O vazamento de dados é um problema cada vez mais recorrente num contexto cada vez mais digitalizado. Na mesma medida, legislações de proteção de dados e privacidade buscam reduzir os riscos e orientar os negócios para uma internet mais segura. Porém, os riscos sempre irão existir. Quando informações confidenciais são invadidas, a posse delas pode desencadear danos aos titulares das informações, como golpes ou outros potenciais perigos financeiros.
Por outro lado, o fato de informações sensíveis estarem nas mãos de criminosos e poderem, ser possivelmente usadas contra eles, traz uma sensação de desconfiança para os titulares. Mas será que basta para ter uma indenização de danos morais?
As empresas têm que pagar indenizações por danos morais?
Os ministros da 2ª turma do Supremo Tribunal de Justiça (STJ), determinaram que o vazamento de dados comuns, apesar de ser uma falha indesejável, não tem a capacidade, somente pela sua ocorrência, de gerar dano moral indenizável.
Em outras palavras, na hipótese de que uma pessoa foi afetada diretamente por consequências dos vazamentos de dados, o titular dos dados terá que comprovar o seu prejuízo. Ou seja, a simples existência de um incidente de segurança, que afeta os usuários digitais, apesar de ser danosa e ofensiva à sua privacidade, não é suficiente.
O que se encaixa como dados pessoais comuns?
Para simplificar, entenda como dado comum, aquelas informações que não se encaixam como sensíveis. Os comuns são informações relacionadas com pessoais naturais que possam identificar. Alguns exemplos são: nome completo, RG, CPF, data de nascimento, endereço, entre outros.
Agora, por sua vez, os dados sensíveis, como o próprio nome indica, variam conforme os indivíduos e conferem maior proteção por parte da Lei Geral de Proteção de Dados (LGPD), a legislação vigente no Brasil.
Entre eles, estão:
- Informações relativas à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referente à saúde ou à vida sexual, dado genético ou biometria quando vinculado a uma pessoa natural.
A definição é encontrada no art. 5º, II da LGPD. Até o momento, dados bancários não estão encaixados como dados sensíveis.
Empresas podem ser punidas em decorrência de vazamentos de dados?
Sim. Na LGPD estão previstas sanções administrativas. Em fevereiro de 2023, tivemos a publicação do regulamento de aplicação de sanções administrativas. Ou seja, o regulamento da Dosimetria. Para contextualizar: como constatado na publicação oficial no site do gov., presente a Dosimetria é percebida como o método orientador da escolha da sanção mais apropriada para cada caso concreto em que houver violação à LGPD e que permite calcular, quando cabível, o valor da multa aplicável ao infrator.
Então, é a norma que estabelece as circunstâncias, condições e o método de aplicação, considerando o dano, prejuízo causado aos titulares de dados e sua escala. O regulamento tem em vista manter proporcional a sanção aplicada com a gravidade dos incidentes.
As sanções que podem ser aplicadas já estão previstas na Lei Geral de Proteção de Dados. São elas:
- Advertência;
- Multa Simples, de até 2% (dois por cento) do faturamento da empresa, limitada no total, a R$ 50.000.000,00 (cinquenta milhões de reais), por infração;
- Multa diária, com limite total de R$ 50.000.000,00 (cinquenta milhões de reais);
- Publicização da infração;
- Bloqueio dos dados pessoais;
- Eliminação dos dados pessoais;
- Suspensão parcial do funcionamento do banco de dados por no máximo de 6 (seis) meses, prorrogável por igual período, até que se regularize a situação;
- Suspensão do exercício da atividade de tratamento dos dados pessoais por no máximo de 6 (seis) meses, prorrogável por igual período;
- Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.