Confira neste artigo as principais orientações técnicas e jurídicas ao titular dos dados em caso de violação de dados pessoais.
Reunimos neste artigo algumas das principais questões sobre o que fazer, como e onde denunciar, quais os prazos e quais as medidas podem ser adotadas em caso de violação de dados pessoais.
Autoras:
Andreza Sobreira – Linkedin
Carolina Kadix – Linkedin
Com o advento da Lei nº 13.709/18, Lei Geral de Proteção de Dados Pessoais (LGPD), os dados pessoais de pessoas naturais passaram a ter uma maior proteção. Apesar desses direitos já virem contemplados em alguns diplomas legais, tais como na Constituição Federal, no Código de Defesa do Consumidor, no Código Civil, Lei de Acesso à Informação e no próprio Marco Civil da Internet, os dados pessoais agora contam com esta legislação especial.
A Lei Geral de Proteção de Dados Pessoais dispõe nos artigos 17 e seguintes sobre os direitos dos titulares. Contudo, para exercer seus direitos em casos de incidentes, a lei menciona algumas orientações em alguns artigos, mas de forma tímida. Vejamos.
O artigo 52, §7º dispõe que “os vazamentos individuais ou os acessos não autorizados de que trata o caput do art. 46 desta Lei poderão ser objeto de conciliação direta entre controlador e titular e, caso não haja acordo, o controlador estará sujeito à aplicação das penalidades de que trata este artigo”.
Por sua vez, o artigo 48 preconiza que “o controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares”.
Já o artigo 18, traz a previsão que:
“o titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição”.
Por seu turno, o §1º assegura ao titular o direito de peticionar perante a Autoridade Nacional de Proteção de Dados (ANPD) e o §8º prevê o exercício desses direitos junto aos organismos de Defesa do Consumidor.
Diante disso, tem-se a percepção do que, o que diz a LGPD e que vem acontecendo na prática, é diferente. Notadamente sob o viés jurídico, é sabido que a via administrativa não exclui o exercício dos direitos na via judicial.
Ainda há que se observar, que as multas e sanções suspensas até Agosto de 2021, seria apenas no âmbito administrativo pela ANPD. No entanto, já tramita no Poder Judiciário mais de 600 (seiscentas) ações envolvendo à LGPD e aplicação de multas significativas sendo aplicadas pelas demais Autoridades.
A Autoridade Nacional de Proteção de Dados, ANPD tem trabalhado brilhantemente em alguns pontos em que a lei é omissa. Tem realizado consultas públicas, feito importantes parcerias, eventos, e acima de tudo, tem se preocupado em conscientizar a sociedade sobre a proteção e privacidade dos dados pessoais. Certamente, ainda haverá novas regulamentações sobre os pontos omissos.
Ocorre que, tem-se observado a cada dia, uma crescente demanda perante o Poder Judiciário e Organismos de Defesa do Consumidor para exercício regular dos direitos desses titulares, que assim como as empresas, também carecem de orientações sobre seus direitos, deveres e obrigações e como resolver as questões relacionadas à LGPD.
Pela leitura estrita do texto da lei, o titular deve procurar primeiramente o Encarregado(a) de Proteção de Dados (Data Protection Officer) para exercer seus direitos, o que nos parece razoável. Porém, é sabido que o titular provavelmente nem saiba quem é essa figura imposta pela lei, o que de certa forma não geraria tantos processos perante o Poder Judiciário.
No entanto, caso queira saber se a empresa possui algum dado pessoal, ter acesso a esses dados, solicitar correção dos dados incompletos, inexatos ou desatualizados, anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei, portabilidade, eliminação (exceto hipóteses do art. 16), revogação do consentimento, até mesmo informações sobre incidentes, o titular deverá procurar inicialmente, o Encarregado de proteção de dados (DPO) ou a empresa (controladora) que trata os dados pessoais.
Portanto, para exercer esses direitos, o titular ou seu representante legal constituído deve fazer um requerimento e direcioná-lo ao Encarregado(a) de Proteção de Dados (Data Protection Officer) ou outro canal de comunicação disponibilizado pela empresa. Na mesma toada, quando o titular é comunicado de que seus dados foram vazados e/ou hackeados (incidentes) também deveria proceder da mesma forma.
Ademais, é razoável esclarecer que o fato do incidente ter ocorrido, não gera automaticamente ao titular dos dados pessoais o direito à indenização. Isso porque para que o titular se socorra do Poder Judiciário ou demais Autoridades e exija indenização é razoável que se demonstre o dano sofrido, seja o dano material ou seja o dano moral.
Por analogia, quando se busca o direito à indenização por dano moral no Código de Defesa do Consumidor, mesmo com a inversão do ônus da prova, demonstra-se por exemplo, uma inscrição indevida junto aos órgãos de proteção ao crédito, e mais, é exigido para tanto, que haja a comprovação de que não havia antes daquela inscrição qualquer outra inscrição naquele CPF.
Nesse sentido, acertadamente o nobre Magistrado em recente julgado, negou o direito à indenização por danos morais no valor de R$ 10.000,00 (dez mil reais) à consumidora nos autos do Processo nº 1025226-41.2020.8.26.0405, que ajuizou ação em decorrência da ciência de que seus dados haviam sido vazados pela empresa que presta serviços de eletricidade na cidade de São Paulo, contudo, sem demonstrar o dano sofrido e restringindo-se apenas e tão somente em alegações verbais descritas na inicial.
Cabe ressaltar que, para que haja a responsabilidade civil é necessário conduta (ação ou omissão), dano e nexo causalidade, mas em casos de incidentes (violação de dados pessoais) também nos parece ser necessário estabelecer parâmetros.
Uma vez não atendido, o titular de dados pode apresentar reclamações por meio de petição à ANPD, com a comprovação da reclamação não solucionada (art. 55-J, V).
Contudo, apenas devem ser encaminhadas à ANPD as reclamações que já tenham sido formalmente apresentadas ao controlador (encarregado de proteção de dados) e que não tenham sido respondidas, ou, cuja resposta, no entendimento do titular, não esteja em conformidade com a LGPD. Na ocasião, devem ser enviados à ANPD os comprovantes do(s) contato(s) estabelecido(s) previamente.
Para o envio de petições que se enquadrem na situação mencionada acima, deve ser utilizado o Peticionamento Eletrônico, seguindo as informações disponíveis em www.gov.br/secretariageral/pt-br/sei-peticionamento-eletronico.
Os organismos de defesa do consumidor também podem ser acionados pelo titular dos dados pessoais, conforme previsão da própria LGPD (art. 18, § 8º).
Neste sentido, recentemente o Juizado Especial Cível da Comarca de Canoas no Rio Grande do Sul, condenou no processo de nº 9002346-47.2021.8.21.0008 uma Instituição de Ensino por infração à LGPD. Dano moral no valor de R$ 6.000,00 (seis mil reais). O Magistrado enfatiza que a instituição (controladora) realizou a atividade de tratamento de dados em desacordo com a LGPD e que a conduta perpetrada pela referida instituição foi ilícita por ferir direitos da personalidade.
Neste caso específico, em trecho inicial da sentença, o titular afirma que solicitou a exclusão dos dados, porém, não obteve sucesso em sua solicitação. Ainda buscou antes de ir ao Poder Judiciário, uma solução amigável por diversas vezes e nada foi resolvido. É o que consta nos autos em sentença publicada.
Havendo indícios de fraude no tratamento dos dados do titular, orienta-se que seja formalizada denúncia, por meio de boletim de ocorrência, perante a autoridade policial competente. No que se refere à ANPD, conforme suas atribuições legais, o órgão não realiza especificamente investigação de crimes, mas de infrações administrativas, podendo aplicar aos infratores as sanções previstas na LGPD, a partir de 1º de agosto de 2021.
Dados da plataforma Consumidor.gov.br apontam que de janeiro a julho deste ano o número de consumidores que tiveram dados pessoais ou financeiros consultados, coletados, publicados ou repassados sem autorização mais que dobrou em relação ao mesmo período do ano passado. Foram 47.413 reclamações em 2021, enquanto em 2020 foram 21.310. O número do primeiro semestre deste ano, inclusive, já supera o total de registros em 2020, que foi de 44.750.
Com o objetivo de auxiliar na identificação de tentativas de golpes virtuais, principalmente com a utilização indevida de dados pessoais dos consumidores, o Ministério da Justiça e Segurança Pública, lançou no último dia 11 de Agosto, a campanha educativa online “Proteja seus dados. Não compartilhe.” para informar consumidor sobre proteção de dados.
● É recomendável não responder e-mails que declarem que seus dados foram expostos ou utilizar sites suspeitos para realizar essa verificação. Esses mecanismos geralmente requerem que o cidadão compartilhe alguns de seus dados pessoais para realizar a suposta verificação e isso pode aumentar a sua exposição.
● Reforça-se a importância de trocar as senhas e demais informações de acesso aos serviços e às plataformas que foram afetados por vazamento de dados. Também é recomendável que se utilize autenticação de dois fatores sempre que disponível, além de seguir monitorando a atividade nas contas e nos serviços potencialmente relacionados aos dados vazados. Se verificar que seus dados foram utilizados de maneira fraudulenta – por exemplo, para abrir uma conta ou para adquirir algum bem –, o cidadão deve buscar informações junto aos provedores do serviço, além de reportar a ocorrência à autoridade policial, para viabilizar a apuração e resguardar-se.
● Sempre ative o 2FA (segundo fator de autenticação) nos apps e serviços caso a função esteja disponível e sempre que possível utilize aplicativos de terceiros tais como Microsoft Authenticator, google Authenticator, dentre outros;
● Não clique em links enviados que sejam desconhecidos, de bancos, pesquisas, redes sociais etc.;
● Não realize transferências, pix, pagamento de boletos e afins após contatos online de quaisquer naturezas;
● Mantenha seus equipamentos eletrônicos atualizados e com antivírus;
● Acompanhe nos meios digitais como anda seu score, consulte seu CPF sempre que possível, solicite certidões junto aos tribunais etc., há muito serviços digitais que são gratuitos e qualquer cidadão consegue acessá-los;
● Faça backupregularmente dos seus dispositivos;
● Evite salvar senhas de qualquer tipo em seus dispositivos móveis;
● Evite ativar suas contas de e-mail no celular, pois os cibercriminosos têm se utilizado deste recurso para a recuperação de senhas;
● Em caso de suspeita de golpes ou acessos indevidos, informar prontamente aos bancos que tenha conta, listas de contatos e solicitar novo cartão de crédito com numeração diversa da exposta.
Referências:
DONEDA, Danilo… [et al]. Tratado de Proteção de Dados Pessoais. Rio de Janeiro: Forense 2021.
Lei nº 13.709/18 – Lei Geral de Proteção de Dados. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm. Acesso em: 14 de ago. 2021
ANPD, Meus dados vazaram, e agora? Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/meus-dados-vazaram-e-agora. Acesso em: 14 de ago. 2021.
Tecnomundo: https://www.tecmundo.com.br/seguranca
NIC.br, NIC.br disponibiliza dicas de segurança na Internet para não cair em golpes. Disponível em: https://internetsegura.br/coronavirus/. Acesso: 14 de ago. 2021
Min. da Justiça e Seg. Pública, notícias, Ministério da Justiça e Segurança Pública lança campanha educativa para informar consumidor sobre proteção de dados. Disponível em: https://www.gov.br/mj/pt-br/assuntos/noticias/ministerio-da-justica-e-seguranca-publica-lanca-campanha-educativa-para-informar-consumidor-sobre-protecao-de-dados. Acesso em: 16 ago. 2021
Disponível em: Home – Tribunal de Justiça – RS (tjrs.jus.br). Acesso em 27/08/2021 às 14:50.
