausência de registro de operações; não envio de Relatório de Impacto de Proteção de Dados; ausência de encarregado de dados pessoais; não atendimento à requisição da ANPD.
Foi imposta uma advertência, por infração ao artigo 41 da LGPD, ou seja, por ausência de indicação de encarregado.
Além disso, uma multa de R$ 7,2 mil foi aplicada por conta da previsão da LGPD que lista quais as hipóteses possíveis para o tratamento de dados. Outros R$ 7,2 mil teriam sido aplicadas por falta de colaboração da empresa com a investigação do regulador.
O especialista em Segurança da Informação e advogado Empresarial Dr. Jorge Alexandre Fagundes destacou a importância das empresas se adequarem a LGPD. “A Lei Geral de Proteção de Dados (LGPD) é um marco importante na proteção dos direitos e privacidade dos indivíduos no ambiente digital. É essencial que as empresas reconheçam a importância de se adequarem à LGPD e implementarem medidas robustas de segurança da informação. A conformidade com essa legislação não é apenas uma obrigação legal, mas também uma oportunidade para as empresas demonstrarem seu compromisso com a privacidade e transparência, construindo uma relação de confiança com seus clientes. Ao adotar práticas adequadas de coleta, uso e compartilhamento de dados pessoais, as empresas podem mitigar riscos de vazamento de informações sensíveis, evitar multas e danos à reputação. Além disso, a LGPD impulsiona a conscientização sobre a importância da proteção de dados em toda a cadeia empresarial, estimulando a inovação e o desenvolvimento de soluções que garantam a segurança das informações. É fundamental que as empresas busquem orientação especializada e realizem um trabalho contínuo de adequação, garantindo assim uma cultura de privacidade que beneficie tanto a organização quanto seus stakeholders.”
Considerações sobre a Multa
Qual o setor da empresa multada? A empresa multada é uma microempresa que atua nos setores de comunicação multimídia (SCM), VoIP, marketing e teleatendimento, conforme fonte da Teletime.
Qual o valor da multa? A multa aplicada à empresa foi de R$ 14.400,00. No entanto, a empresa tem a opção de renunciar ao direito de recorrer da decisão de primeira instância, o que resultaria em uma redução de 25% no valor da multa, totalizando R$ 10.800,00.
Essa decisão representa um marco importante, indicando uma intensificação na fiscalização e penalização de empresas que não estão em conformidade com a LGPD. Isso deve servir como um alerta para todas as empresas de diversos setores, ressaltando a necessidade de aderir às disposições da LGPD para evitar sanções semelhantes.
No entanto, é importante ressaltar que o valor da multa aplicada pode não ser considerado suficientemente dissuasivo, especialmente para empresas de maior porte. Isso pode gerar discussões sobre a adequação dos valores das penalidades, a fim de incentivar mudanças reais de comportamento. Por outro lado, para empresas menores, essa multa pode ser uma oportunidade para revisar e aprimorar suas práticas de proteção de dados, buscando a conformidade com a legislação.
Além disso, a divulgação de uma multa administrativa pode afetar a reputação da empresa, resultando em perda de confiança por parte do público e dos clientes. Isso enfatiza ainda mais a importância de investir em conformidade com a LGPD e outras regulamentações de proteção de dados e privacidade.
A decisão da ANPD também pode gerar uma demanda crescente por transparência nas práticas de coleta e uso de dados por parte das empresas, obrigando-as a esclarecer como estão manipulando os dados pessoais de seus clientes e a comprovar que possuem bases legais adequadas para coletar e processar esses dados.
A empresa recebeu intimação para apresentar recurso contra a decisão ou cumprir a sanção administrativa estabelecida.
Governador do DF, Ibaneis Rocha, teve dados vazados; além de autoridades, 200 milhões de brasileiros foram expostos
A Polícia Civil do Distrito Federal (PCDF) realizou no dia 20/06 a prisão de dois criminosos virtuais responsáveis pela venda de pacotes contendo informações confidenciais de mais de 200 milhões de cidadãos brasileiros.
Entre as vítimas estão ministros do Supremo Tribunal Federal (STF), governadores e deputados tanto do Distrito Federal como a nível federal. A perícia conduzida pelo Instituto de Criminalística da PCDF confirmou o vazamento de dados do governador do DF, Ibaneis Rocha (MDB).
A investigação teve início na delegacia do Lago Norte, bairro nobre de Brasília, após a análise de 100 inquéritos de pessoas que foram vítimas de golpes ao longo de um ano. Segundo informações fornecidas pelos policiais, o vazamento de informações pessoais facilitou as ações dos golpistas.
Entre as informações ilegalmente compartilhadas encontram-se números de telefone celular, endereços residenciais e de e-mail, fotos e até mesmo assinaturas digitalizadas. Além disso, os grupos obtinham dados de empresas e veículos registrados em nome das vítimas, bem como informações sobre seus parentes e vizinhos.
A PCDF afirma que os criminosos também tinham acesso às câmeras de OCR (leitura de placas), o que lhes permitia rastrear os últimos deslocamentos das vítimas nas estradas de todo o país, possibilitando o monitoramento de suas rotinas.
Com a prisão de diversos golpistas, a PCDF descobriu que esses dados estavam sendo comercializados na darknet (a parte oculta da internet) por meio da aquisição de acesso a “painéis de consulta”.
Os valores pagos variavam de R$ 7 a R$ 350, dependendo da duração do acesso (7, 15 ou 30 dias). A investigação revelou que 1.453 usuários adquiriram esse tipo de pacote.
“A investigação comprovou que esses painéis são a fonte de informação para os criminosos, que selecionam as vítimas e elaboram estratégias para enganá-las”, explicou o delegado responsável pelo caso, Erick Sallum.
Agora, os investigadores buscarão determinar a origem do que consideram ser um dos maiores vazamentos de dados na história do país e como os autores obtinham acesso a informações confidenciais da população brasileira, em especial o hackeamento das câmeras de reconhecimento de placas.
“Encontramos fortes indícios de que grande parte dessas informações é proveniente de invasões a órgãos públicos. No entanto, também detectamos uma atividade ilegal por parte de empresas fictícias de proteção de crédito. Contrariando a Lei Geral de Proteção de Dados (LGPD), dados pessoais da população brasileira estão sendo vendidos em larga escala clandestinamente, sem critérios para sua destinação”, afirmou o delegado à CNN.
Após várias discussões e adiamentos, a Lei Geral de Proteção de Dados (LGPD) do Brasil, Lei Federal nº 13.709/2018, entrou em vigor em 18 de setembro de 2020. A LGPD é a primeira regulamentação abrangente de proteção de dados do Brasil e está amplamente alinhada com o Regulamento Geral de Proteção de Dados da União Europeia (GDPR).
Embora a lei esteja em vigor desde 2020, as penalidades estabelecidas pela LGPD só se tornaram aplicáveis em 1º de agosto de 2021. No entanto, autoridades públicas (como órgãos de proteção ao consumidor e promotores públicos) e titulares de dados puderam exercer seus direitos de acordo com a LGPD a partir de 18 de setembro de 2020.
Antes da promulgação da LGPD, as regulamentações de privacidade de dados no Brasil consistiam em várias disposições dispersas na legislação brasileira. Por exemplo, a Lei Federal nº 12.965/2014 e seu Decreto regulamentador nº 8.771/16 (juntos, o Marco Civil da Internet Brasileira) impunham requisitos relacionados à segurança e ao processamento de dados pessoais, além de outras obrigações aos provedores de serviços, redes e aplicativos, e conferiam direitos aos usuários da Internet.
As seguintes leis também contêm disposições gerais e princípios aplicáveis à proteção de dados:
A Constituição Federal; O Código Civil Brasileiro; e Leis e regulamentos que abordam: Certos tipos de relacionamentos (por exemplo, Código de Defesa do Consumidor e leis trabalhistas); Setores regulamentados (por exemplo, instituições financeiras, indústria da saúde ou telecomunicações); e Atividades profissionais específicas (por exemplo, medicina e direito). Além disso, existem leis que regulamentam o processamento e a salvaguarda de documentos e informações manipulados por entidades governamentais e órgãos públicos.
A LGPD se aplica a qualquer operação de processamento realizada por pessoa física ou jurídica (de direito público ou privado), independentemente de (1) os meios utilizados para o processamento, (2) o país onde está localizada sua sede ou (3) o país onde os dados estão localizados, desde que:
A operação de processamento seja realizada no Brasil; O objetivo da atividade de processamento seja oferecer ou fornecer bens ou serviços, ou o processamento de dados de indivíduos localizados no Brasil; ou Os dados pessoais tenham sido coletados no Brasil. Por outro lado, a lei não se aplica ao processamento de dados pessoais que seja:
Realizado por pessoa física exclusivamente para fins privados e não econômicos;
Realizado para fins jornalísticos, artísticos ou acadêmicos;
Realizado para fins de segurança pública, segurança nacional e defesa ou atividades de investigação e persecução de crimes (que serão objeto de uma lei específica);
Originado fora do território brasileiro e não seja objeto de comunicação;
ou Compartilhamento de dados com agentes de processamento brasileiros ou objeto de transferência internacional de dados
Além disso, em 20 de outubro de 2021, o Senado brasileiro aprovou por unanimidade a Proposta de Emenda à Constituição (PEC) nº 17/2019, que inclui na Constituição Federal a proteção de dados pessoais, inclusive em meios digitais, como um direito fundamental, e atribui à União (governo federal) a responsabilidade de legislar sobre esse assunto. Desde 10 de fevereiro de 2022, a proteção de dados está agora abrangida pela Constituição Federal como um direito fundamental.
