Meu Painel

Como saber se tenho direito a indenização por vazamento de dados?

  • Home
  • Blog
  • Como saber se tenho direito a indenização por vazamento de dados?

Como saber se tenho direito a indenização por vazamento de dados?

No mundo digital atual, a proteção de informações pessoais tornou-se uma preocupação central, e os vazamentos de dados são uma ameaça crescente que afeta tanto indivíduos quanto organizações. 

Com o aumento das legislações de proteção de dados, como a LGPD no Brasil, é importante estar ciente dos seus direitos em caso de exposição indevida das suas informações. 

Neste post, explicaremos como identificar se você tem direito a uma indenização em situações de vazamento de dados e os passos legais que podem ser seguidos para proteger seus interesses.

O que é uso indevido de dados pessoais?

O uso indevido de dados pessoais é a realização de uma atividade de tratamento de dados pelo Controlador ou pelo Operador de dados que tenha uma finalidade diversa daquela informada ao titular de dados ou que viole algum de seus direitos.

Dentro da sistemática da Lei Geral de Proteção de Dados, os agentes de tratamento estão sujeitos aos dez princípios esculpidos no texto legal, que são:

I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Todas as vezes em que o agente de tratamento realiza uma atividade de tratamento de dados sem a devida observância destes princípios, podemos dizer que ele está fazendo o uso indevido de dados pessoais e ferindo o direito à privacidade e intimidade do titular de dados.

Além disso, durante as atividades de tratamento de dados, é dever dos agentes de tratamento respeitar todos os direitos dos titulares de dados previstos na Lei 13.709/2018, que são:

I – confirmação da existência de tratamento;

II – acesso aos dados;

III – correção de dados incompletos, inexatos ou desatualizados;

IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;

V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador;

V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;    (Redação dada pela Lei nº 13.853, de 2019)     Vigência

VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;

VII – informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

VIII – informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

IX – revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.

Qualquer agente de tratamento que também não respeite ou atenda a algum dos direitos mencionados no art. 18 da Lei Geral de Proteção de Dados, também realiza um tratamento ilegal de dados pessoais.

Cabe dano moral na LGPD?

Sim, a LGPD, se violada e desta violação, restar prejuízo ao titular de dados, prevê a reparação civil de danos e a possibilidade de dano moral.

O artigo 42 trata da responsabilidade do agente de tratamento de der causa a danos morais ou patrimoniais, individuais ou coletivos, aos titulares de dados em razão do tratamento irregular de dados pessoais ou da não observância da LGPD.

Assim como diversas outras legislações que tratam de direitos difusos e coletivos, a LGPD não deixou de regular a responsabilidade civil por vazamento de dados causado pelo agente de tratamento.

Percebemos um estreito paralelo desta responsabilização com a do fornecedor para com o consumidor prevista no Código de Defesa do Consumidor, sendo que ambas derivam da responsabilidade civil prevista nos artigos 186, 187 e 927 do Código Civil Brasileiro.

Neste sentido, temos como conclusão que, independentemente das penalidades administrativas provenientes de um processo fiscalizatório pela ANPD, o agente de tratamento que causar danos ao titular de dados, poderá responder judicialmente pela reparação destes.

Os processos discutindo danos morais e patrimoniais relacionados à LGPD vem crescendo de modo exponencial no Brasil, portanto, deve ser uma preocupação para as organizações, pois podem representar grande massa contenciosa.

Em razão da especificidade da matéria, recomendamos a contratação de advocacia especializada para patrocínio das defesas nestes processos, pois uma defesa bem construída, que desvincule o nexo causal entre o fato e o dano, são essenciais nestes casos.

LGPD e a necessidade de comprovar o dano ou prejuízo

Apesar de a LGPD de fato prever a necessidade de reparação dos danos experimentados em razão de um tratamento indevido de dados pessoais, a jurisprudência brasileira consolidou entendimento de que este dano moral não é presumido.

O que isso significa? Significa que o titular de dados deve comprovar que o dano moral experimentado decorreu do tratamento irregular de dados, ou seja, deve demonstrar o nexo causal entre o ato ilícito e o dano experimentado.

Este entendimento afasta a ideia que muitos tinham de que o dano moral derivado da LGPD era um dano moral in re ipsa, visto que vem se consolidando o entendimento de que é necessária a comprovação do dano para se ter o dano moral indenizável.

Devido ao grande aumento da quantidade de ações discutindo danos morais relacionados à LGPD, o Superior Tribunal de Justiça (STJ) vem firmando seu entendimento sobre o assunto, que em efeito cascata influencia as decisões proferidas nos tribunais estaduais.

Vejamos a recente decisão do STJ sobre o tema proferida no Agravo em Recurso Especial nº 2758422 – MG (2024/0367011-0):

EMENTA: AGRAVO EM RECURSO ESPECIAL. RECURSO ESPECIAL. HOSPITAL. FALHA NA PRESTAÇÃO DE SERVIÇOS. VAZAMENTO DE DADOS. DANO MORAL. NÃO DEMONSTRAÇÃO. VERIFICAÇÃO. IMPOSSIBILIDADE. NECESSIDADE DE REEXAME FÁTICO-PROBATÓRIO. INCIDÊNCIA DA SÚMULA 7 DO STJ. PRESUNÇÃO. NÃO OCORRÊNCIA. ACÓRDÃO EM HARMONIA COM A JURISPRUDÊNCIA DO STJ. SÚMULA Nº 568 DO STJ. AGRAVO CONHECIDO. RECURSO ESPECIAL CONHECIDO EM PARTE E NÃO PROVIDO. (STJ – AREsp: 2758422, Relator.: Ministro MOURA RIBEIRO, Data de Publicação: Data da Publicação DJ 17/10/2024)

Este entendimento se aplica também nos casos em que o vazamento de dados ocorre pela Administração Pública, ainda que seja um vazamento de dados sensíveis. Vejamos:

PROCESSUAL CIVIL E ADMINISTRATIVO. INDENIZAÇÃO POR DANO MORAL. VAZAMENTO DE DADOS PESSOAIS. DADOS COMUNS E SENSÍVEIS. DANO MORAL PRESUMIDO. IMPOSSIBILIDADE. NECESSIDADE DE COMPROVAÇÃO DO DANO. (AgInt no REsp n. 2.160.388/SP, relator Ministro Antonio Carlos Ferreira, Quarta Turma, julgado em 30/9/2024, DJe de 2/10/2024)

Em sua decisão, o STJ fixou o entendimento de que o vazamento de dados pessoais, a despeito de se tratar de falha indesejável no tratamento de dados de pessoa natural por pessoa jurídica, não tem o condão, por si só, de gerar dano moral indenizável. 

Ou seja, o dano moral não é presumido, sendo necessário que o titular dos dados comprove eventual dano decorrente da exposição dessas informações.

Pagamento de indenização

Se o titular de dados tiver a comprovação de que sofreu um dano moral ou material em razão de um tratamento irregular de dados, poderá pleitear o pagamento de uma indenização para reparação destes danos.

Para isso, deverá valer-se do Poder Judiciário como meio de receber esta indenização por vazamento de dados ou uso indevido dos mesmos.

Alguns Tribunais de Justiça, inclusive, já possuem classificações de ações específicas para tratar de assuntos relacionados a danos relacionados ao mau tratamento de dados pessoais.

Apesar de este tipo de ação poder tramitar pelos Juizados Especiais onde o titular de dados poderá propor a sua ação sem a representação de um advogado, é recomendado que valha-se de advogados especializados por conta da necessidade de demonstrar o nexo causal.

A boa construção da petição inicial com as provas necessárias para comprovar a relação do dano experimentado com o tratamento irregular de dados pela empresa é essencial para se obter sucesso nesse tipo de ação.

O valor da indenização por vazamento de dados ou tratamento irregular dependerá muito dos danos experimentados pelo titular. A jurisprudência tem se consolidado na fixação de indenizações por danos morais que variam entre R$1.500,00 e R$5.000,00.

Mas certamente se comprovado que o dano teve grande extensão na vida do titular de dados, como situações de discriminação ou fraudes bancárias, esta indenização poderá ser fixada em valores muito maiores. 

Como saber se tenho direito a indenização por vazamento de dados

Encontramos na internet alguns sites que disponibilizam ferramentas que identificam se o titular teve seus dados vazados na internet ou na Deep Web. Uma delas é o site “Have I Been Pwned?“

Se você usa o gerenciador de senhas do Google também é possível fazer um check-up de suas senhas em uma das ferramentas disponibilizadas pelo Google. Dessa forma, é possível fazer a troca para não correr o risco de ter a conta invadida. 

De posse dessa informação sobre o vazamento, o titular de dados que pleitear uma indenização deverá provar que em razão do vazamento de dados identificado foi experimentado o prejuízo que pretende ver reparado.

A construção deste contexto probatório pode ser bastante complexa, por isso recomendamos que o titular de dados valha-se de advogados especializados para uma consulta prévia a respeito do direito de ser indenizado e a correta preparação deste tipo de ação.

Quais sanções estão previstas na LGPD?

A Lei Geral de Proteção de Dados trouxe em seu texto as sanções administrativas que a organização que desrespeitá-la pode enfrentar. São elas: 

I – Advertência, com indicação de prazo para adoção de medidas corretivas;

II – multa simples

III – multa diária, 

IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;

V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

VI – eliminação dos dados pessoais a que se refere a infração;

Essas penalidades administrativas não excluem, penalidades advindas de condenações judiciais relativas a danos patrimoniais ou extrapatrimoniais experimentados pelos titulares de dados que comprovadamente sofreram danos em razão de um incidente com seus dados pessoais.

Seja na esfera administrativa, seja na esfera judicial, uma boa defesa pode evitar multas pesadas ou o prejuízo da imagem da sua empresa. Nosso time está preparado para atuar em processos envolvendo incidentes com dados pessoais. Consulte-nos.

 

Advertência

A aplicação das sanções administrativas previstas na Lei Geral de Proteção de Dados está regulamentada pela Resolução nº 04 do Conselho Diretor da Autoridade Nacional de Proteção de Dados, que assim dispõe sobre a aplicação de Advertências:

Art. 9º A ANPD poderá aplicar a sanção de advertência quando:

I – a infração for leve ou média e não caracterizar reincidência específica; ou

II – houver necessidade de imposição de medidas corretivas.

Para entendimento das hipóteses em que as advertências poderão ser aplicadas, é necessário entendermos, então, o que é uma infração leve e o que é uma infração média.

Segundo a Resolução nº 04 do Conselho Diretor da Autoridade Nacional de Proteção de Dados, a infração será considerada leve quando não verificada nenhuma das situações que a configurem como infração média ou grave.

Já a infração considerada média será aquela em que os fatos ocorridos puderem afetar significativamente interesses e direitos fundamentais dos titulares de dados pessoais.

Serão consideradas situações assim definidas, quando a atividade de tratamento puder impedir ou limitar, de maneira significativa, o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares.

Dentre estas situações estão discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou uso indevido de identidade do titular de dados. 

A necessidade de imposição de medidas corretivas também é mencionada para as hipóteses de aplicação da penalidade advertência, porque a ANPD tem entre seus principais objetivos a natureza pedagógica de sua atuação.

Isso significa que a imposição de uma advertência com a imposição de uma medida corretiva é uma oportunidade que a autarquia dá aos infratores para que não sejam penalizados de forma mais grave sem antes terem a oportunidade de melhorarem seus processos.

Mas isso não significa que, se aplicada a advertência com a imposição de uma medida corretiva, se não adotada essa medida corretiva, a organização não possa sofrer penalidades mais graves, como multas ou bloqueio das atividades de tratamento de dados.

Multa simples (de até 2% do faturamento da empresa)

A ANPD aplicará a sanção de multa simples contra os infratores da Lei Geral de Proteção de Dados quando:

I – o infrator não tenha atendido as medidas preventivas ou corretivas a ele impostas, dentro dos prazos estabelecidos, quando aplicável;

II – a infração for classificada como grave; ou

III – pela natureza da infração, da atividade de tratamento ou dos dados pessoais, e pelas circunstâncias do caso concreto, não for adequado aplicar outra sanção.

A aplicação das multas pela ANPD se assemelha bastante à definição de uma pena para o cometimento de crimes. Primeiro é fixado um valor-base de multa, calculado com base no faturamento do grupo econômico.

Em seguida são verificadas e aplicadas situações atenuantes ou agravantes, conforme dispostas na Resolução nº 04 do Conselho Diretor da Autoridade Nacional de Proteção de Dados, até que se chegue ao valor final da penalização monetária.

Multa diária 

Segundo o art. 16 da Resolução nº 04 do Conselho Diretor da Autoridade Nacional de Proteção de Dados, a ANPD aplicará a sanção de multa diária quando necessária para assegurar o cumprimento, em prazo certo, de uma outra sanção aplicada pela ANPD.

O valor da multa diária será aplicado de forma acumulada com a multa simples, considerando o tempo entre a incidência da multa e o cumprimento da obrigação e terá o limite total de R$ 50.000.000,00 (cinquenta milhões de reais) por infração.

Na aplicação das multas diárias, serão considerados o grau do dano causado ao titular e a condução do processo de autuação pela organização penalizada.

A aplicação de uma multa diária poderá ocorrer quando o infrator após notificação do cometimento de irregularidades, deixar de saná-las no prazo assinalado

Poderá ocorrer quando o infrator praticar obstrução à atividade de fiscalização, desde que a aplicação da multa diária seja necessária para desobstruí-la ou praticar infração permanente não cessada até a decisão de aplicação de uma outra sanção não pecuniária.

A multa diária incidirá a partir do primeiro dia útil de atraso no cumprimento da sanção estabelecida pela ANPD, após a ciência oficial da decisão que a estipulou ou do dia útil seguinte ao da ciência oficial acerca da intimação.

Publicização ou Divulgação da infração (após confirmada)

A publicização ou divulgação da infração, está regulada no art. 20 da Resolução nº 04 do Conselho Diretor da Autoridade Nacional de Proteção de Dados que prevê que a ANPD poderá aplicá-la mediante a consideração da relevância e do interesse público da matéria.

A sanção de publicização consiste na divulgação da infração pelo próprio infrator, após devidamente apurada e confirmada a sua ocorrência.

No cumprimento da penalidade de publicização, a ANPD deverá indicar ao infrator penalizado o teor, o meio, a duração e o prazo para o seu cumprimento.

A ANPD prevê ainda que os ônus relacionados à publicização da infração serão suportados exclusivamente pelo infrator.

Por fim, é importante esclarecer que a sanção de publicização da infração não se confunde com a publicação de decisão de aplicação de sanção administrativa pela ANPD no Diário Oficial da União, para fins de atendimento ao princípio da publicidade administrativa.

A sanção de publicização pode trazer graves prejuízos à marca da organização, e, consequentemente para sua imagem e reputação, por isso, é sempre recomendável que ao lidar com esta possibilidade a organização esteja representada por advogados especializados.

Bloqueio de acesso aos dados ou Suspensão do acesso ao banco de dados

A sanção de bloqueio dos dados pessoais consiste na suspensão temporária de qualquer operação de tratamento com os dados pessoais a que se refere a infração, mediante a sua guarda, até a regularização da conduta pelo infrator.

Segundo a Resolução nº 04 do CDAND  o infrator deverá, assim que intimado da sanção de aplicação de bloqueio de acesso aos dados, comunicar imediatamente o bloqueio dos dados aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados.

Isso para que esses agentes de tratamento (operadores e co-controladores) repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional de atendimento.

Para que tenha o acesso aos dados desbloqueado e volte a realizar os tratamentos de dados, o infrator deverá comprovar junto à ANPD a regularização de sua conduta.

Este tipo de infração é bastante grave e pode impedir inclusive o funcionamento das atividades operacionais da organização, causando prejuízos financeiros irreparáveis.

Por tanto, a defesa da organização por advogados especializados é totalmente indispensável em situações como esta.

Eliminação dos dados que constam na infração

A sanção de eliminação dos dados pessoais consiste na exclusão de dados ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.

O infrator que for penalizado com esta sanção deverá, assim que intimado da sanção de que trata o caput, comunicar imediatamente a eliminação dos dados aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados, para que repitam idêntico procedimento.

Ainda mais grave que o bloqueio de acesso aos dados, este tipo de infração certamente compromete as atividades operacionais da organização, causando prejuízos financeiros irreparáveis.

Por tanto, a defesa da organização por advogados especializados é totalmente indispensável em situações como esta.

Proibição total ou parcial das atividades de tratamento de dados

A sanção de proibição do exercício de atividades relacionadas a tratamento de dados pessoais consiste no impedimento parcial ou total das operações de tratamento de dados pessoais, e poderá ser aplicada nos casos em que:

I – houver reincidência em infração punida com suspensão parcial do funcionamento do banco de dados ou suspensão do exercício da atividade de tratamento dos dados pessoais;

II – ocorrer tratamento de dados pessoais com fins ilícitos, ou sem amparo em hipótese legal; ou

III – o infrator perder ou não atender às condições técnicas e operacionais para manter o adequado tratamento de dados pessoais.

Não restam dúvidas de que esta é a pior das sanções que podem ser aplicadas pela a ANPD contra o agente de tratamento que desrespeitar a LGPD. 

Este tipo de sanção representa praticamente o encerramento das atividades da organização, considerando que, seja qual for o nicho de atividade, o tratamento de dados é essencial para a operacionalização de qualquer atividade pelas organizações.

Certamente situações como essas poderão sair da esfera administrativa e ter a sua proporcionalidade discutida na esfera judicial, mas certo é que nenhuma organização deve correr o risco de ser penalizada desta forma, pois pode não haver tempo hábil para a reversão judicial da situação.

Quais outras punições podem ocorrer?

Além da reparação civil por danos morais causados ao titular por uma violação à LGPD e das penalidades administrativas aqui tratadas, é certo que punições por violações à LGPD podem ocorrer ainda na esfera criminal.

Apesar de a LGPD nada ter mencionado a respeito da responsabilidade criminal em razão de incidentes de segurança, a interpretação da norma jurídica permite chegar à conclusão de que sim, é crime vazar dados pessoais.

Isto porque, o artigo 82 do Código Civil Brasileiro, conceitua bem móvel como “os bens passíveis de movimento próprio, ou de remoção por força alheia, sem alteração da substância ou da destinação econômico-social”.

Uma vez conceituados os dados pessoais como bens móveis, podemos aplicar às hipóteses de vazamentos de dados o tipo penal contido no artigo 155 do Código Penal que disciplina o crime de furto, a saber:

“Art. 155 – Subtrair, para si ou para outrem, coisa alheia móvel:

Pena – reclusão, de um a quatro anos, e multa.”

Dentro deste tipo penal, encontramos ainda situações atenuantes e agravantes, que incidirão de acordo com os fatos que permearam o vazamento de dados para agravar ou diminuir eventual pena aplicada contra o autor do vazamento de dados.

Não é demais lembrar que além deste tipo penal, ainda podemos encontrar dentro do Código Penal uma tipificação de crime recente, que surgiu após a situação de exibição de fotos íntimas da atriz Carolina Dieckmann.

Após o ocorrido, foi proposta a alteração do Código Penal para tornar crime as invasões a dispositivos móveis privados, tendo sido aprovada a Lei 12.737/2012, também denominada Lei Carolina Dieckmann, que acresce ao Código Penal o seguinte crime:

“Art. 154-A. Invadir dispositivo informático de uso alheio, conectado ou não à rede de computadores, com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do usuário do dispositivo ou de instalar vulnerabilidades para obter vantagem ilícita:

Pena – reclusão, de 1 (um) a 4 (quatro) anos, e multa. (Redação dada pela Lei nº 14.155, de 2021)

  • 1º Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput.

Portanto, apesar de não haver no ordenamento jurídico um artigo específico sobre  o crime de vazamento de dados pessoais, é certo que, a penalização criminal por estas ações ilícitas é amparada pela lei.

Deste modo, além das penalidades administrativas e cíveis previstas na LGPD, o autor de um vazamento de dados pode responder ainda pelos atos praticados na esfera criminal com penas que podem chegar a até 4 anos de prisão.

O mesmo ocorre para quem praticar o uso indevido de dados pessoais de um dispositivo móvel alheio, portanto, vale a recomendação de contratação de assessoria jurídica especializada para cuidar da LGPD na sua empresa.

Facebook
Twitter
LinkedIn

Latest Post

Abrir bate-papo
Olá 👋
Podemos ajudá-lo?