Com a ocorrência do vazamento de dados se tornando mais comum entre grandes empresas, tem crescido também a exposição indevida de dados de milhares de pessoas. Diante desse cenário, surgem dúvidas fundamentais sobre o que pode e deve ser feito quando informações pessoais e restrita às empresas caem nas mãos erradas.
Para esclarecer essas e outras questões, TELETIME conversou com o advogado Álvaro Brito Arantes, sócio das áreas de resolução de conflitos, contencioso cível e reestruturação de dívidas e insolvência do Dias Carneiro Advogados, e com a sócia especialista em proteção de dados e direito digital no escritório, Vanessa Pareja Lerner.
Os dois especialistas responderam a perguntas sobre o atual tratamento jurídico dos vazamentos de dados no Brasil. Confira abaixo a entrevista.
Quando uma pessoa que teve seus dados vazados pode pleitear uma reparação na Justiça? É preciso comprovar dano?
Álvaro Arantes: O mero vazamento de dados em desconformidade com a Lei Geral de Proteção de Dados (LGPD), por si só, não deve dar ensejo à reparação na Justiça. Para que surja o dever de indenizar é necessário que o vazamento de dados pessoais cause um dano efetivo ao titular desses dados, e esse dano precisa ser comprovado nos autos do processo judicial. Sem a comprovação concreta desses danos, a ação judicial proposta pelo titular dos dados que foram vazados deve ser improcedente.
O Brasil já aplicou sanções relevantes por vazamento de dados desde a entrada em vigor da LGPD?
Vanessa Lerner: É importante lembrar que as penalidades aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD) não têm como foco o vazamento de dados em si, mas sim as falhas que levaram a essa ocorrência e o descumprimento do dever de notificação à ANPD e aos titulares de dados. De fato, nota-se que por muitas vezes violações aos princípios da segurança, prevenção e responsabilização e prestação de contas, como a não indicação de um encarregado, não manutenção de inventário de dados atualizado ou a não elaboração de relatório de impacto, (são fatores que) têm sido citados como fatos motivadores da aplicação de penalidades. Adicionalmente, nota-se que, por muitas vezes, as empresas sujeitas a um processo de investigação não atendem solicitações efetuadas pela ANPD, o que também motiva a aplicação de sanções. Até o momento, não temos a aplicação de sanções pecuniárias em casos de vazamento de dados, mas isso não significa que essas não estão por vir em um futuro muito próximo.
Como a LGPD tem sido interpretada nos tribunais em casos de vazamento? Já existe uma jurisprudência consolidada?
Álvaro Arantes: A jurisprudência tem se sedimentado por afastar pedidos de indenização formulados por titulares de dados pessoais não sensíveis vazados quando não comprovado algum dano efetivo relacionado a esse vazamento. Os precedentes existentes sobre o assunto ressaltam que o vazamento de dados pessoais não sensíveis não causa dano moral presumido (in re ipsa), exigindo a comprovação de uma lesão concreta derivada daquela ocorrência. A título ilustrativo, podemos citar precedente da 2ª Turma do Superior Tribunal de Justiça no AREsp nº. 2.130.619/SP, do ministro relator, Francisco Falcão.
A jurisprudência dos tribunais estaduais também é farta no mesmo sentido, exigindo a comprovação de danos efetivos do titular dos dados vazados para que surja o dever de indenizar, na esteira do julgado exemplificativo do Tribunal de Justiça de São Paulo na AC nº. 100777280.2023.8.26.0037, relatada pelo desembargador Ernani Desco Filho.
Qual tem sido o papel da ANPD na investigação e responsabilização de empresas que vazam dados?
Vanessa Lerner: A atuação da ANPD em casos de vazamento de dados tem sido assegurar a proteção de titulares de dados. Essa proteção se dá de forma ampla. No caso de vazamento de dados, a empresa terá que listar as medidas técnicas e jurídicas que existiam antes do incidente de segurança ocorrer, bem como cada ação que foi adotada do momento que tomou ciência de que houve o vazamento de dados pessoais. Conforme já exposto, nessa situação essa autoridade irá avaliar não só o incidente em si, como o cumprimento da LGPD e normativos aplicáveis como um todo.
