LGPD só pra inglês ver?
Na coluna dessa semana, escrita em coautoria com a especialista em LGPD Mariana Scapin, iremos abordar um pouco sobre proteção de dados e responsabilidade civil no contexto de um julgado que utiliza a LGPD como base decisória.
Comecemos do começo: a Lei Geral de Proteção de Dados (LGPD), junto com o Marco Civil da Internet, representam importantes marcos regulatórios no Brasil, e trazem diretrizes razoavelmente claras sobre a forma como as organizações devem tratar dados pessoais. Tais normas também estabelecem um equilíbrio entre o uso tecnológico e a garantia dos direitos dos titulares.
Em um contexto no qual incidentes relacionados a dados pessoais são cada vez mais frequentes, compreender as implicações da LGPD é fundamental para a promoção de um ambiente digital seguro.
A proteção de dados pessoais está intimamente ligada ao direito à privacidade e à segurança da informação. A LGPD estipula que cabe aos agentes de tratamento garantir medidas eficazes para proteger os dados pessoais contra acessos não autorizados, vazamentos, perdas ou qualquer outra forma de tratamento inadequado.
No caso analisado, um banco foi responsabilizado por descontos indevidos realizados no benefício previdenciário de um consumidor, com base em um contrato que ele nunca celebrou. A decisão judicial ressaltou a violação ao sigilo dos dados pessoais do autor, o que configurou uma falha na prestação do serviço.
A ausência de mecanismos sólidos e eficazes de validação e segurança foi um ponto determinante para a condenação da instituição financeira, logo, parece que surge uma verdadeira responsabilidade da instituição pela segurança da informação que trata.
A segurança da informação, inclusive, é um importante elemento para a proteção de dados pessoais e um dos pilares fundamentais da LGPD. As instituições financeiras, como agentes de tratamento, possuem a obrigação de implementar medidas técnicas e administrativas que garantam a confidencialidade, integridade e disponibilidade (pilares da segurança da informação) dos dados que estão sob sua custódia.
No julgado analisado a falta de mecanismos adequados de verificação, como a ausência de assinatura digital, a geolocalização e o IP inconsistente, expõe uma deficiência grave na segurança da informação. Além disso, também se ressaltou que a biometria facial se tratou de mera fotografia do autor, que poderia ser facilmente obtida através da internet ou de redes sociais pelo fraudador – o que não serve para expressar a vontade do indivíduo.
Essa negligência, além de comprometer os dados pessoais e a segurança dos consumidores, também coloca em risco a reputação e a imagem da empresa no mercado.
A adoção de boas práticas, como a utilização de tecnologias modernas de criptografia, auditorias regulares e treinamentos para os colaboradores, é fundamental para mitigar riscos e prevenir incidentes de segurança. Vejamos as palavras do Desembargador, que estampa que a organização “(…) não pode prescindir de mecanismos transparentes e eficazes à comprovação de que o consumidor efetivamente participou da formação do negócio”.
Nessa linha, a LGPD é clara quando exige que os agentes de tratamento sejam responsabilizados por problemas em relação à proteção dos dados em todas as etapas do ciclo de vida da informação.
A responsabilidade civil é um dos pilares centrais para a efetivação de um programa de adequação à LGPD. De acordo com o artigo 42 da LGPD, o controlador ou operador de dados que, no exercício de suas atividades, causar dano patrimonial ou moral em razão da violação da legislação é obrigado a repará-lo. Note-se que tal responsabilidade é considerada objetiva, o que quer dizer que há responsabilidade de quem causou o dano independentemente da apuração de dolo ou culpa por parte do agente de tratamento.
O referido acórdão reforça esse entendimento quando determina que as instituições financeiras devem adotar medidas de segurança que mitiguem o risco de fraudes. A não comprovação de que o consumidor participou da formação do negócio jurídico, junto ao fato de terceiros terem acessado os dados pessoais do autor, culminou na condenação da ré. Resta claro que a simples existência de uma falha sistêmica é suficiente para configurar a responsabilidade do fornecedor.
O caso analisado demonstra a importância de um sistema eficaz de proteção de dados pessoais e evidencia os riscos enfrentados pelas organizações que negligenciam suas obrigações previstas na LGPD. A decisão judicial em tela ressalta não apenas o dever de indenizar, mas também a necessidade de as instituições financeiras e outros agentes de tratamento adotarem mecanismos de segurança mais rigorosos.
Por fim, a LGPD não é apenas uma lei de conformidade – é também um importante instrumento para a promoção de um ambiente mais justo, seguro e transparente no tratamento de dados pessoais. Seu cumprimento beneficia tanto os titulares dos dados quanto as empresas, que fortalecem sua credibilidade e reduzem os riscos de litígios e sanções. Então calando, ou pelo menos amainando alguns críticos da eficácia da LGPD, podemos dizer que a LGPD já não é mais algo só pra inglês ver.
Dados do processo interpretado já formatados para citação:
(TJSP; Apelação Cível 1005047-61.2024.8.26.0077; Relator (a): Ademir Benedito; Órgão Julgador: 21ª Câmara de Direito Privado; Foro de Birigui – 2ª Vara Cível; Data do Julgamento: 09/01/2025; Data de Registro: 09/01/2025)
Ementa do processo interpretado:
Ação declaratória c/c indenizatória – Contrato bancário – Empréstimo consignado – Pedido fundamentado na ausência de celebração do contrato – Repetição do indébito que, no caso, deve ser em dobro de acordo com o entendimento do EREsp 1.413.524/RS – Responsabilidade objetiva do requerido – Falha na prestação do serviço configurada – Dano moral – Caracterização – Dano moral configurado – Realização de indevidos descontos no benefício previdenciário da autora, verba de caráter alimentar – Indenização por dano moral – Montante fixado dentro dos critérios da razoabilidade e proporcionalidade – Recurso provido – Sentença reformada.