Por Tiságoras Mariani, Gustavo Chaves Barcellos e Layon Lopes*
Independentemente do segmento de mercado, o mundo moderno possui uma característica em comum: a coleta de dados. Mesmo que uma empresa não necessite de dados para desempenhar a sua atividade econômica, é necessário que ele realize o correto tratamento de dados de seus empregados, prestadores de serviços, fornecedores, etc.
Conteúdo:
Por que a proteção de dados é importante nas empresas?
Quais são as normas e regulamentações aplicáveis?
E, para as fintechs?
Quem é responsável pelo tratamento dos dados?
Quais rotinas internas de proteção de dados devo implementar na minha empresa?
Há alguns anos, a implementação de rotinas internas de proteção de dados seria de baixa relevância para muitas empresas, contudo, com a entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD) no Brasil e a General Data Protection Regulation (GDPR) na Europa, bem como em razão do aumento de número de empresas vítimas de vazamento de dados, as empresas de tecnologia precisam entender que investir em rotinas internas de proteção de dados é um investimento contínuo, e não apenas um custo.
Por isto, o objetivo do presente artigo é indicar e auxiliar as empresas a adotar rotinas internas adequadas para a proteção de dados.
Por que a proteção de dados é importante para as empresas?
Por dois simples motivos: a tecnologia, muitas vezes, depende de dados pessoais para funcionar corretamente; e os países estão cada vez mais preocupados com a proteção dos dados pessoais de seus cidadãos, o que se demonstra pela própria promulgação da LGPD e a GDPR.
Por óbvio, os motivos indicados não são os únicos. É preciso compreender que o investimento em proteção de dados pessoais vai muito além da segurança dos usuários, ele está atrelado diretamente à imagem e reputação da empresa.
Por exemplo: muitas empresas que tiveram incidentes de segurança envolvendo os dados pessoais dos usuários são expostas na internet, em sites como o “Have i been pwned?” e, no Brasil, pela própria Autoridade Nacional de Proteção de Dados (ANPD). Em decorrência dessa exposição, existem milhares de pessoas que estão processando tais empresas, na busca por indenizações pelos prejuízos morais supostamente sofridos.
As pessoas que estão processando as empresas expostas na internet em decorrência de algum vazamento de dados pessoais utilizam, de modo geral, o mesmo argumento: o fato de ter ocorrido o vazamento de dados pessoais, independentemente de apuração de culpa ou comprovação do dano, faz com que se presuma a configuração do dano moral – como se diz no direito, dano moral in re ipsa.
O número de processos judiciais envolvendo vazamento de dados cresceu consideravelmente no Brasil. De acordo com o site Jota, o número de processos judiciais sobre LGPD aumentou em mais de 500% nos últimos anos, o que demonstra o início de uma massificação de ações judiciais sobre o tema – algo visto no setor aéreo e bancário.
Porém, estados como Rio Grande do Sul e São Paulo estão gerando precedentes jurisprudências não muito favoráveis ao usuário, indicando que o dano moral precisa ser comprovado pela parte ou, ainda, que a indenização por danos morais em caso de vazamento de dados somente é aplicável no caso de vazamento de dados pessoais sensíveis ( ou seja, o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural).
O Tribunal de Justiça do Rio Grande do Sul entende que o usuário precisa comprovar o dano moral no episódio envolvendo vazamento dados:
APELAÇÃO CÍVEL. NEGÓCIOS JURÍDICOS BANCÁRIOS. AÇÃO INDENIZATÓRIA. VAZAMENTO DE DADOS PESSOAIS. AUSÊNCIA DE VIOLAÇÃO DA LEI GERAL DE PROTEÇÃO DE DADOS (LGPD). DANOS MORAIS NÃO CONFIGURADOS. 1. A inversão do ônus da prova prevista no Diploma Consumerista (art. 6º, inc. VIII) não instituiu nova “distribuição estática” do ônus probatório, agora sempre em desfavor do fornecedor – o que sequer “distribuição” seria –, possuindo, ao contrário, natureza relativa. A partir de uma leitura contemporânea acerca da Teoria da Prova, cujo estudo conduz para uma distribuição dinâmica do ônus probatório, a prova incumbe a quem tem melhores condições de produzi-la, à luz das circunstâncias do caso concreto. 2. Informações como agência e conta do consumidor são considerados de natureza comum, não se enquadrando nas características de dados sensíveis, os quais abarcam informações de cunho sexual, político, étnicas, entre outros. 3. O vazamento de dados pessoais não tem o condão, por si só, de gerar dano moral indenizável. Ou seja, o dano moral não é presumido, sendo necessário que o titular dos dados comprove eventual dano decorrente da exposição dessas informações (AREsp n. 2.130.619/SP). 4. Competia ao demandante comprovar minimante as violações à sua honra proveniente da disponibilização dos dados no aplicativo do demandado, fato constitutivo do seu direito, nos termos do art. 373, inc. I, do CPC, ônus do qual não se desincumbiu. APELAÇÃO DESPROVIDA.(Apelação Cível, Nº 50093660620218210026, Vigésima Terceira Câmara Cível, Tribunal de Justiça do RS, Relator: Ana Paula Dalbosco, Julgado em: 18-07-2023).
O Tribunal de Justiça de São Paulo, no julgado abaixo, entendeu que a indenização por danos morais é cabível em casos de vazamento de dados pessoais sensíveis:
Apelação. Ação de obrigação de fazer c./c. danos morais. Responsabilidade civil contratual. Prestação de serviços. Energia elétrica. Vazamento de dados do sistema da prestadora do serviço. Sentença de improcedência. RECURSO DA AUTORA VISANDO FIXAÇÃO DE INDENIZAÇÃO MORAL QUE NÃO MERECE PROSPERAR. INVASÃO DE SISTEMA INFORMATIZADO DA CONCESSIONÁRIA POR HACKERS. RESPONSABILIDADE OBJETIVA DA EMPRESA NO TRATAMENTO DE DADOS (ART. 42 DA LGPD). FALHA NA PRESTAÇÃO DE SERVIÇOS (ART. 14 DO CDC). DADOS QUE NÃO SE RELACIONAM À INTIMIDADE E NÃO ENVOLVE DADO PESSOAL SENSÍVEL (ART. 5º, II, DA LGPD). DADOS BÁSICOS INFORMADOS COM FREQUÊNCIA EM DIVERSAS SITUAÇÕES, MUITOS CONSTANTES EM SIMPLES FOLHA DE CHEQUE. AUSENTE UTILIZAÇÃO DOS DADOS VAZADOS E COMPROVAÇÃO DO EFETIVO DANO. Impossibilidade de indenizar expectativa de dano. Precedentes. Sentença mantida. Honorários majorados. RECURSO DESPROVIDO. (TJSP; Apelação Cível 1000537-44.2021.8.26.0001; Relator (a): L. G. Costa Wagner; Órgão Julgador: 34ª Câmara de Direito Privado; Foro Regional XII – Nossa Senhora do Ó – 6ª Vara Cível; Data do Julgamento: 30/04/2022; Data de Registro: 30/04/2022).
O Superior Tribunal de Justiça (STJ) também possui o entendimento de que o dano moral não é presumido, sendo necessário que a pessoa prove o dano sofrido.
Desta forma, é fundamental que as empresas realizem investimento na proteção de dados pois, como se pode notar, o número de processos judiciais envolvendo o tema está aumentando cada vez mais, ao ponto de até o STJ já ter proferido entendimento sobre o assunto.
Portanto, ao realizar investimento na proteção de dados, a empresa estará i) mitigando o risco de vazamento de dados pessoais; ii) minimizará a probabilidade de sofrer processo judicial envolvendo o tema; e iii) economizará com advogados e custas processuais.
Quais são as normas e regulamentações aplicáveis?
No Brasil, a norma aplicável a proteção dos dados pessoais é a Lei nº 13.709/2018, conhecida como Lei Geral de Proteção de Dados, que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Conforme já mencionamos no artigo “Adequação da LGPD para startups: guia definitivo”, a Lei estabeleceu 10 princípios que devem reger o tratamento dos dados pessoais, sendo que o tratamento de dados pessoais deve:
1) Possuir uma finalidade, que deve ser específica e explícita ao titular;
2) Ser adequado à finalidade divulgada ao titular, observado o acima indicado;
3) Ser necessário para alcançar a finalidade divulgada ao titular, limitado ao uso dos dados pessoais essenciais para tanto;
4) Ser de acesso livre, fácil e gratuito aos titulares, que para que tenham a ciência de como seus dados pessoais estão sendo tratados;
5) Ter sua qualidade mantida, de forma a garantir que os dados pessoais estão sendo tratados em sua forma exata e atualizada, de acordo com a necessidade do tratamento;
6) Ser transparente, de forma que o titular possua informações claras e acessíveis sobre como se dá o tratamento de seus dados pessoais e quem é responsável por este;
7) Garantir a segurança, para coibir situações acidentais ou ilícitas como invasão, destruição, perda e difusão;
8) Possuir mecanismos de prevenção contra danos ao titular dos dados pessoais e demais envolvidos;
9) Garantir a não discriminação, ou seja, não permitir atos ilícitos ou abusivos; e,
10) Garantir a responsabilização do agente, que é obrigado a demonstrar a eficiência das medidas adotadas para cumprir com o disposto nos princípios acima.
Já na Europa, foi criada a Regulação (EU) 2016/679, denominada “General Data Protection Regulation”. O texto tem como objetivo assegurar o processamento de dados pessoais feito de forma leal, justa e transparente. Este fato concedeu ao cidadão europeu novos instrumentos para ter acesso ao processo de tratamento de seus dados feitos pelas empresas, podendo até mesmo solicitar a exclusão permanente de seus registros.
E, para as fintechs?
As fintechs devem se atentar aos regramentos da LGPD, principalmente àquelas interessadas em aderir ao Open Finance. Se você quiser saber quais são as regulamentações do Banco Central do Brasil aplicáveis, bem como os regramentos específicos para a atividade, confira este artigo, que apresenta as regras que as instituições participantes devem observar.
Quem é responsável pelo tratamento dos dados?
Existem diversas pessoas que possuem responsabilidade pelo tratamento dos dados, como os agentes de tratamento (controlador e operador) e o encarregado. De acordo com a LGPD:
– Considera-se ”Controlador” a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
– Considera-se “Operador” a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
– Considera-se “Encarregado” (ou DPO) a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD.
Quais rotinas internas de proteção de dados devo implementar na minha empresa?
Além do investimento em tecnologia para a proteção dos dados da sua empresa, seja na qualidade de controladora ou operadora, é fundamental que sejam implementadas algumas rotinas, que vão desde políticas, auditorias e monitoramentos:
1) Atualização da Política de Privacidade: A Política de Privacidade está presente na maioria dos sites, e frequentemente é confundida com os Termos de Uso – embora sejam documentos distintos. A Política de Privacidade é o documento em que a empresa dispõe ao seu usuário a forma de utilização dos seus dados, desde quais dados são coletados, forma e local de armazenamento, e direitos que o titular possui. Infelizmente, muitas empresas realizam um documento genérico que não reflete – em nada – com o seu cotidiano, o que pode lhe trazer prejuízos tanto financeiros quanto regulatórios – como as fintechs.
Portanto, é fundamental que a empresa realize uma Política de Privacidade que esteja em conformidade com o seu modelo de negócio, e atualize-a com periodicidade fixa e no médio prazo.
2) Criação e implementação da Política de Segurança da Informação: De acordo com o Clicksign, a Política de Segurança da Informação documento oficial que inclui informações e regras sobre a gestão de senhas, acesso a dados, backup de dados, gerenciamento de dispositivos móveis e outras questões correlatas, que dispõe também o conjunto de padrões, normas e diretrizes que estabelece princípios, compromissos, valores, requisitos e orientações a fim de mitigar riscos para os dados armazenados.
A Política de Segurança da Informação possui como características: confidencialidade, integridade e disponibilidade. Quando estiver sendo realizada, é importante que a Política de Segurança da Informação siga a norma ISO/IEC 27001.
Após finalizada, é necessário que a empresa realize a sua implantação, sendo fundamental a apresentação da Política de Segurança da Informação para os profissionais envolvidos.
3) Auditorias internas: Não basta a criação e implementação de políticas que visam a segurança dos dados; é fundamental que as políticas sejam monitoradas e auditadas com frequência, para que a empresa garanta a melhor eficácia das condições previstas e, ainda, esteja preparada para qualquer incidente que venha a acontecer.
4) Adequação à LGPD: É fundamental que a empresa verifique se as práticas realizadas para a segurança de dados estão de acordo com a Lei Geral de Proteção de Dados. Essa medida vai muito além de práticas internas, atingindo desde contratos de trabalho, prestadores de serviços, fornecedores e até mesmo clientes. Portanto, é necessário revisitar constantemente tais documentos para verificar se, juridicamente, a empresa não está gerando um problema para ela mesma.
Nessa hora, é preciso ser transparente: todo mundo está sujeito a passar por um episódio de vazamento de dados, mesmo que o investimento em segurança seja elevado. Meta, Uber, Netflix e até mesmo o Supremo Tribunal Federal sofrem com incidentes de segurança.
O ponto principal é: como reagir no momento que isso acontecer? E é por isto que é fundamental a implementação de rotinas internas de proteção de dados.
Se a empresa possui uma Política de Privacidade condizente com o seu modelo de negócio, tenha práticas de segurança da informação implementadas e realiza com frequência monitoramentos e auditorias de seus atos, sem dúvidas a probabilidade de sofrer qualquer tipo de penalização, seja na esfera administrativa ou judicial, será muito baixa.
*Lopes é CEO do Silva Lopes Advogados, Chaves Barcellos é sócio e Mariani é integrante do time do escritório.
