Responsabilidade e dever de indenizar também devem ser discutidos em vazamentos de dados

A preocupação com vazamentos de dados ganhou repercussão mundial com o recente escândalo envolvendo a Cambridge Analytica e o Facebook, que atingiu mais de 87 milhões de usuários. O que é certo é que a vida de qualquer pessoa está cada vez mais conectada e mais dependente da tecnologia e os dados pessoais nunca valeram tanto quanto agora.

A advogada Paula Melina Tudisco, do escritório Küster Machado Advogados Associados, explica que os aplicativos que controlam seus dados de saúde e doença, que controlam o que você come, bebe, armazenam informações sobre, literalmente, todos os passos que você dá enquanto pratica uma atividade física, qual tipo/quantidade/frequência de medicamento que você toma e outras informações sensíveis em casos de vazamentos.

Inúmeros sites possuem dados bancários, dados de consumo que traçam seu perfil na internet, dados de notícias que você lê, ideias e ideais que você esboça interesse online.

“Praticamente tudo que fazemos online gera algum tipo de dado que pode passar a valer muito dinheiro, ser vendido para empresas a fim de impulsionar seu mercado consumidor com base no perfil de cada um, fomentar a concorrência desleal, ser utilizado como meio de manobra da opinião pública, influenciar cenário político ou até ser roubado, fazendo com que os hackers, cobrem resgate pelos dados”, explica.

Sem lei, o dever é indenizar

O texto da nova Diretiva Europeia de Proteção de Dados que entrará em vigor dentro em breve, prevê uma maior obrigação das empresas envolvidas noticiarem o vazamento de dados. A advogada comenta que existe também um Projeto de Lei de Proteção de Dados Pessoais no Brasil, em tramitação desde 2016, mas que permaneceu parado durante o ano de 2017 e ainda demanda muita discussão. Em recente nota, o governo divulgou que estuda a criação de um órgão federal para proteção de dados pessoais na internet.

“A responsabilidade e o dever de indenizar também devem ser discutidos e enquanto não existir uma lei específica sobre o assunto, para cada incidente de vazamento é prudente que se analise caso a caso, com suas particularidades”, afirma Tudisco.

O caso Facebook

No caso específico do Facebook, ela detalha que, em meados de 2014 um aplicativo em forma de quiz psicológico coletou dados não só de quem acessou, respondeu às perguntas e autorizou essa coleta de dados, como também dos amigos do perfil destas pessoas que não haviam autorizado qualquer ação.

Em 2016, a empresa de análise de dados e propaganda política, Cambridge Analytica, comprou os dados coletados, de milhões de pessoas, por este “inocente” teste e acabou os utilizando para influenciar as escolhas dos eleitores nos Estados Unidos, que culminou na eleição de Donald Trump nos Estados Unidos. A empresa Cambridge Analytica era contratada para coordenar a campanha de Donald Trump e com estes dados em mãos, foi catalogado o perfil das pessoas e direcionado posts de forma personalizada — materiais pró Trump e contra Hillary Clinton.

Além do Facebook existem outros inúmeros casos em que já houve vazamento de dados pessoais, apenas para citar alguns exemplos, em 2017 correu a notícia do vazamento de dados de usuários de e-mail da Yahoo, todos os usuários tiveram suas contas violadas. A Uber sofreu vazamento de dados de mais de 27 milhões de usuários e 600 mil motoristas; a Bolsa de Valores Nasdaq já passou por situação similar. A Netshoes também teve os dados de quase dois milhões de clientes expostos na internet. Um dos mais recentes casos de vazamento de dados envolve um aplicativo utilizado por corredores para monitorar os percursos com base no GPS do celular.

“Por aqui a discussão sobre o assunto é recente, enquanto países da Europa e os Estados Unidos já contam com normativas desde meados da década de 70”, critica Tudisco.

O Brasil e a fraca legislação

O Código Civil e o Código de Defesa do Consumidor também possuem alguns que fazem menção à proteção de dados e à privacidade. O Marco Civil da Internet, em seu artigo 7º, incisos VII, VIII, IX e X trata sobre os dados pessoais e privacidade, estabelecendo padrões mínimos de segurança e sigilo a serem adotados pelos provedores de aplicação com relação aos registros, dados pessoais e comunicações privadas de seus usuários. Contudo, a especialista vê a legislação como genérica, apenas com diretrizes, princípios e garantias.

“O Brasil ainda não possui uma legislação moderna e equilibrada que trate da questão do vazamento de dados, que preveja alguma penalidade ou que direcione para o que deve ser feito diante de um incidente de vazamento, ninguém sabe ao certo como proceder, o que fazer, o que não fazer, como diminuir os efeitos”, avalia, com base no histórico recente.

O Ministério Público do Distrito Federal criou uma Comissão de Dados Pessoais. A comissão está responsável por sugerir diretrizes para uma política nacional de proteção de dados pessoais e privacidade, sugerir a adoção de cláusulas contratuais padrão e normas corporativas globais para fins de transferência internacional de dados, receber comunicações sobre ocorrências de incidentes de segurança, e sugerir, ao responsável pelo tratamento dos dados, a adoção de providências, por exemplo:

• a comunicação do fato aos envolvidos,
• ampla divulgação do fato em meios de comunicação,
• medidas a serem adotadas para reverter ou reduzir os efeitos.

“Estão investigando a possibilidade de farmácias venderem dados privados de seus clientes cadastrados em programas de fidelidade, para planos de saúde e empresas de avaliação de crédito. Isso pode fazer com que um plano de saúde cobre taxas mais caras de quem faz compras de um determinado medicamento ou uma empresa de créditos cobre juros mais altos de uma pessoa com doença grave, por julgar que sua capacidade de pagamento pode ser comprometida”, explica.

Mas como não existe uma legislação específica sobre o tema, o Ministério Público não pode obrigar a empresa a fazer isso, mas apenas recomendar.