LGPD: o que fazer em caso de vazamento de dados?

Em janeiro de 2021, uma notícia preocupou os brasileiros: dados pessoais de 223 milhões de cidadãos foram vazados e colocados à disposição na internet. O megavazamento inclui informações como nome, sexo, data de nascimento e documentos como RG e CPF. Embora as autoridades ainda não tenham descoberto a origem do vazamento de dados, os cidadãos já contam com uma legislação específica para se protegerem e buscarem resguardar o direito à privacidade.

A Lei Geral de Proteção de Dados (LGPD, Lei n.º 13.709/2018) entrou em vigor em setembro de 2020. A legislação foi criada para regulamentar a coleta, a posse, o uso e a titularidade dos dados pessoais. Também define as responsabilidades e punições em caso de mau uso ou infrações envolvendo essas informações.

Segundo a LGPD, são três os atores envolvidos no tratamento de dados pessoais. O primeiro é o titular, o indivíduo detentor das informações privadas. Pela lei, ele deve ter assegurado o controle dos seus dados pessoais, o conhecimento da finalidade e das metodologias de uso, o poder de autorizar e o direito de retirar os dados da posse de terceiros.

Em seguida temos o controlador: “toda pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”. E o operador: “toda pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”.

Para os advogados, é importante conhecer bem a lei, de forma a prestar a melhor orientação aos seus clientes. A LGPD é uma lei rigorosa quanto às infrações, como uso indevido e vazamento de dados. Assim, uma vez que ela já está em vigor, é possível que os cidadãos que se sintam afetados busquem reparação na Justiça.


advogada usando sistema de peticionamento online

O que diz a LGPD sobre o vazamento de dados?

O Artigo 7º da LGPD é bem claro em relação aos requisitos para o tratamento de dados pessoais de terceiros:

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

I – mediante o fornecimento de consentimento pelo titular;

O consentimento está descrito no Artigo 5º, XII, definido por: “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”. Ou seja, a lei não proíbe que operadores e controladores utilizem dados pessoais de terceiros, desde que haja consentimento por parte do titular e que se cumpra uma finalidade específica.

Essa finalidade está definida mais à frente, no Artigo 6º, I: “realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades”.

A existência de um vazamento de dados implica em uma falha no tratamento, seja este vazamento proposital por parte do controlador ou causado por terceiros, como hackers. Isso está previsto no Artigo 46 da LGPD:

Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Assim, o Artigo 42 deixa claro de quem é a responsabilidade por ressarcir os titulares que porventura se sentirem lesados por vazamento de dados:

Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

O que as empresas devem fazer em caso de vazamentos de dados?

As primeiras medidas a serem tomadas são as preventivas. Investir em segurança e criptografia de banco de dados e em plataformas que entreguem a transparência e facilitem a fiscalização por parte dos titulares. E, claro, o estrito cumprimento à LGPD com a adoção da figura do encarregado de dados.

Em caso de ocorrência de vazamento de dados, a LGPD dispõe um protocolo a ser seguido pelo controlador:

Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:

I – a descrição da natureza dos dados pessoais afetados;

II – as informações sobre os titulares envolvidos;

III – a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;

IV – os riscos relacionados ao incidente;

V – os motivos da demora, no caso de a comunicação não ter sido imediata;

VI – as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

Seguir este protocolo é fundamental para evitar penalidades. As multas previstas pela LGPD podem chegar a até 2% do faturamento da empresa, limitada a R$ 50 milhões. Todavia, embora constituída a partir da entrada em vigor, a Agência Nacional de Proteção de Dados (ANPD) só poderá aplicar sanções financeiras a partir de agosto de 2021.

E o que o cidadão pode fazer para se proteger?

Como vimos anteriormente, a LGPD ampara os cidadãos que se sentirem lesados em caso de vazamento de dados pessoais. Assim, desde já é perfeitamente possível exercer ações de reparação em juízo, sejam elas individuais ou coletivas. Todavia, é importante ressaltar três pontos que podem livrar o controlador da suposta infração:

Art. 43. Os agentes de tratamento só não serão responsabilizados quando provarem:

I – que não realizaram o tratamento de dados pessoais que lhes é atribuído;

II – que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou

III – que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.

Concluindo, uma estratégia de reparação de danos por vazamento de dados passa por: a) apontar inequivocamente a origem do vazamento; b) provar que houve, de fato, um vazamento; c) apontar que as medidas de segurança por parte do operador foram insuficientes ou negligentes; d) provar que houve dano ao titular e que este não teve culpa na infração.


advogada usando sistema de peticionamento online

Artigos relacionados