slide
fLÁVIA alcassa & MILENA pappert
referência em direito digital
|

 

Vazamento de dados: meios para sabermos se nossos dados vazaram e a responsabilidade pelo data breach

Introdução

Nos últimos meses, os casos de vazamentos de dados envolvendo grandes empresas, de diversos ramos, teve um aumento quase que exponencial. Um exemplo disso, foi o caso da Natura, descoberto pelo pesquisador Anurag Sen, que ocorreu algumas semanas atrás. No qual cerca de 250 mil clientes tiveram seus dados pessoais expostos em dois servidores, que podiam ser acessados sem senha1.

Diante de muitos casos de vazamento de dados, semelhantes a esse, vindo à tona, as pessoas tendem a ficar mais preocupadas e atentas. No entanto, difícil será saber se o seu próprio dado foi vazado. Mais difícil ainda, será a empresa que os vazou dizer aos titulares sobre a ocorrência (no cenário brasileiro). Por essas razões, no tópico seguinte, serão dadas algumas orientações em como saber se algum dado seu foi vazado, lembrando que manter a segurança deles não é apenas dever das organizações, mas também do titular.  

Nesse cenário, é necessário responder a seguinte pergunta: como identificar se algum dado meu foi vazado?  

O comércio de senhas na dark web está a cada dia mais forte e crescente, e o número de pessoas que usam senhas recicladas aumenta a cada dia. Recentemente, 44 milhões de senhas da Microsoft foram vazadas por conta desse problema2. Reciclar senhas é um presente para os hackers, pois assim eles conseguem utilizar essas senhas para entrar em múltiplas contas.  

Uma das ferramentas mais utilizadas para saber sobre vazamento de algum dado seu é a have i been pwuned3. Essa ferramenta, criada pelo diretor regional da Microsoft e da MVP foi criada em 2013 e é visitada 150.000 vezes ao dia. O site possui detalhes de mais de nove bilhões de contas comprometidas e é, de longe, um dos maiores e mais populares jeitos de descobrir se houve algum roubo da sua senha.  

Outra ferramenta popular, é a 1password4. Essa ferramenta é recomendada por muitos experts em tecnologia, e pode ser uma maneira de armazenar senhas em uma base de dados criptografada. Além disso, a 1 password também se utiliza de um recurso gerador de senhas complexas e aleatórias para cada site ou serviço. Mas não para por aí, ela ainda consegue te avisar se alguma das suas senhas foi comprometida. Essa função se chama “watchtower”, que processa todas as suas senhas armazenadas e atualiza sempre que acontece uma nova brecha de segurança.  

O Chrome Web Browser4 também é uma boa opção. Essa ferramenta além de armazenar suas senhas de forma segura, também irão te avisar caso ocorra alguma brecha de segurança, mesmo que você não as salve no browser.  

Em face de tudo isso, a triste verdade é que não existe um método imbatível que dê certeza absoluta sobre vazamento de credenciais. Claro que os métodos acima irão te deixar informado, mas não são 100% acurados. Isso porque eles apenas poderão fazer o cruzamento das informações em bases de dados nas quais eles usam como referência. Estes, por sua vez, são um histórico válido de vazamento de dados que foram descobertos na dark web e foram compartilhados com os servidores. 

Como fica a questão do vazamento de dados hoje, sem a entrada em vigor da LGPD? 

Sabemos que o vazamento de dados pessoais se mostra uma afronta aos direitos fundamentais de liberdade e de privacidade. A pessoa que for lesada pode pedir a reparação judicial das empresas que não tomaram a devida cautela por ter seu dever de guarda e proteção sobre os dados dos seus clientes.  

Em se falando especificamente das empresas de e-commerce, vemos que as compras que são realizadas pela internet acarretam um compartilhamento de dados pessoais em grande volume, diferente do que acontece nas lojas físicas.  

A cada diferente transação de e-commerce, os tipos de dados pessoais que são compartilhados podem variar. No geral, os dados que são exigidos consistem em CPF, nome, endereço, telefone, e-mail, nome completo, sexo e dados de cartão de crédito; mesmo que a compra seja de baixo valor. 

Uma das características do e-commerce é justamente esse compartilhamento excessivo de dados pessoais dos consumidores, e isso está gerando uma diminuição na confiança ao fazer compras com cartão de crédito, e isso representa um obstáculo para expandir o comércio eletrônico.  

Os dados pessoais são de suma importância no desenvolvimento do e-commerce. Por essa razão, elas deverão ter um papel garantista da proteção das informações dos consumidores, com políticas, controles e procedimentos seguros. Deste modo, a confiança com seus clientes irá aumentar, e os receios ao compartilhamento de dados para realizar as compras irá diminuir. 

No cenário atual, sem vigorar nossa Lei Geral de Proteção de Dados, temos alguns dispositivos visando garantir essa tutela. Um deles, é a PEC nº 17/2019, em tramitação no Congresso Nacional, com o objetivo de dar um status constitucional à proteção de dados pessoais, inserindo-a no rol das garantias fundamentais.  

No projeto, também temos uma proposta de acrescentar no artigo 22 a competência privativa para legislar sobre a proteção e o tratamento dos dados pessoais.  

Mas a proteção não se resume apenas a propostas de emenda. O Código Civil, o Marco Civil da Internet e o Código de Defesa do Consumidor trazem algumas disposições.  

  • Código Civil  

No artigo 21 do referido Código, temos a possibilidade de aplicação das disposições nele contida para a proteção dos dados:  

Art. 21. A vida privada da pessoa natural é inviolável, e o juiz, a requerimento do interessado, adotará as providências necessárias para impedir ou fazer cessar ato contrário a esta norma. 

Este artigo dispõe sobre a violação a vida privada e também abre espaço para adotar as medidas cabíveis junto ao Poder Judiciário para combater a violação, o que faz referência ao instituto da responsabilidade civil. 

O entendimento de que o vazamento de dados seja considerado uma violação da vida privada pode ser estendido aos dados armazenados pelas empresas de e-commerce. Segue interpretação dada pela Maria Helena Diniz sobre o assunto:  

O direito à privacidade da pessoa contém interesses jurídicos, por isso seu titular pode impedir ou fazer cessar invasão em sua esfera íntima usando para sua defesa: mandado de injunção, habeas data, habeas corpus, mandado de segurança, cautelares inominadas e ação de responsabilidade civil por dano moral e patrimonial. (grifo nosso). 

Visto o amparo da responsabilidade civil ante a violação da vida privada, e considerando que o vazamento de dados de clientes no ambiente online corresponde a uma violação, é coerente aplicar o Código Civil para perseguir essa responsabilização, levando em conta o dever das empresas de guarda e proteção dos dados dos seus clientes.  

  • Código de Defesa do Consumidor 

Em seu artigo 6º, IV, o CDC também traz uma disposição semelhante, garantindo aos consumidores seus direitos de reparação por danos morais e patrimoniais. O CDC traz essa garantia de forma abrangente, e serve como uma luva ao caso de vazamento de dados de empresas de e-commerce quando ocorre dano.  

Art. 6º São direitos básicos do consumidor: 

VI - a efetiva prevenção e reparação de danos patrimoniais e morais, individuais, coletivos e difusos; 

  • Marco Civil da Internet  

A Lei nº 12.965/2014 dispõe em seu artigo 3º sobre a proteção da privacidade e dos dados pessoais, que, por sua vez, são considerados princípios para o uso da internet em nosso país.  

Art. 3º A disciplina do uso da internet no Brasil tem os seguintes princípios: 

II - proteção da privacidade;  

III - proteção dos dados pessoais, na forma da lei; 

Vemos que o dispositivo menciona expressamente a proteção da privacidade e dos dados pessoais.  

Ainda, em seu artigo 7º, é estabelecida a inviolabilidade da intimidade e da vida privada dos usuários da internet e prevê a indenização por dano moral ou material caso haja violação.  

Art. 7º O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos:  

I - inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação; 

Acima, está fundamentada a irregularidade do vazamento de dados pessoais de consumidores de sites de comércio online, e consequentemente a sua responsabilização e dever de reparação dos dados daqueles que tiveram seus dados vazados.  

Após aqui demonstrados os fundamentos jurídicos da responsabilidade civil das empresas de e-commerce, resta aqui mostrar o cerne do instituto, qual seja, o dano, a culpa e o nexo de causalidade.  

  • Dano  

É discutível a verdadeira consequência de um vazamento de dados pessoais. A saída para essa discussão dependerá do tipo de dado vazado e da forma que ele foi violado. Tomando como base o item 85 da GDPR, aqui estão alguns possíveis danos que podem ocorrer com a violação dos dados pessoais:  

Se não forem adotadas medidas adequadas e oportunas, a violação de dados pessoais pode causar danos físicos, materiais ou imateriais às pessoas singulares, como a perda de controlo sobre os seus dados pessoais, a limitação dos seus direitos, a discriminação, o roubo ou usurpação da identidade, perdas financeiras, a inversão não autorizada da pseudonimização, danos para a reputação, a perda de confidencialidade de dados pessoais protegidos por sigilo profissional ou qualquer outra desvantagem económica ou social significativa das pessoas singulares.” 

Restando clara a existência do dano, ainda será necessário quantificá-lo. No entanto, a sua quantificação será verificada em caso concreto.  

  • Culpa 

Visto aqui a específica relação entre o titular dos dados como sendo cliente da empresa de e-commerce (vendas online), tanto o Código Civil quanto o Código de Defesa do Consumidor estão no sentido da responsabilidade civil objetiva, ou seja, constatada independentemente de culpa (artigo 927, CC e artigo 19, CDC).  

A empresa gera para si o dever de guarda e proteção das informações dos consumidores. Caso ela não adote as medidas de segurança exigidas para evitar a violação, estará demonstrado o nexo de causalidade.  

No caso da empresa Natura, foi constatado na notícia que a mesma não estava protegendo adequadamente os dados na sua base, e inclusive estava sem senha. Isso demonstraria o nexo de causalidade no caso concreto. Havendo dano ao cliente, caberia responsabilização civil.  

O que muda com a entrada da LGPD em vigor? 

  • Lei Geral de Proteção de Dados 

Com a entrada em vigor da LGPD e a constituição da ANPD, ambas que, por enquanto, não têm data certa para ocorrer, os responsáveis pelo vazamento comete infração e por isso poderá sofrer diversos tipos de sanções, estabelecidas na lei, sendo essas de natureza administrativa e aplicáveis pela Autoridade Nacional, conforme nos traz o seu artigo 52:  

Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

I - advertência, com indicação de prazo para adoção de medidas corretivas;

II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

III - multa diária, observado o limite total a que se refere o inciso II;

IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;

V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

VI - eliminação dos dados pessoais a que se refere a infração;

X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;  

XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;   

XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. 

Além disso, é necessário frisar que um incidente em empresas envolvendo exposição de dados, após a entrada em vigor da Lei Geral de Proteção de Dados, além de ter o risco de ensejar as sanções previstas em lei, todas mencionadas acima, poderá também pôr em xeque a reputação da empresa perante a sociedade em geral, refletindo assim no relacionamento tanto com os consumidores quanto com as outras empresas e colaboradores. O que atinge diretamente os resultados da empresa, no caso dos consumidores podemos usar como exemplo a falta de confiança em relação ao tratamento de dados feito pela aquela empresa, e isso irá fazer com que ele opte por uma empresa que faz corretamente esse procedimento.

Em concondância com o tópico anterior, a Lei Geral de Proteção de Dados resguarda os titulares de dados responsabilizando os agentes que sendo responsáveis por atividades de tratamento de dados causarem danos a moral ou ao patrimônio, de forma individual ou coletiva, de qualquer pessoa.

Ainda, impõe o dever de reparar esse dano, conforme mostra o artigo 42:

O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

Assim, vemos que a essa Lei endossa, de forma contundente, a responsabilidade pelos danos, bem como o ressarcimento nos casos de vazamento de dados causados por agente responsável pelo tratamento de dados pessoais. E além de tutelar a privacidade e os dados, como faz alguns dispositivos de outras lei, ora analizados, reforça, com as sanções, de forma mais específica, a efetiva necessidade de se resguarda o tratamento de dados pessoais dos titulares, de forma a evitar vazamentos. 

Referências:

1VENTURA, Felipe. Natura expõe dados pessoais de 250 mil clientes em servidores desprotegidos. Tecnoblog, 20/05/2020. Disponível em: <https://tecnoblog.net/340039/natura-expoe-dados-pessoais-de-250-mil-clientes-em-servidores-desprotegidos/ >. Acesso em: 31/07/2020

2FERNANDES, Ana Valéria. EFEITOS DO VAZAMENTO DE DADOS SEGUNDO A LGPD. Susart, Studar e Seixas Advogados. 28/10/2019. Disponível em: <https://4s.adv.br/blog/efeitos-do-vazamento-de-dados-segundo-lgpd/>

3IMANO VICENTE RIBEIRO, Cinthya. Vazamento de dados à luz da LGPD. CONSUMOEMPAUTA, 28/10/2019. Disponível em: <https://www.consumoempauta.com.br/artigo-vazamento-de-dados-a-luz-da-lgpd/>

4LINDOLFO MODESTO, Alexandre. PEREIRA DAMÁSIO DA SILVA, Rodrigo. A responsabilidade civil em face de vazamento de dados de consumidores de sites de vendas pela internet. JUS.com.br. 02/2020. Disponível em: <https://jus.com.br/artigos/79581/a-responsabilidade-civil-em-face-de-vazamento-de-dados-de-consumidores-de-sites-de-vendas-pela-internet>

WINDER, David. Has Your Password Been Stolen? Here’s How To Find Out. Forbes. 12/12/2019. Disponível em: <https://www.forbes.com/sites/daveywinder/2019/12/12/has-your-password-been-stolen-how-to-find-out-crime-hacking-tutorial-tech-help/#10d72f6b570f>

CHAVES DE OLIVEIRA, Mário André. Existe dano moral pelo tratamento irregular de dados pessoais sob a LGPD?. Migalhas. 14/02/2020. Diponível em: <https://www.migalhas.com.br/depeso/320453/existe-dano-moral-pelo-tratamento-irregular-de-dados-pessoais-sob-a-lgpd>

MOLINA HENRIQUE, Lygia Maria. DE ANDRADE, Vitor Morais. Vazamento de dados: uma preocupação da Lei Geral de Proteção de Dados. Migalhas. 21/03/2019. Disponível em: <https://www.migalhas.com.br/depeso/298452/vazamento-de-dados-uma-preocupacao-da-lei-geral-de-protecao-de-dados>

Metade dos brasileiros já usa smartphone para fazer compras. PWC Brasil. 24/07/2020. Disponível em: <https://www.pwc.com.br/pt/sala-de-imprensa/artigos/metade-brasileiros-ja-usa-smartphone-para-fazer-compras.html

CORTEZ, Frederico. A responsabilidade civil e governança de dados na LGPD. NEOTEL. 19/01/2020. Disponível em: <https://www.neotel.com.br/blog/2020/01/19/a-responsabilidade-civil-e-governanca-de-dados-na-lgpd-por-frederico-cortez/>

GOOGLE. A built-in password manager in your Google Account. 2019. (1m31s). Disponível em:< https://www.youtube.com/watch?v=immgP7cniXM>

Tecnologia do Google TradutorTradutor