A Lei Geral de Proteção de Dados (LGPD), sancionada em agosto de 2018, e cujas disposições entraram em vigor em momentos distintos (as sanções administrativas pela infringência dela, por exemplo, só começaram a ser aplicadas a partir de 1º de agosto de 2021), começa a produzir as primeiras decisões judiciais acerca do descumprimento, por parte das empresas, da efetiva proteção de dados de consumidores.
Em ação que tramitou pela 13ª Vara Cível de São Paulo, a Cyrela foi condenada a pagar R$ 10.000,00, a títulos de danos morais, a um consumidor que quem firmou contrato para aquisição de um imóvel e que, para elaboração do contrato, informou dados pessoais como nome completo, data de nascimento, endereço, telefone e e-mail, dentre outros.
Após algum tempo da contratação, o consumidor passou a receber diversos telefonemas e e-mails de outras construtoras, agentes financeiros e até mesmo vendedores de móveis planejados, sem que tivesse feito com eles qualquer contato ou consulta prévia sobre bens ou serviços.
Ao analisar as mensagens e e-mails trocados entre o consumidor e as empresas que o procuraram, a juíza entendeu estar provado que a Cyrela, que obteve os dados daquele, não atribuiu proteção e tratamento adequados, na medida em que o contrato previa apenas consentimento do consumidor para inclusão dos seus dados em cadastro positivo, não informando a possibilidade de troca ou distribuição a outros parceiros ou empresas.
A condenação ao pagamento de indenização por danos morais, portanto, decorreu de pura e simples violação aos direitos de personalidade do consumidor, considerando-se que a falta de proteção aos dados que a empresa obteve não foram protegidos adequadamente, tornando presumível o dano moral:
“O dano da esfera extrapatrimonial também fora demonstrado. Justamente por conta do ato ilícito relativo ao acesso de dados titularizados pelo autor a terceiros, houve violação a direitos de personalidade (intimidade, privacidade, nome). O dano, nesta hipótese, decorre do próprio ilícito (in re ipsa), e resta corroborado pelos documentos que comprovam que o requerente fora assediado por diversas empresas por conta da conduta ilícita da requerida (fls. 107/146 e 1080/1087).”
Embora a empresa tenha alegado que mantém política de tratamento de dados adequada, a juíza entendeu, de outro lado, que tal fato não foi suficiente a impedir o vazamento dos dados, ainda que o mesmo possa ter ocorrido através de parceiros, empregados ou prestadores, uma vez que, conforme o Código de Defesa do Consumidor, todos eles fazem parte da cadeia de fornecimento, sendo solidariamente responsáveis, juntamente com o fornecedor, por danos causados ao consumidor.
O caso, embora esteja ainda em grau de recurso, chama atenção por ser uma das primeiras decisões da qual se tem notícia, que se valeram da LGPD para condenar uma empresa privada pelo vazamento de dados, sejam eles pessoais ou sensíveis, tornando claro que caberá às empresas uma postura rigorosa quanto ao estabelecimento de uma política de boas práticas no tratamento de dados, sob pena de serem efetivamente condenadas pelos danos causados e, a partir de agosto de 2021, sofrerem sanções por parte da Autoridade Nacional de Proteção de Dados.
O estabelecimento dessa política, de modo geral, deverá contemplar:
Definição da efetiva necessidade de em se obter determinados dados de alguém;
Mapeamento do fluxo de entrada dos dados;
Definição do tratamento que esses dados sofrerão e quais os riscos decorrentes;
Criação de um relatório de impacto do tratamento;
Confecção de uma política de proteção de dados, com adaptação de documentos internos e externos, onde deverão estar previstos deveres e responsabilidades;
Nomeação das pessoas (naturais ou jurídicas) que estarão envolvidas nessa política: controlador, operador e encarregado;
Treinamento das equipes que obtem, tratam ou tenham acesso aos dados;
Criação canais de comunicação para que o titular dos dados cedidos possa ser atendido em suas dúvidas e/ou solicitações;
Supervisão e exigência, por parte de colaboradores, prestadores, terceiros e fornecedores, quanto ao cumprimento da política de proteção de dados.
Somente com o estabelecimento de uma política de proteção de dados clara, abrangente e eficiente, as empresas terão condições de não só cumprir as disposições da LGPD, assim como contar com material e fundamentos de defesa eficazes para se defender das disputas judiciais que certamente ocorrerão.
Eduardo Pires