Vazamento de dados, Internet e as empresas
Na sexta-feira (28), o Facebook informou a existência de vulnerabilidade em seu site que expôs dados pessoais de cerca de 50 milhões de usuários. A falha de segurança, descoberta pela empresa no dia 25, se refere ao código de sua ferramenta “Ver como”, que permite ao usuário ver como seu perfil é mostrado para terceiros, e foi utilizada por hackers para obter tokens de acesso às contas dos usuários na rede social.
A falha, que resultou no reset do login de 90 milhões de usuários como medida de segurança, é apenas o último capítulo de uma série de episódios ocorridos nos últimos anos referentes a exposição de dados de usuários de sites e aplicativos. No Brasil, a responsabilidade do provedor de conexão ou de aplicações de Internet pelo vazamento de dados pessoais de seus usuários já é uma realidade.
O Marco Civil da Internet determina que qualquer operação de coleta, armazenamento, guarda ou tratamento de dados pessoais ocorrida no território nacional, incluindo atividades de pessoas jurídicas sediadas no exterior, mas que ofertem serviço ao público brasileiro ou cujo membro do grupo econômico possua estabelecimento no Brasil, exige o respeito à legislação brasileira e aos direitos à privacidade e à proteção dos dados pessoais.
Ainda é expresso que a guarda e a disponibilização de dados pessoais devem atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas, prevendo o Decreto 8771/2016 diretrizes sobre padrões de segurança para o tratamento de dados pessoais. Desse modo, provedores de conexão e de aplicações de Internet são responsáveis em caso de vazamento dos dados pessoais por eles tratados, caso seja verificado que houve descumprimento por parte do provedor das disposições acima.
Tal infração está sujeita a sanções que incluem multa de até 10% do faturamento do grupo econômico no Brasil no seu último exercício, excluídos os tributos, bem como suspensão e proibição das atividades de tratamento, sem prejuízo de reparação civil aos indivíduos e demais sanções cíveis, criminais ou administrativas. Adicionalmente, o Marco Civil da Internet prevê expressamente a aplicação das normas de proteção e defesa do consumidor nas relações de consumo realizadas na Internet.
Desse modo, quando se tratar de uma relação de consumo, o mero vazamento dos dados configura defeito no produto ou serviço contratado, nos termos dos Art.12, §1º e Art. 14, §1º do Código de Defesa do Consumidor, por não fornecer a segurança que o consumidor pode dele esperar.
Com a sanção da Lei Geral de Proteção de Dados novas regras sobre padrões de segurança, medidas de prevenção e contenção e sanções em caso de infração de tais normais passarão a viger para a proteção de dados pessoais em qualquer suporte, seja analógico ou digital.
A LGPD prevê expressamente a necessidade de adoção de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados, bem como de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, que devem ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.
O controlador (a quem compete as decisões referentes ao tratamento de dados) ou o operador (aquele que realiza o tratamento em nome do controlador) que deixar de adotar as referidas medidas será responsável pelos danos decorrentes de violação de segurança resultante desse descumprimento.
A autoridade nacional (cuja criação depende de nova lei de iniciativa do Poder Executivo ou de medida provisória, considerando o veto parcial relativo à criação da Autoridade Nacional de Proteção de Dados originalmente prevista no projeto que originou a LGPD) poderá exigir dos controladores a emissão de relatórios de impacto à proteção de dados pessoais em relação a tratamentos que podem gerar riscos às liberdades civis e aos direitos fundamentais dos titulares, bem como medidas, salvaguardas e mecanismos de mitigação de tais riscos.
Também é definida a obrigação do controlador de informar à autoridade nacional dentro de um prazo razoável a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. A comunicação deverá conter informações sobre a natureza dos dados afetados, os titulares envolvidos, os riscos relacionados ao incidente, as medidas que haviam sido tomadas para a proteção dos dados, as medidas que foram ou serão adotadas para reverter ou mitigar os efeitos do incidente, bem como os motivos que levaram à demora na comunicação à autoridade, caso esta não tenha sido feita imediatamente.
A autoridade a ser criada terá o direito tanto de dispor sobre padrões técnicos mínimos paras as medidas de segurança, técnicas e administrativas de proteção quanto de, em caso de um incidente e conforme a gravidade deste, determinar a adoção de providências que incluirão a ampla divulgação do incidente através dos meios de comunicação para publicidade bem como as medidas que deverão ser tomadas para a reversão ou mitigação de tais efeitos.
Em caso de incidentes de maior gravidade, as empresas também estarão sujeitas a avaliação para comprovar que foram adotadas medidas técnicas adequadas que tornem ininteligíveis os dados pessoais afetados pelo incidente.
Cumpre ressaltar que a LGPD prevê expressamente que violações do direito do titular dos dados pessoais no âmbito das relações de consumo permanecem sujeitas à legislação específica, conforme anteriormente mencionado.
São previstas ainda sanções administrativas em caso do descumprimento das normas da LGPD, sendo estas: (i) advertência; (ii) multa simples ou diária de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50 milhões por infração; (iii) publicização da infração; (iv) bloqueio dos dados pessoais relativos a infração até sua regularização; e (v) eliminação de tais dados pessoais, sem prejuízo das demais sanções cíveis, penais e administrativas previstas em legislação específica.
Não obstante a aplicação de tais novas regras a todos os tipos de tratamento de dados pessoais, salvo as exceções previstas em Lei, provedores de conexão e aplicações de Internet sentirão um impacto maior de tais disposições, considerando o volume de dados pessoais que podem ser potencialmente tratados por tais empresas, bem como os riscos relativos a vazamentos ou utilização indevida de tais dados.
Desse modo, em adição aos procedimentos que já deveriam estar implementados para cumprimento das disposições atualmente em vigor, empresas que atuem nesse segmento devem iniciar com urgência processos de auditoria para identificar quais procedimentos precisarão ser modificados em razão das novas normas, definir a forma pela qual tais modificações serão realizadas, provisionar os custos relativos a tais mudanças, e, por fim, implementá-las, antes que a lei entre em vigor em fevereiro de 2020.
*Isabela Moreira Vilhalba é advogada especializada em Propriedade Intelectual e sócia do Saiani & Saglietti Advogados