Patrícia Corrêa Sanches

Presidente da Comissão Nacional de

Família e Tecnologia do IBDFAM

A Décima Segunda Turma do Juizado Especial Federal de São Paulo, em junho deste ano, manteve a condenação de primeiro grau[1], que condenou o INSS por vazamento de dados pessoais da parte autora. A mulher começou a receber inúmeros, diários, e reiterados telefonemas, SMS e mensagens de Whatsapp advindos de incontáveis entidades financeiras ofertando empréstimos, cartões de crédito e outros produtos – algumas instituições afirmavam serem correspondentes do INSS. Tal fato iniciou a partir do exato momento em que a autora requereu a pensão do INSS por morte do marido.

A decisão unânime e fundamentada na LGPD (Lei 13.709/2018) confirma que ocorreu o compartilhamento ilegal de dados, ressaltando que a legislação estabelece que os dados pessoais de pessoa natural contidos em bancos de dados devem ser protegidos, e somente podem ser utilizados quando cumprem propósitos legítimos, específicos e informados ao titular dos dados. A decisão ressalta, ainda, que é dever dos agentes de tratamento utilizarem medidas de segurança eficazes, aptas a impossibilitar o acesso de terceiros não autorizados.

Na hipótese, as informações sobre o benefício previdenciário requerido pela parte autora foram obtidas pelas instituições financeiras quase que instantaneamente, demonstrando a ocorrência de transferência irregular de dados do próprio sistema do INSS, o que por si só, já demonstra a falta de controle e segurança do banco de dados. Essa situação gera afronta direta à privacidade dos cidadãos e, em especial, à parte autora, que se encontrou, da noite para o dia, em meio à uma insuportável e constante profusão de contatos indesejados e descontrolados, retirando-lhe a paz e o sossego.

A decisão citou ainda, o art. 26, §1º da LGPD que proíbe o Poder Público de transferir dados pessoais de suas bases de dados às instituições privadas, e entendeu que o INSS causou dano moral à pensionista ao violar a legislação especial de proteção de dados e, portanto, fica obrigado a reparar, nos termos do art. 42 da mesma lei. A 12ª Turma Recursal fixou entendimento pela responsabilidade objetiva do ente público, aplicando, conjuntamente, o art. 37, §6º da Constituição Federal, sedimentando a tese de que a responsabilidade imposta no art. 42 da LGPD é objetiva.

A decisão proferida demonstra que o judiciário já vem sendo chamado em razão de descumprimento das determinações da Lei Geral de Proteção de Dados, fixando condenações decorrentes dos danos causados. A LGPD obriga a todos que desenvolvem atividades que lidam com dados pessoais, sejam de clientes, funcionários ou de terceiros, a criarem mecanismos de cumprimento das determinações legais e de segurança para evitarem atividades irregulares, como compartilhamento ou vazamento indevido de dados.

Importante ressaltar que as condenações podem advir, também, quando um titular de dados encontra obstáculos ao cumprimento de algum de seus direitos descritos na LGPD, como o direito à confirmação sobre o tratamento de seus dados, direito de saber quais informações se tem a seu respeito, de ter acesso a essas informações, que sejam informações atualizadas, ou que sejam apagadas, a exemplo de tantos outros direitos.

A repercussão de uma condenação por descumprimento da LGPD pode ser ainda mais intensa do que o valor monetário da reparação, uma vez que também atende a um viés reputacional, atingindo, principalmente, entidades privadas de médio e pequeno porte. Por essa razão, a advocacia e demais atividades liberais precisam estar atentas às sérias consequências do descumprimento da Lei Geral de Proteção de Dados pessoais.