De quem é a responsabilidade por dados vazados? O que fazer
Ronaldo Bach é professor do curso de Direito da Faculdade Presbiteriana Mackenzie Brasília
Um vazamento de dados se configura quando informações pessoais ou corporativas são expostas ou acessadas de forma desautorizada. Esta realidade pode se materializar, de forma exemplificativa, por meio de ataques cibernéticos, falhas de segurança, negligência no manuseio de dados, engenharia social. Dados vazados podem incluir nome completo, endereço, CPF, dados corporativos confidenciais, propriedade intelectual, informações financeiras.
No Brasil, a responsabilidade por vazamento de dados de terceiros, espécie de incidente de segurança, é regulamentada pela Lei Geral de Proteção de Dados (LGPD), sendo que a referida Lei impõe que quaisquer danos decorrentes de vazamentos de dados pessoais em posse de terceiros sejam reparados. Frise-se que a Lei protege dados pessoais. A Autoridade Nacional de Proteção de Dados (ANPD) é a responsável pela fiscalização administrativa da manipulação de dados pessoais, podendo aplicar multas administrativas bastante pesadas, podendo chegar a cinquenta milhões de reais por infração. Quem processa dados pessoais, com algumas exceções, está sujeito ao cumprimento da LGPD e suas penalidades. Com isso, quem manipula dados de terceiros tende a adotar medidas de segurança adequadas para proteger dados pessoais de terceiros, e por consequência seu próprio patrimônio.
Quem manipula dados pessoais de terceiros no país deve contratar especialistas, chamados de agentes de tratamento, responsáveis pela manipulação dos dados. Tais agentes de tratamento são responsáveis pela adoção de procedimentos de segurança, inclusive com uso de tecnologias, para proteger os dados sob sua guarda. Acessos não autorizados, ilícitos e acidentes devem estar no “radar” destes profissionais. Relacionado a manipulação de dados pessoais de terceiros, quando danos acontecem e causam prejuízo, devem ser indenizados, e eventualmente, além da reparação dos dados, pode-se ficar sujeito às multas administrativas previstas na LGPD.
Quando um vazamento de dados acontece, o titular dos dados deve ser informado imediatamente, assim como a ANPD, devendo minimamente serem informados a descrição da natureza dos dados pessoais afetados; as informações sobre os titulares envolvidos; a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial; os riscos relacionados ao incidente; os motivos da demora, no caso de a comunicação não ter sido imediata; e as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
A justiça tem se mostrado bem rigorosa quando o tema é a responsabilidade por vazamento de dados. Os tribunais têm responsabilizado as empresas por vazamentos, independentemente de que seja constatada alguma culpa por parte das empresas, baseando as decisões no fato de que as empresas assumem o risco pelo negócio e pela efetiva falha na prestação dos serviços a que se propôs. Muitas vezes são reconhecidos os danos morais decorrentes de vazamento de dados. Muitos dos juízes admitem dano moral apenas configurado o vazamento de dados. Sem necessidade de prova adicional do prejuízo. Ação de hackers, por exemplo, não têm afastado a culpa das empresas, e as indenizações – muitas vezes – têm sido altas.
Por certo, prestadores de serviços e vendedores de produtos ainda podem estar sujeitos ao Código de Defesa do Consumidor (CDC); e bancos, por exemplo, devem cumprir normas específicas do Banco Central do Brasil (BC). Com relação à proteção da privacidade, temos que fazer nossa parte tomando medidas de proteção tais como desinstalando aplicativos que não utilizamos, desconfiando de mensagens e links suspeitos, evitando passar nossos dados para quaisquer desconhecidos, incluindo sites e pessoas ao telefone. Atenção ainda que nos dias de hoje, a tecnologia permite que em chamadas de áudio e vídeo se imite facilmente a voz e imagem de terceiros. Golpistas têm se utilizado desta tecnologia para se passar por parentes ou amigos pedindo depósitos emergenciais. Desconfie sempre.
*O conteúdo dos artigos assinados não representam necessariamente a opinião do Mackenzie.
Sobre a Faculdade Presbiteriana Mackenzie
A Faculdade Presbiteriana Mackenzie é uma instituição de ensino confessional presbiteriana, filantrópica e de perfil comunitário, que se dedica às ciências divinas, humanas e de saúde. É uma das mantidas do Instituto Presbiteriano Mackenzie (IPM), entidade mantenedora e responsável pela gestão administrativa dos campi em três cidades do País: Brasília (DF), Curitiba (PR) e Rio de Janeiro (RJ). Entre seus diferenciais estão os cursos de Medicina (Curitiba); Administração, Ciências Econômicas, Contábeis, Direito (Brasília e Rio); e Engenharia Civil (Brasília).
