Violação de dados

Home office: O que fazer em caso de violação de dados pessoais?

Confira neste artigo as principais orientações técnicas e jurídicas ao titular dos dados em caso de violação de dados pessoais.

Autoras: Andreza Sobreira e Carolina Kadix
Publicação original: ANADD - Ass. Nac. dos Advogados do Direito Digital

Com o advento da Lei nº 13.709/18, Lei Geral de Proteção de Dados Pessoais (LGPD), os dados pessoais de pessoas naturais passaram a ter uma maior proteção. Apesar desses direitos já virem contemplados em alguns diplomas legais, tais como na Constituição Federal, no Código de Defesa do Consumidor, no Código Civil, Lei de Acesso à Informação e no próprio Marco Civil da Internet, os dados pessoais agora contam com a proteção da LGPD, legislação especial.

A Lei Geral de Proteção de Dados Pessoais dispõe em seu capítulo III, art. 17 e seguintes, dos direitos dos titulares, contudo, para exercer seus direitos a Lei não trata, limitando-se apenas em dizer que “O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição” (art. 18, caput).

Por seu turno, o §1º assegura ao titular o direito de peticionar perante a Autoridade Nacional de Proteção de Dados (ANPD) e o §8º prevê o exercício desses direitos junto aos organismos de Defesa do Consumidor.

A percepção do que diz a LGPD em relação ao que vem acontecendo, porém, é diferente. Notadamente sob o viés jurídico, é sabido que a via administrativa não exclui o exercício dos direitos na via judicial. Ainda há que se observar, que as multas e sanções em tese estariam suspensas até Agosto de 2021, no entanto, temos observado que já tramita no Poder Judiciário ações envolvendo a LGPD e multas significativas sendo aplicadas pelas Autoridades.

A Autoridade Nacional de Proteção de Dados, ANPD tem trabalhado brilhantemente em alguns pontos em que a lei é omissa, tem realizado consultas públicas, feito importantes parcerias, eventos, e acima de tudo, tem se preocupado em conscientizar a sociedade sobre a proteção e privacidade dos dados pessoais. Certamente, ainda haverá novas regulamentações sobre os pontos omissos.

Ocorre que tem-se observado uma crescente demanda perante o Poder Judiciário e Organismos de Defesa do Consumidor para exercício regular dos direitos dos titulares, que assim como as empresas, também devem ter orientações sobre direitos, deveres e obrigações sobre os dados pessoais.

Quem devo procurar para exercer os meus direitos como titular de dados?
Pela leitura da Lei, o titular deve procurar o Data Protection Officer/Encarregado dos Dados para exercer seus direitos, ou seja, caso queira saber se a empresa possui algum dado sobre aquele titular, acesso aos dados, correção dos dados incompletos, inexatos ou desatualizados, anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei, portabilidade, eliminação(exceto hipóteses do art. 16), revogação do consentimento etc.

Ou seja,  para exercer esses direitos, deve ser feito um requerimento expresso do titular, ou de representante legalmente constituído, a agente de tratamento.

De outra sorte, quando o titular é comunicado de que seus dados foram vazados e/ou hackeados (incidentes) também teria que procurar o encarregado dos dados: o fato do incidente automaticamente lhes gera direito à indenização, porém para que o titular busque o Poder Judiciário ou as Autoridades exigindo indenização é razoável que se demonstre o dano sofrido.

Por analogia, quando se busca o direito à indenização por dano moral no Código de Defesa do Consumidor, mesmo com a inversão do ônus da prova, demonstra-se por exemplo uma inscrição indevida junto aos órgãos de proteção ao crédito, e mais, é exigido para tanto, que haja a comprovação de que não havia antes daquela inscrição qualquer outra inscrição naquele CPF.

Nesse sentido, acertadamente o nobre Magistrado negou o direito a indenização por danos morais no valor de R$ 10.000,00 (dez mil reais) à consumidora nos autos do Processo nº 1025226-41.2020.8.26.0405, que ajuizou ação em decorrência da ciência de que seus dados haviam sido vazados pela empresa que presta serviços de eletricidade na cidade de São Paulo, sem, contudo, demonstrar o dano sofrido, restringindo-se apenas e tão somente em alegações.

Contudo, há que se ressaltar que para que haja a responsabilidade civil é necessário conduta (ação ou omissão), dano e nexo causalidade, mas em casos de incidentes qual seria a probabilidade do titular do dado pessoal demonstrar esse liame? Qual seria o critério adotado para gerar o direito a indenização?

Fiz uma reclamação ao Encarregado de Dados (DPO), mas não fui atendido. O que fazer?

Uma vez não atendido, o titular de dados pode apresentar reclamações por meio de petição à ANPD, com a comprovação da reclamação não solucionada (art. 55-J, V).

Contudo, apenas devem ser encaminhadas à ANPD reclamações que já tenham sido formalmente apresentadas ao controlador de dados e que não tenham sido respondidas, ou cuja resposta, no entendimento do titular, não esteja em conformidade com a LGPD.  Na ocasião, devem ser enviados à ANPD os comprovantes do(s) contato(s) estabelecido(s).

Para o envio de petições que se enquadrem na situação mencionada acima, deve ser utilizado o Peticionamento Eletrônico, seguindo as informações disponíveis em www.gov.br/secretariageral/pt-br/sei-peticionamento-eletronico.

Os organismos de defesa do consumidor também podem ser acionados pelo titular de dados, conforme previsão da própria LGPD (art. 18, § 8º).

Suspeita de fraude e violação de dados

Havendo indícios de fraude no tratamento dos dados do titular, orienta-se que seja formalizada denúncia, por meio de boletim de ocorrência, perante a autoridade policial competente. No que se refere à ANPD, conforme suas atribuições legais, o órgão não realiza especificamente investigação de crimes, mas de infrações administrativas, podendo aplicar aos infratores as sanções previstas na LGPD, a partir de 1º de agosto de 2021.

Medidas técnicas e jurídicas para se proteger diante de mega vazamentos

Dados da plataforma Consumidor.gov.br apontam que de janeiro a julho deste ano o número de consumidores que tiveram dados pessoais ou financeiros consultados, coletados, publicados ou repassados sem autorização mais que dobrou em relação ao mesmo período do ano passado. Foram 47.413 reclamações em 2021, enquanto em 2020 foram 21.310. O número do primeiro semestre deste ano, inclusive, já supera o total de registros em 2020, que foi de 44.750.

Com o objetivo de auxiliar na identificação de tentativas de golpes virtuais, principalmente com a utilização indevida de dados pessoais dos consumidores, o Ministério da Justiça e Segurança Pública, lançou no último dia 11 de agosto, a campanha educativa online “Proteja seus dados. Não compartilhe.” para informar consumidor sobre proteção de dados.

É recomendável não responder a e-mails que declarem que seus dados foram expostos ou utilizar sites suspeitos para realizar essa verificação. Esses mecanismos geralmente requerem que o cidadão compartilhe alguns de seus dados pessoais para realizar a suposta verificação e isso pode aumentar a sua exposição.

Reforça-se a importância de trocar as senhas e demais informações de acesso aos serviços e às plataformas que foram afetados por vazamento de dados. Também é recomendável que se utilize autenticação de dois fatores sempre que disponível, além de seguir monitorando a atividade nas contas e nos serviços potencialmente relacionados aos dados vazados. Se verificar que seus dados foram utilizados de maneira fraudulenta – por exemplo, para abrir uma conta ou para adquirir algum bem –, o cidadão deve buscar informações junto aos provedores do serviço, além de reportar a ocorrência à autoridade policial, para viabilizar a apuração e resguardar-se.

  • Sempre ative o 2FA (segundo fator de autenticação) nos apps e serviços caso a função esteja disponível e sempre que possível utilize aplicativos de terceiros tais como Microsoft Authenticator, google Authenticator, dentre outros;
  • Não clique em em links enviados que sejam desconhecidos, de bancos, pesquisas, redes sociais etc;
  • Não realize transferências, pix, pagamento de boletos e afins após contatos online de quaisquer naturezas;
  • Mantenha seus equipamentos eletrônicos atualizados e com antivírus;
  • Acompanhe nos meios digitais como anda seu score, consulte seu CPF sempre que possível, solicite certidões junto aos tribunais etc.; há muito serviços digitais que são gratuitos e qualquer cidadão consegue acessá-los;
  • Faça backup regularmente dos seus dispositivos;
  • Evite salvar senhas de qualquer tipo em seus dispositivos móveis;
  • Evite ativar suas contas de e-mail no celular, pois os cibercriminosos têm se utilizado deste recurso para a recuperação de senhas;
  • Em caso de suspeita de golpes ou acessos indevidos, informar prontamente aos bancos que tenha conta, listas de contatos e solicitar novo cartão de crédito com numeração diversa da exposta.
Co-autoria: Andreza Sobreira - Linkedin: https://www.linkedin.com/in/andreza-sobreira-uema-oliveira-0653bb127 

Conteúdo protegido pela Lei 9.610/98, que regula os direitos autorais tanto artísticos quanto acadêmicos. A violação dos direitos aurorais é CRIME previsto no artigo 184 do Código Penal. Você não pode copiar nem reproduzir partes sem autorização expressa do autor.  No entanto, você pode compartilhar o link livremente e fazer menções, desde que citando a fonte.