Por: Rodrigo Pinheiro Barbosa, sócio do Nankran e Mourão Sociedade de Advogados – Mestre em Direito Empresarial – MBA em Direito Civil e Processo Civil
Em janeiro deste ano, o Brasil vivenciou um episódio até então desconhecido no País: o vazamento de dados pessoais de 223 milhões de pessoas.
A falha foi descoberta pela empresa especializada em segurança digital da Startup, Psafe, que denunciou vazamento de número de CPFs, dados cadastrais e informações econômicas, fiscais, previdenciárias, perfis em redes sociais, score de crédito e fotografia pessoal.
Dentro deste contexto, é preciso relembrar que desde setembro do ano passado o Brasil possui em vigor uma Lei Geral de Proteção de Dados Pessoais, a LGPD.
Ainda que apenas parte dela esteja em vigência (a parte de sanções administrativa previstas nos arts. 52, 53 e 54 entrará em vigor em 1º de agosto de 2021), pode-se dizer que a maioria dos seus dispositivos possuem aplicabilidade no caso concreto e podem ser utilizados para coibir tal cenário.
Nessa linha de raciocínio, o art. 5º, inciso I, por exemplo, define dados pessoais como sendo a informação relacionada a pessoa natural identificada ou identificável.
O inciso II, do mesmo artigo, ainda classifica o dado pessoal sensível como sendo o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natura.
Isto significa que, a partir da leitura desses artigos, é possível realizar a subsunção do fato ocorrido – vazamento de informações pessoais – à aplicação da norma.
Em outras palavras, identificados que os dados vazados são de fato dados pessoais, à vista do artigo 5º, incisos I e II, poderá a LGPD ser utilizada para amparar ações de responsabilidade civil ajuizadas para reparar eventuais danos decorrentes do vazamento. Essa, a propósito, é a previsão contida no art. 42 que trata sobre a responsabilidade civil nesses casos.
Em consequência a essa possibilidade, para a referida ação, será necessário identificar o “controlador”, isto é, a pessoa responsável pelo tratamento de dados que permitiu que ocorresse o vazamento. Devidamente identificado o controlador, poderá o titular de dados reivindicar judicialmente dele uma indenização reparatória.
Aqui surge, talvez, uma consideração importante a ser observada: considerando que o vazamento abarcou milhões de dados pessoais, de modo a evidenciar um dano coletivo propriamente dito, a reparação poderá também se dar pela via de Ação Civil Pública, conforme permite o art. 42, §3º, da Lei.
Isto significa que poderá o Ministério Público, por exemplo, reivindicar do controlador medidas a serem adotas e uma indenização a ser paga para toda a coletividade afetada.
É preciso relembrar, neste caso, que não havendo ajuizamento de ação dessa natureza, poderá a parte afetada, à vista da Lei 7.347/85 que trata sobre as regras da Ação Civil Pública, ajuizar ação individual sem necessariamente depender do Ministério Público para reivindicar uma indenização.
Dessa forma, conclui-se que, embora a LGPD tenha deixado para agosto de 2021 a entrada em vigor das sanções a serem aplicadas em âmbito administrativo, é perfeitamente possível que o judiciário profira decisões quando ocorrer vazamento de dados, na medida em que boa parte dos dispositivos da Lei já estão em vigor e podem ser utilizados para fundamentar uma sentença.
Referência
Disponível em https://www.tecmundo.com.br/software/210168-tudo-vazamento-dados-223-milhoes-de-brasileiros.htm . Acesso em 01 mar. de 2021.