No dia 6 de setembro, o Juiz da 1ª Vara Cível Federal de São Paulo sentenciou o processo ajuizado pelo Instituto Sigilo contra a União Federal, a Caixa Econômica Federal, o Dataprev e a Autoridade Nacional de Proteção de Dados (ANPD) envolvendo o incidente de segurança da informação ocorrido em outubro de 2022, que teria levado ao vazamento de dados pessoais de cerca de 4 milhões de pessoas, beneficiárias do programa de assistência social Auxílio Brasil.
Na ação, o Instituto afirma que o vazamento teria afetado dados como endereço completo, número de celular, data de nascimento, valor do benefício recebido, números do NIS e do CadSUS, que estariam sendo utilizados por correspondentes bancários para oferta de produtos financeiros.
A decisão é emblemática e polêmica: isso porque determinou o pagamento de 40 milhões de reais por danos morais coletivos a serem revertidos ao Fundo de Defesa de Direitos Difusos e fixou indenização de 15 mil reais para cada um dos titulares afetados (se forem consideradas 4 milhões de pessoas, seria algo em torno de 60 bilhões de reais).
Ainda, determinou o fornecimento de registros eletrônicos por meio dos quais os dados foram divulgados; o livre acesso aos titulares dos registros de seus dados, que deverão ser fornecidos de forma clara, adequada, completa e ostensiva, observados os segredos comercial e industrial; que os réus desenvolvam mecanismos de segurança que impeçam o acesso e exfiltração de dados e revisem os sistemas de segurança de armazenamento de dados; a comunicação de todos os titulares afetados por carta; a ampla divulgação do ocorrido nas redes oficiais dos réus; e a elaboração de relatórios de impacto à proteção de dados pessoais.
O tema proteção de dados pessoais no Judiciário brasileiro ainda está em construção e teremos uma longa jornada até um cenário de consolidação da jurisprudência. Porém, embora seja natural uma certa imprecisão nesse momento, alguns pontos da decisão chamam a atenção.
O primeiro e mais delicado é o fato de se tratar de uma condenação genérica, com valores milionários e desproporcionais, sem o apontamento de critérios objetivos utilizados para calculá-los. Isso pode prejudicar o contraditório no processo judicial.
O segundo ponto é que ao deixar de enfrentar a existência de prova do prejuízo para justificar o dever de indenizar, a decisão parece ir de encontro aos precedentes sobre o tema, que afastam a presunção de dano em caso de incidentes de segurança da informação com dados pessoais. A Segunda Turma do Superior Tribunal de Justiça decidiu que o simples vazamento de dados pessoais não gera dever de indenizar, para tanto o titular de dados pessoais precisa comprovar os prejuízos que efetivamente sofreu.
O terceiro ponto reside no fato do Ministério Público Federal ter solicitado a produção de prova pericial para verificar a origem do vazamento de dados, porém a sentença afastou a necessidade de perícia e entendeu ser suficiente a prova documental produzida. Em um caso de tamanha complexidade, envolvendo agentes públicos com operações a nível nacional, parece razoável a realização de uma prova técnica mais profunda para apurar a origem do problema.
Ainda cabe recurso da sentença e é provável que seja reformada pela instância superior. Porém, é necessário considerar a potencial amplificação dos impactos negativos gerados por decisões proferidas no regime das Ações Coletivas sobre proteção de dados pessoais.
É fundamental que a Sociedade da Informação floresça dentro de determinados limites éticos e legais, e normas de proteção de dados pessoais são ferramentas fundamentais para nos apoiar nessa jornada. No entanto, ainda é necessário o amadurecimento das discussões nos Tribunais para garantir segurança jurídica sobre o tema.
*Renato Opice Blum, advogado e economista; professor da FAAP/INSPER/EPD/EBRADI/PUC-RS/StartSe; diretor da International Technology Law Association – ITECHLAW; conselheiro da EuroPrivacy e membro da Associação Europeia de Privacidade; juiz do IIC do Massachusetts Institute of Technology; presidente da Associação Brasileira de Proteção de Dados; mestre pela Florida Christian University
*Camilla Jimene é CEO e sócia do Opice Blum Advogados. Fundadora do projeto SER.A.CEO. É advogada e professora especializada em Direito Digital. Atuação nas áreas consultiva e contenciosa, em demandas envolvendo Proteção de Dados Pessoais, Segurança da Informação, Ataques Cibernéticos, Vazamento de Dados, Fraudes Digitais, Certificação Digital, Documento Eletrônico, Provas Eletrônicas, Violação de Software, Links Patrocinados, entre outros temas relacionados à Tecnologia da Informação
*Nina Ramalho Pinheiro é advogada do Contencioso Digital do Opice Blum Advogados
