A Lei Geral de Proteção de Dados (LGPD) completou cinco anos de existência e 3 anos de vigência. Desde o seu nascimento, a LGPD vem trazendo consigo mudanças estruturais na sociedade brasileira, em especial como as empresas tratam os dados pessoais coletados para trazer mais segurança e privacidade aos titulares de dados em um mundo cada vez mais digital.
E, durante o ano de 2023, a LGPD deu passos significativos, atingindo o seu objetivo que é a conquista de uma sociedade que prioriza a segurança da informação e a proteção dos dados. Hoje os usuários já se preocupam com o simples cadastro e preenchimento de formulários que solicita diversos dados pessoais, bem como tem a preocupação de entender com quem serão compartilhadas tais informações. E, em razão disso, as organizações já têm responsabilidade social com a proteção de dados, cada dia passando a ser mais transparentes com as tratativas dos dados pessoais dos seus clientes.
Tais passos de conscientização dados no ano de 2023 foram excelentes para o crescimento e amadurecimento da Lei no Brasil, com o auxílio da atuação da ANPD (Autoridade Nacional de Proteção de Dados), órgão fiscalizador da Lei, que já apresentou diversas Notas Técnicas, Regulamentações, estudos técnicos e até mesmo decisões administrativas em processos sancionadores.
Em dezembro de 2023 foi publicada a atualização da agenda regulatória da ANPD para o biênio de 2023-2024 que traz consigo uma lista de temas a serem discutidos e regulamentados, inclusive no que diz respeito a Inteligência Artificial, que impacta diretamente a LGPD.
E, no mesmo sentido, vem os Tribunais, cada vez mais especializados no tema da proteção de dados, com decisões de qualidade e robustez, trazendo entendimentos consolidados.
Artigo escrito por Júlia Mayara Medeiros
Crescimento de Decisões Judiciais
Uma pesquisa realizada pelo Instituto Brasileiro de Ensino, Desenvolvimento e Pesquisa (IDP) e o Jusbrasil, com o suporte do Programa das Nações Unidas para o Desenvolvimento (PNUD), da Organização das Nações Unidas (ONU), revelou um grande aumento no número de decisões judiciais que utilizam a Lei Geral de Proteção de Dados (LGPD) como base, através de algoritmos desenvolvidos pelo time do Jusbrasil.
De acordo com os dados, durante os anos de 2022 e 2023, a quantidade de casos que levam em consideração a LGPD subiu de 665 para 1206 decisões nos tribunais brasileiros. Durante o ano de 2021, 274 decisões que utilizaram a LGPD. Ou seja, o número de decisões judiciais em que dispositivos da norma foram usados de forma relevante teve um aumento de 81,4% entre 2022 e 2023.
O estudo revela que, a maior parte das decisões que se baseiam em LGPD são da área de Direito do Consumidor e do Direito do Trabalho. O maior motivo de aplicação da LGPD nas decisões judiciais tem sido em virtude de incidentes de segurança envolvendo dados pessoais, em especial, vazamento de dados pessoais pelas organizações, causando prejuízos financeiros e morais aos titulares de dados. Portanto, esses titulares tendem a realizarem pedidos de reparação moral e material à Justiça.
Na justiça do trabalho, a temática mais recorrente está voltada para o pedido de provas digitais de geolocalização para que sejam coletados para fins de prova em processos trabalhistas. O que tem se decidido, conforme foi o caso do Tribunal Regional do Trabalho da 4ª Região, é a invalidade da coleta de dados de geolocalização em razão dos direitos à inviolabilidade de comunicações, à privacidade e à intimidade. Nesses casos de negativa de prova da geolocalização, utilizam outras provas menos invasivas à intimidade e à proteção constitucional aos dados pessoais.
Na área do consumidor, é visto com uma certa frequência, furtos de identidade que ocorrem através de vazamento de informação onde um criminoso se utiliza dos dados pessoais de outra pessoa para fingir ser o titular, o que pode levar os fraudadores a realizarem ações, a exemplo de fraudes bancárias.
Foram também motivo de análise nas decisões judiciais os resultados das decisões automatizadas, visto que alguns titulares de dados alegaram que tiveram impactos a seus interesses, a exemplo, em caso de reprovação de crédito de compra.
Em atenção aos entendimentos jurisprudenciais, foi possível verificar que casos que envolvem violações de dados sensíveis e a base legal do consentimento têm valores de indenização mais elevados, partindo de R$ 4mil (quatro mil reais) e chegando a R$ 100mi reais (cem mil reais).
Também foi possível concluir que cerca de 90% das decisões exigiram a comprovação do dano moral, indicando tendência de que não há natureza in re ipsa, situação que, no direito, um fato é presumido sem a necessidade de comprovação.
É certo que estamos buscando a mudança cultural em privacidade e proteção de dados no Brasil, pelo qual ainda vamos evoluir bastante, porém, já é possível extrair que as normas constantes na Lei Geral de Proteção de Dados são demasiadamente eficazes para solucionar problemas e conflitos no âmbito da privacidade da informação na sociedade brasileira.
Leia também: LGPD: Riscos e multas do não cumprimento da lei
Importantes Decisões judiciais de 2023
Um caso bem interessante foi o da Terceira Turma do Superior Tribunal de Justiça (STJ), no RECURSO ESPECIAL Nº 2.077.278 – SP (2023/0190979-8), no qual decidiu que a instituição financeira é responsável pelo vazamento de dados sigilosos do consumidor relacionados a operações e serviços bancários, obrigando-o a reembolsar ao cliente as parcelas pagas indevidamente no contrato de financiamento.
Através de incidente de segurança por vazamento de dados pessoais, os criminosos obtiveram dados para prática de fraudes, através do golpe do boleto falso, um método de engenharia social com emprego de técnicas psicológicas de persuasão, no qual eles se passaram por funcionários da Instituição Bancária, emitindo boleto falsos para indevidamente receber pagamentos dos clientes.
Segundo a Ministra Nancy Andrighi, as instituições bancárias têm responsabilidade objetiva pelos danos resultantes de incidentes internos quando se trata de fraudes praticadas por terceiros, responsabilidade que se origina do risco inerente à atividade. Além disso, a Ministra ratificou o entendimento da decisão de 1ª instância, que, de acordo com o artigo 44 da LGPD, o tratamento de dados será considerado inadequado se não oferecer a segurança que o titular espera, levando em conta os resultados e os riscos desse processamento.
No entendimento do Tema Repetitivo 466/STJ, que contribuiu para a edição da Súmula 479/STJ, as instituições bancárias respondem objetivamente pelos danos causados por fraudes ou delitos praticados por terceiros – como, por exemplo, abertura de conta corrente ou recebimento de empréstimos mediante fraude ou utilização de documentos falsos –, porquanto tal responsabilidade decorre do risco do empreendimento, caracterizando-se como fortuito interno (REsp 1.197.929/PR, Segunda Seção, julgado em 24/8/2011, DJe 12/9/2011).
Conforme expõe Bruno Miragem “a prestação do serviço de qualidade pelos fornecedores abrange o dever de segurança, que, por sua vez, engloba tanto a integridade psicofísica do consumidor, quanto sua integridade patrimonial. Note-se que o art. 8º do CDC admite que se coloquem no mercado apenas produtos e serviços que ofereçam riscos razoáveis e previsíveis, isto é, que não sejam excessivos ou potencializados por falhas na atividade econômica desenvolvida pelo fornecedor”.
Em 2023 tem-se também uma decisão interessante aos usuários em casos de vítima de sequestro de conta de rede social. A decisão do Tribunal de Justiça de Santa Catarina – TJSC responsabilizou a Meta (Facebook) a indenizar por danos morais a usuária de rede por falha na prestação de serviços, bem como em obrigação de fazer de recuperar a conta. A usuária teve sua rede social invadida por um hacker, bem como tentaram aplicar golpes usando os seus dados pessoais (Autos n. 5020116-49.2021.8.24.0005).
No mesmo sentido, a Meta foi condenada a indenizar em R$ 20 milhões (vinte milhões) os usuários em virtude de dois fatos: em 2018, os criminosos tiveram acesso às contas de 29 milhões de pessoas e, em 2019, um outro vazamento expôs senhas de 22 mil contas e movimentações nas redes de 540 milhões de usuários. Conforme decisão da 29ª Vara Cível de Belo Horizonte em setembro de 2023, foi entendido que a plataforma falhou nos serviços de segurança da informação. O caso se refere a duas Ações Civis Públicas ajuizadas pelo Instituto Defesa Coletiva (Autos n. 5064103-55.2019.8.13.0024 e 5127283-45.2019.8.13.0024).
Leia também: Importância do consentimento para a LGPD
Decisões civis
Conclui-se que, nas decisões judiciais em esfera cível, a justiça ainda é bastante acionada por vazamento de dados pessoais e pleitos por indenização patrimonial e moral, com base no CDC e utilizando a LGPD de forma subsidiária. Tem-se consolidado o entendimento que o dano deve ser comprovado para gerar indenização.
Na Justiça do Trabalho, o entendimento está consolidado no sentido de que os empregados devem conhecer as normas internas da organização, e, uma vez ciente, em caso de descumprimento, estão propícios a uma demissão por justa causa. Em decisões, os julgadores consideraram como falta grave, em razão de indisciplina e perda da confidencialidade, apta a ensejar o desligamento por justa causa, a atitude do funcionário que descumpriu normas da Política de Privacidade e Segurança da Informação implementada na Organização (Autos n. 0010313.35.2020.5.15.0112 e 1000612-09.2020.5.02.0043).
Decisões trabalhistas
Conclui-se que, nas decisões judiciais trabalhistas, ainda que os dados pessoais não tenham sido compartilhados a terceiros pelos empregados, o próprio compartilhamento dos dados para si mesmo que não seja no ambiente corporativo e dentro das regras da empresa, já é suficiente para aplicação de uma demissão por justa causa.
Há também que se comentar a decisão do Tribunal Superior do Trabalho – TST sobre uso de dados de restrição creditícia para fins de contratação. A Ação Coletiva que resultou em condenar a empresa em obrigação de abster-se de utilizar banco de dados, de prestar e de buscar informações sobre restrições creditícias relativas a candidatos a emprego, seus ou de terceiros, sob pena de multa de R$10 mil (dez mil reais), por candidato. Segundo a decisão, fazer-se utilizar do cadastro do titular para qualquer outro fim que não a base legal da proteção ao fornecimento de crédito é ilegal (Processo n. TST-E-RR-933-49.2012.5.10.0001).
Conclusão
Ante as ameaças e vulnerabilidades existentes no mundo digital, cabe à Organização o ônus de provar que mantem a segurança máxima de seu sistema de dados e que adota todas as medidas necessárias para precaver o vazamento de dados e não imputar esse ônus ao titular de dados.
As organizações estão sujeitas a eventuais prejuízos financeiros em decorrência de sanções administrativas e/ou condenações judiciais, a prejuízos de negócios por ruptura de contrato, perda de parceiros e até mesmo proibição de sua atividade e além da possibilidade de afetar a sua reputação.
O Projeto de Adequação à LGPD nas Organizações é algo essencial, voltado ao compliance em Segurança da Informação, que deve ser um plano contínuo, conforme dispõe o ciclo PDCA, já que a informação é um bem valioso para as empresas diante de possíveis ameaças, em especial, no ambiente digital.
A percepção de 2023 é que a LGPD tem tomado corpo nos tribunais não só em números, mas também na qualidade das fundamentações, com maior robustez e consolidação de decisões e entendimentos jurisprudenciais. Há uma crescente maturidade e preocupação quanto à adequação à LGPD, sobretudo porque qualquer penalidade aplicada certamente terá grande repercussão social, capaz de atingir além do financeiro, a reputação da empresa.
Portanto, os precedentes judiciais e os impactos das decisões judiciais para as partes e sociedade diante das novas tendências e aplicabilidade das normativas da LGPD traz efeitos práticos às organizações, evidenciando a necessidade de ter um Programa vivo de compliance em Segurança da Informação, com a Governança de dados, no qual seja avaliado e monitorado os riscos em segurança da informação com implementação de medidas de segurança administrativas e técnicas, a fim de demonstrar as boas práticas.
Júlia Mayara Medeiros: Advogada, especialista em Direito Digital e em Proteção de Dados. LLM em Direito Empresarial. Pós-graduada em Compliance, Risco e Governança e em Direito Digital. Membro da Comissão de Direito das Startups da OAB/PE e de Proteção de Dados da OAB/PE. Membro da ANADD (Associação Nacional de Advogados do Direito Digital) – Comitê de Relações Trabalhistas no Digital. Possui Certificações de PDPE Essentials EXIN (Especialização em LGPD), DPO, ISO 27001 e ISO 27701.