Baixe o app para aproveitar ainda mais
Prévia do material em texto
SÃO PAULO 2022 CENTRO UNIVERSITÁRIO DAS FACULDADES METROPOLITANAS UNIDAS CURSO DE DIREITO TRABALHO DE CONCLUSÃO DE CURSO SÃO PAULO 2022 DENISE CALHAU Lei geral de proteção de dados pessoais: responsabilidade civil pelo vazamento de dados Projeto de pesquisa apresentado no Centro Universitário das Faculdades Metropolitanas Unidas- FMU, como requisito parcial para a obtenção do grau de bacharel em Direito, sob a orientação da Professora MAIRA FELTRIN ALVES. Lei geral de proteção de dados pessoais: responsabilidade civil pelo vazamento de dados Denise Calhau denisecalhau@hotmail.com.br RESUMO Ao longo dos anos é notável a influência cada vez maior do fluxo de informações e dados em nossa sociedade, o que torna o direito a proteção de dados algo de extrema importância. Com o avanço da tecnologia, uma das maiores preocupações de um cidadão é como continuar atualizado sem que seja vítima de redes sociais devido aos inúmeros casos de sequestro de dados que vêm ocorrendo, seja por uma conduta humana descuidada ou intencionada. A rotina da maioria dos brasileiros é de ficarem conectados 24 horas por dia nas redes sociais, trocando informações de forma muito veloz. E por conta disso a LGPD faz-se importante. A internet faz parte do dia-a-dia das pessoas e, no mundo atual, se proteger é uma escolha sábia para evitar conflitos. Esse trabalho tem como foco analisar a Lei Geral de Proteção de Dados Pessoais (LGPD), assim como trazer conceitos básicos importantes da Lei, estabelecendo como surgiu a ideia da LGPD e quais são seus princípios, além de explicar como funciona o sequestro de dados e como se prevenir, explanando também quem faz o tratamento de dados pessoais na LGPD. De igual forma será relatada a responsabilidade civil em casos de vazamentos de dados, demonstrando seu conceito, sua divisão e suas divergências. Palavras-chave: Lei Geral de Proteção de Dados Pessoais; LGPD; Lei nº 13.709/2018; Responsabilidade civil; Vazamento de dados. Personal Data Protection General Law: responsibility civil for data leakage ABSTRACT Throughout the years is easy to see the growing influence of information and data flow in our society, which turns the right to data protection into an even greater matter. With the advancement of technology, one of the biggest concerns of a citizen is how to keep up with times without becoming a victim of social media due to the countless cases of data hijacking that are occurring, either for a careless or intentional human conduct. The routine of most Brazilians is to stay connected 24 hours a day on social networks, exchanging information very quickly. That is why the Personal Data Protection General Law (LGPD) is important. The internet is part of people's daily lives and, in today's world, protecting yourself is a wise choice to avoid conflicts. This work focuses on analyzing the LGPD, as well as bringing important basic concepts of the Law, establishing how the idea of LGPD came about and what its principles are, in addition to explaining how data theft and how one can protect themselves, also explaining who processes personal data in the LGPD. Likewise, civil liability in cases of data leakage will be reported, demonstrating its concept, division and divergences. Keywords: Personal Data Protection General Law; LGPD; Law No. 13.709/2018; Civil responsibility; Data leakage. LISTA DE ABREVIAÇÕES E SIGLAS ANPD- Autoridade Nacional de Proteção de Dados Pessoais CC- Código Civil CDC- Código de Defesa do Consumidor GDPR- General Data Protection Regulation LGPD- Lei Geral de Proteção de Dados STF- Supremo Tribunal Federal STJ- Superior Tribunal de Justiça 6 Sumário 1.INTRODUÇÃO............................................................................................................7 1.1 Gerações das leis proteção de dados pessoais........................................................7 1.2 Lei de Acesso à Informação......................................................................................8 1.3 Lei Carolina Dieckmann............................................................................................9 1.4 Marco Civil da Internet..............................................................................................9 1.5 Princípios da LGPD..................................................................................................9 2.AGENTES DE TRATAMENTO DE DADOS PESSOAIS NA LGPD.........................14 2.1 Do controlador.........................................................................................................14 2.2 Do operador............................................................................................................14 2.3 Do encarregado.......................................................................................................15 3. RESPONSABILIDADE CIVIL NA LGPD..................................................................15 3.1 Responsabilidade subjetiva....................................................................................17 3.2 Responsabilidade objetiva......................................................................................18 4.VAZAMENTO DE DADOS E A RESPONSABILIDADE CIVIL.................................18 4.1 O que é vazamento de dados?...............................................................................18 4.2 Como fica a responsabilidade civil quando ocorre o vazamento de dados............24 5.CONCLUSÃO............................................................................................................26 BIBLIOGRAFIA............................................................................................................27 7 1. INTRODUÇÃO A Lei Geral de Proteção de Dados Pessoais (LGPD) foi inspirada na General Data Protection Regulation (GDPR) da União Europeia, aprovada em meados de 2016, sendo esta um dos maiores parâmetros de lei de proteção de dados no mundo. A LGPD (Lei nº 13.709, de 14 de agosto de 2018) foi aprovada em 2018 e entrou em vigor em 18 de setembro de 2021, sendo considerada um símbolo importante no Brasil, pois possui um alto nível de importância no meio atual, em toda sociedade civil pois assegura a proteção e privacidade dos dados no mundo digital. Nessa era digital, a tecnologia está presente em todas as interações sociais, por meio de coletas e armazenamentos em nuvem, endereços digitais e formas diversas de acervo de informação e dados de usuários, sendo estes, alguns dos mais ativos e valiosos que dispomos1, devido ao tráfego constante online, tornam-se vulneráveis a ataques de hackers, incluindo roubos de informação sigilosa, crimes de quebra de privacidade e exposição imprópria que corrompem barreiras de segurança, entre outros danos, fazendo com que a proteção de dados precise ser garantida na legislação, para que seja assegurada a proteção e privacidade dos dados no mundo digital. A lei em questão, possui o fito de proteger os dados pessoais, e, apesar da implementação de normas reguladoras, há constante ocorrência de vazamento de dados, seja por meio de um ato humano descuidado ou um ato humano intencional, incluindo ações realizadas por hackers. O objetivo desse trabalho é demostrar qual é a importância daLei Geral de Proteção de Dados Pessoais, partindo-se primeiramente pela linha histórica dele, com o intuito de levantar a causa de seu surgimento de forma breve e sucinta, demostrando os motivos do presente artigo com o foco na responsabilidade civil e no vazamento de dados. 1.1 Gerações das leis de proteção de dados pessoais Segundo Doneda (2019, p.175-179), a lei sobre o tratamento de dados pessoais pode ser dividida em 4 gerações. A primeira geração tem início em 1970, no século XX, 1 PINHEIRO, Patrícia Peck. RNP- Rede Nacional De Ensino De Pesquisa (RNP). Qual o impacto da LGPD em instituições de ensino e pesquisa? Disponível em: https: Qual o impacto da LGPD em instituições de ensino e pesquisa? (rnp.br). Acesso em: 21 abril.2022. 8 na Alemanha, onde existiam leis que propunham a regularização dos bancos de dados, neste cenário, não existia a tecnologia top de linha, logo, os legisladores tinham a preocupação centrada em sua expansão e não no processamento de dados e privacidade dos cidadãos. As primeiras gerações acabaram ficando obsoletas por não conseguirem acompanhar a nova era de tecnologia. A segunda geração avançou efetivamente devido ao fato que passou a se preocupar mais com a privacidade do indivíduo e no acesso das informações,porém, ainda com suas limitações. Já na terceira geração teve um foco maior no princípio da liberdade, pois nesta fase o fornecimento de dados já havia se tornado um dos requisitos indispensáveis para a efetivação da participação social. E por fim, a quarta geração, sendo ela o meio atual, mais eficaz que antes e, a cada passo, novas tecnologias iriam surgir, sendo grande aliadas para a defesa da proteção de dados pessoais. No contexto internacional, a importância da proteção de dados surgiu, como dito acima, em 1970, mas no contexto brasileiro apenas em 2010 passou-se a ter atenção às políticas públicas de proteção de dados pessoais. Em 2011 foi aprovada a Lei nº 12.527(Lei de Aceso à Informação), regulamentando o direito constitucional de disponibilidade dos cidadãos às informações públicas, sendo aplicado aos três poderes (da União, dos Estados, do DF e dos Municípios), essa lei foi um grande passo para a consolidação de transparência pública. Em 2012 teve a Lei Carolina Dieckmann (Lei nº 12.737/2012), que foi uma alteração no Código Penal Brasileiro com atenção aos crimes virtuais e delitos informáticos. Em 2014, veio a Lei nº 12.965 de 23 de abril de 2014 (o Marco Civil da Internet), garantindo uma segurança ainda mais forte para o direito à privacidade. Após essas leis, em 2015 surgiram novas discussões a respeito de proteção de dados e, em 2016, na General Data Protection Regulation (GDPR), da União Europeia a inspiração que o Brasil precisava para vir a LGPD (Lei de Proteção de Dados Pessoais). 1.2 Lei de Acesso à Informação Esta lei tem como principal foco a disponibilidade à informação como regra, e o sigilo como uma exceção, regulamentando o direito à informação presente no artigo 5º, XXXIII /Constituição Federal. Com base nessa lei, as informações de atividade do Estado são públicas, salvo aquelas expressas em legislação, dando facilidade e desenvolvendo uma cultura transparente, devido ao fato que a divulgação de informações pode ser de 9 interesse coletivo ou geral pelo setor público, independente de um requerimento. Por meio do artigo 9º da Lei, foi formado o e-SIC (Sistema do Serviço de Informação ao Cidadão), sendo este um sistema para centralizar as entradas e saídas de pedidos de acesso gerido pelo Poder Executivo Federal, organizando e facilitando os processos para a população e a Administração Pública. 1.3 Lei Carolina Dieckmann Em maio de 2011, a atriz Carolina Dieckmann teve seu computador pessoal invadido por um hacker, conseguindo acesso a 36 fotos íntimas pessoais da atriz. A atriz fez a denúncia, e o criminoso exigiu R$10 mil para não divulgar as fotos dela, ela se recusou a efetuar o pagamento, e devido a isso, teve suas fotos vazadas na internet. Em consequência, teve uma grande discussão popular sobre os crimes nas mídias sociais. Antes da lei já era considerada crime essa prática, mas não havia nenhuma legislação que falava sobre. A Carolina Dieckmann abraçou a causa e cedeu seu nome à lei. A Lei Carolina Dieckmann tem um impacto no Código Penal Brasileiro, acrescentando artigos, sendo eles o 154-A e 154-B, alterando os artigos 266 e 298/Código Penal, dando aos cidadãos uma segurança no ambiente virtual, prevendo crimes que decorrem da utilização ilegal de informações além do desrespeito à privacidade de uma pessoa na internet com fotos e vídeos. 1.4 Marco Civil da Internet É considerada uma lei ordinária federal com iniciativa do Poder Executivo, consistindo como uma espécie de “Constituição da Internet”, estabelecendo princípios, garantindo direitos e deveres para a utilização da internet, tutelando os direitos fundamentais da Constituição Federal. A Lei nº 12.965/2014 (Marco Civil da Internet), tem como fundamento a liberdade de expressão, a neutralidade de rede e a privacidade. 1.5 Princípios da LGPD A Lei Geral de Proteção de Dados Pessoais estabeleceu cuidadosamente os princípios que norteiam o tratamento de dados. Vale lembrar que quando ocorre o fato de uma norma ser denominada princípio, quer dizer que esta tem uma forma específica para ser interpretada. Alexy define, in verbis: 10 O ponto decisivo na distinção entre regras e princípios é que princípios são normas que ordenam que algo seja realizado na maior medida possível dentro das possibilidades jurídicas e fáticas existentes. Princípios são, por conseguinte, mandamentos de otimização, que são caracterizados por poderem ser satisfeitos em graus variados e pelo fato de que a medida devida de sua satisfação não depende somente das possibilidades fáticas, mas também das possibilidades jurídicas. O âmbito das possibilidades jurídicas é determinado pelos princípios e regras colidentes. (ALEXY, 2006, p. 90). Os princípios que norteiam o tratamento de dados têm previsão legal em seu artigo 6º desta Lei, sendo todos acompanhados pelo boa-fé, como o próprio caput estabelece. A) Princípio da finalidade (artigo 6º, I): é a “realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.” Conforme Doneda (2006): Este princípio possui grande relevância prática: com base nele fundamenta-se a restrição da transferência de dados pessoais a terceiros, além do que é possível a estipulação de um critério para valorar a razoabilidade da utilização de determinados dados para uma certa finalidade (fora da qual haveria abusividade). (DONEDA, 2006, p. 216). Já para Pestana2, ele entende por legítimo aquele propósito vinculado a uma finalidade que seja movida pela boa-fé, legalidade e bom senso, para que se afaste o ato ilícito e a má-fé. O propósito específico é colocado por ele como o objetivo determinado e relevante, para que seja vedada a finalidade genérica e indeterminada. Os propósitos explícitos ele vê como aqueles ligados à clareza de objetivos que posteriormente se tornarão determinados, não permitindo as ambiguidades para que não gerem dúvidas quanto à sua matéria. Devido a isso, o titular deve ser informado dos objetivos e deve ter o parecer positivo dele, afastando as alterações, salvo nos casos de concordância pelo titular. 2 PESTANA, Marcio. Conjur. Os princípios no tratamento de dados na LGPD (Lei Geral de Proteção de Dados). Disponível em: https://www.conjur.com.br/dl/artigo-marcio-pestana-lgpd.pdf. Acesso em: 22.abr.2022 11 B) Princípio da adequação (artigo 6º, II): “compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contextodo tratamento.” Este princípio determina que os dados pessoais têm de ser equivalentes com a finalidade que foi garantida pelo agente desde que seja de acordo com o tratamento. Portanto, o princípio da adequação é o nexo de conformidade entre o tratamento. C) Princípio da necessidade (artigo 6º, III): ‘’limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.” Segundo esse princípio, os agentes de tratamento de dados se utilizam das informações apenas com uma única finalidade objetiva, sendo ela previamente delimitada e aprovada pelo titular dos dados em questão, com os devidos limites imprescindíveis para tal realização de atividade. D) Princípio do livre acesso (artigo 6º, IV): ‘‘garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.” Com base nesse princípio, deve existir clareza e a garantia da exatidão, em relação ao titular dos dados sobre a forma e a duração do tratamento de suas informações. A clareza é o nexo entre o titular e o acesso dos dados que estão sob a proteção de suas informações, gerando um dever, uma obrigação ao agente. O agente tem a obrigação de deixar o titular avaliar o arquivo, sendo este ato gratuito. E) Princípio da qualidade de dados (artigo 6º, V): ‘‘qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.’’ A qualidade de dados é importante para que as informações coletadas estejam em plena exatidão. Devido a isso, o controlador deve sempre saber as melhores decisões, pois segundo Maldonado: Qualquer imprecisão, seja um dado pessoal equivocado, seja desatualizado, pode ser catastrófico ao titular, como ocasionar um erro de tratamento médico, recusa 12 de crédito, vedação de participação em concursos públicos, eliminação em processo seletivo, ou, até mesmo, uma prisão injusta. (Maldonado; BLUM, 2019, p. 149). Indo por essa linha de raciocínio, o titular, ao disponibilizar seus dados, espera que tenha tudo em seu perfeito estado, não possuindo nenhuma imprecisão. F) Princípio da transparência (art.6º, VI): ‘‘garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.” Em suma, determina que as empresas sejam honestas com os titulares, devendo informar quem está envolvido no tratamento de dados e o que irá ser feito, não podendo ter nada nas entrelinhas. G) Princípio da segurança (artigo 6º, VII): ‘‘utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.’’ O princípio da segurança, de certo modo, atua com o princípio da prevenção pois ambos têm o objetivo de proteger os dados pessoais, deixando o ambiente seguro. Para Pestana, nos casos de incidentes, levando-se em conta esse princípio, se a perda é irrelevante, acesso, alteração ou difusão resultará uma conduta voluntária, logo, um resultado de negligência, imperícia ou imprudência, pois apenas o agente tem a obrigação de prever os riscos possíveis no tratamento de dados. Já para Oliveira (2019), a culpa não será presumida, mas oriunda de verificação técnica de determinada violação (OLIVEIRA, 2019, p. 22). H) Princípio da prevenção (artigo 6º, VIII): “adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.” É o princípio companheiro do princípio da segurança, pois ambos são relacionados com a prevenção e proteção dos dados, sendo um exemplo de tamanha importância destes, pois surgiram com o mesmo intuito. Carecendo os agentes de tratamento de dados tomarem as melhores medidas para que ocorra o melhor tratamento de dados. 13 I) Princípio da não discriminação (artigo 6º, IX): “impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos.” Com base no artigo acima, é vedada a utilização dos dados pessoais com a finalidade de discriminar, pois essa atitude será considerada ilícita ou abusiva. Conforme Mullholand (2018), existe a possibilidade de existir um tratamento de dados de forma diferente, continuando o respeito à boa-fé objetiva, nesse sentido: Isto é, aparentemente, seria legítimo ao operador de dados realizar tratamentos de segregação, no sentido de diferenciação, sem que, com isso leve a consequências excludentes que poderiam ser consideradas ilícitas. Assim, por exemplo, seria legítimo a um operador de dados que esteja realizando a precificação de um serviço de seguros de automóveis, tratar de maneira diferenciada os dados de mulheres entre 35 e 45 anos e mães, com a finalidade de oferecimento de um valor que reflita os riscos de danos usualmente ocasionados ou sofridos por esse grupo determinado de pessoas. (MULHOLLAND, 2018, p. 163-164). Com base nisso, não deve excluir nenhum dos dados pessoais dos titulares, tanto as informações de características determinantes, como por exemplo, de origem racial ou ética, em razão da boa-fé. J) Princípio da responsabilização e da prestação de contas (artigo 6º, X): “demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas”. Com base nesse princípio, aos agentes de tratamento de dados, têm a obrigação de responderem por seus atos, sejam elas nas suas ações ou omissões, cumprindo todos os requisitos legais para que tenha a comprovação da efetividade das medidas, logo, em caso de descumprimento, e este causar dano ao titular, haverá o dever de responsabilização. Segundo Maldonado: Prever a responsabilização e a prestação de contas como princípio demonstra a intenção da Lei em alertar os controladores e os operadores de que são eles os responsáveis pelo fiel cumprimento de todas as exigências legais para garantir todos os objetivos, fundamentos e demais princípios nela estabelecidos. E não basta somente pretender cumprir a Lei, é necessário que as medidas adotadas para tal finalidade sejam comprovadamente eficazes. Ou seja, os agentes 14 deverão, durante todo ciclo de vida de tratamento de dados sob sua responsabilidade, analisar a conformidade legal e implementar os procedimentos de proteção dos dados pessoais de acordo com a sua própria ponderação de riscos. (MALDONADO; BLUM, 2019, p. 166-167). Para Rosenvald (2017), a responsabilidade vai além muito mais além do que o dever de restauração, pois presta também, uma função preventiva, para que seja cumprido a função civilizatória. 2. AGENTES DE TRATAMENTO DE DADOS PESSOAIS NA LGPD A LGPD para fiscalizar e aplicar penalidades, prevê existência da ANPD (Autoridade Nacional de Proteção de Dados Pessoais) e os agentes de tratamento de proteção de dados. A ANPD tem sua previsão legal no artigo 55-A da LGPD, sendo responsável pela fiscalização e pela regularização da Lei Geral de Proteção de Dados Pessoais, ficando vinculada à Presidência da República. Já os agentes de tratamento de dados são subordinados da ANPD. Nessa acepção, infere-se que os agentes de tratamento possuem diversas atribuições e precisam tomar muitas precauções durante todo o tratamento dos dados pessoais, para inibir eventuais danos às informações e, consequentemente, aos seus titulares. Afirma-se assim que a lei exige dos agentes uma postura ativa no exercício de suas atividades de tratamento. (SOUZA, 2020). 2.1 Do controladorArtigo 5º, VI/LGPD- “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”. A título exemplificativo, o controlador que determina a finalidade e os motivos para o tratamento de dados pessoais (LIMA, 2015, p. 255). O controlador possui o dever de manter registrado as operações de tratamento de dados pessoais que realizarem, notadamente, quando se tratarem de legítimo interesse. Assim, a manutenção do registro de todo o procedimento realizado visa garantir o controle e a transparência do tratamento para que ele alcance seu propósito da forma estabelecida em Lei. (PINHEIRO, 2020). 15 2.2 Do operador Artigo 5º, VII/LGPD - “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”. Ele possui o domínio, seja de um comando ou de uma ferramenta, para que assim realize o tratamento de dados pessoais, seguindo restritamente as ordens do controlador. O operador, assim como o controlador, tem a obrigação de realizar o registro de todo o procedimento realizado, principalmente quando se tratarem de legítimo interesse. 2.3 Do encarregado Artigo 5º, VIII/LGPD- “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).” Como manda o artigo 41/LGPD, o encarregado é indicado pelo controlador, ele possui uma imagem mais profissional, é o agente de tratamento de dados que utiliza mais o intelecto, com conhecimento jurídico e informático, logo, sua função é, em suma, de orientar funcionários, aceitar reclamações e receber comunicações, podendo também executar funções atribuídas pelo controlador ou aquelas estabelecidas em normas complementares. 3. RESPONSABILIDADE CIVIL NA LGPD Segundo Gonçalves (Gonçalves, 2016,.45), a responsabilidade civil pode ser igualada ao ramo do direito obrigacional, devido ao fato que a responsabilidade civil é um instituto decorrente do reconhecimento dos direitos pessoais, para que seja garantido que o prejudicado tenha sua reparação de dano. Logo, com o ato ilícito, gera o dever de reparação de dano, criando um vínculo jurídico outorgando a uma parte o dever de reparar o dano causado à outra, devendo adimplir com a prestação. Outro ponto é que também pode ser relacionado ao Código de Defesa do Consumidor, Lei nº 8.078 de 1990, pois a Constituição determina que o Estado, em seu artigo 5º, XXXII e artigo 170, V, promova a defesa do consumidor, reconhecendo que recai a responsabilidade civil pelos danos ocorridos em relação ao consumo, mesmo que não haja provas, com exceção da responsabilidade dos profissionais liberais. 16 Com base em Frazão (2019, p. 35), a LGPD estabelece uma série de conjuntos de princípios e preceitos para que exista uma responsabilidade proativa, de cunho preventivo, considerando uma ameaça iminente de ocorrência de lesão na coleta e tratamento de informações, especialmente um risco em potencial à uma associação de classificações. Carlos Roberto Gonçalves diz que “a responsabilidade civil é uma obrigação jurídica consecutiva que nasce para remanejar o dano decorrente do abuso de uma obrigação originária." (Comentários ao Código Civil, Volume XI, Editora Saraiva, São Paulo, 2003, p. 07). A responsabilidade civil deve ser relacionada como um fato humano, na necessidade de reparar um dano causado ao outro, segundo Cáio Mário Da Silva Pereira (1999, p.05): Como sentimento humano, além de social, à mesma ordem jurídica repugna que o agente reste incólume em face do prejuízo individual. O lesado não se contenta com a punição social do ofensor. Nasce daí a ideia de reparação, com estrutura de princípios de favorecimento à vítima e de instrumentos montados para ressarcir o mal sofrido. Na responsabilidade civil está presente uma finalidade punitiva ao infrator aliada a uma necessidade que eu designo de pedagógica, a que não é estranha a ideia de garantia para a vítima, e de solidariedade que a sociedade humana deve-lhe prestar. (Responsabilidade Civil, Editora Forense, 2ª Edição, Rio de Janeiro, 1990, p. 15) Portanto, a LGPD veio com o fito de proteger os dados pessoais, e, apesar da implementação de normas reguladoras, há constante ocorrência de vazamento de dados, seja por meio de um ato humano irrefletido, ou um ato humano propositado, incluindo ações realizadas por hackers. Em razão disso, a Lei nº 13.709/2018 estabelece entre os artigos 42 e 45. O artigo 42 estabelece que a responsabilidade civil recaia sobre os agentes de tratamento de dados (o controlador, operador) se causarem dano ao titular dos dados, seja este, patrimonial ou extrapatrimonial. Essa penalidade é parecida com a do Código de Defesa do Consumidor- Lei nº 8.078/90 (CDC), pois existe a solidariedade dos agentes de tratamentos de dados (o controlador e o operador), quando causarem danos, com base no artigo 42, §1º, I e II/LGPD e ainda, permitiu a inversão do ônus da prova, desde que passe por um critério 17 judicial, segundo o artigo 42, §2º/ LGPD, com o intuito de mitigar se há inconformidade entre os controladores de dados e os titulares dos dados pessoais. No artigo 43/LGPD, há as proposições de exceção da responsabilidade dos agentes de tratamento de dados, seja por provarem que não realizam o trabalho imposto, por não desobedecerem aos princípios e normas de tratamento de dados ou quando a dolo é exclusiva de terceiro e até mesmo pelo titular dos dados pessoais. O artigo 44 traz o conceito de tratamento de dados irregular, sendo ele quando os agentes não equiparem a segurança devida aos dados do titular, violarem a legislação, ao utilizar condutas errôneas ao modo de fazer, as técnicas empregadas e o resultado. Ainda neste artigo, em seu parágrafo único, traz a possibilidade de os agentes de tratamento de dados repararem o titular, pelos danos causados, por infringirem a segurança prevista no artigo 46/LGPD. E por fim, o artigo 45 da Lei, que estabelece as situações de violação do direito do titular em espaço de consumo que fiquem sujeitas às normas da responsabilidade previstas na legislação relacionada, logo, no caso, seria o Código de Defesa do Consumidor. 3.1 Responsabilidade subjetiva A responsabilidade subjetiva ocorre quando há necessidade de se provar o dano, sendo o vínculo causal entre a conduta e a lesão, para ver se há culpa ou dolo. Conforme Carlos Roberto Gonçalves: Diz-se, pois, ser ‘subjetiva’ a responsabilidade quando se esteia na ideia de culpa. A prova da culpa do agente passa a ser pressuposto necessário do dano indenizável. Dentro dessa concepção, a responsabilidade do causador do dano somente se configura se agiu com dolo ou culpa. Levando-se em conta que a LGPD faz uma menção de relações civis e de consumo, no artigo 42 da mesma, tem aspecto de relação contratual, logo pode ser abrangida como uma responsabilidade subjetiva, podendo ser aplicada a regra geral do Código Civil, e se esse for o caso, falta na letra da lei uma escrita mais clara. Ao observar a LGPD e ao comparar com o Código Civil, é nítida uma relação, por haver a solidariedade entre o controlador e o operador (artigo 42, §1º, I e II/LGPD), a inversão do ônus de prova (artigo 42, §2º / LGPD), ação de reparação de danos (artigo 42, §3º / LGPD) e direito de regressão (artigo 42, §4º / LGPD). 18 Conforme Tasso (2020), o artigo 42/LGPD não antecipa a culpa e nem a exclui pois “são utilizados apenas dois critérios objetivos para fundamentar a responsabilidade, quais sejam, o exercício da atividade de tratamento de dados e a violação da legislação de proteção de dados” (TASSO, 2020). 3.2 Responsabilidade objetiva Ocorre em regra, quando existe relação de consumo, pois nele, bastaapenas provar se existe prova do dano e o vínculo causal, porém, havendo culpa ou não, ocorrerá o dever de reparação de danos. Na responsabilidade objetiva ocorre por determinação legal, quando o legislador julga que existe vulnerabilidade estrutural de uma das partes da relação. Na LGPD, o artigo 45, deixa estabelecido apenas para âmbito de relações de consumo. O Código de Defesa do Consumidor é um meio de aplicabilidade de responsabilidade civil objetiva, pois no defeito de um produto ou serviço, gera dano ao consumidor. Raíssa Cristina de Moura Ferreira e Raphael Moraes Amaral de Freitas, por suas vezes, também partem da premissa de que o titular dos dados é “a parte mais frágil da relação de tratamento” a fim de chegar à conclusão da adoção de um modelo de responsabilidade objetiva pela LGPD. Com efeito, afirmam que a constatação é ainda mais cristalina “quando o processamento de dados é realizado por meio de tecnologias disruptivas que utilizam algoritmos inteligência artificial para tomar decisões”, cujos impactos nas vidas dos envolvidos podem vir acompanhados de “consequências drásticas irreversíveis. 4. VAZAMENTO DE DADOS E A RESPONSABILIDADE CIVIL 4.1 O que é vazamento de dados? Em suma, vazamento de dados é um incidente de segurança, quando ocorre exposição dos dados pessoais sigilosos sendo publicados por terceiros sem a anuência do titular, podendo esses dados serem acessados e vendidos. Vazamento de dados ocorre quando tem um acesso indevido aos dados, sendo coletados e divulgados na Internet, e até mesmo repassados a terceiros, podendo ocorrer 19 quando temos um caso de furto de identidade, invasão de contas online, e essas invasões podem gerar prejuízos financeiros às vítimas e pode ter tentativas de golpes. Pode ser definido também como uma invasão ou quebra de sigilo das informações confidenciais, que prejudicam as pessoas físicas e jurídicas, podendo comprometer a imagem da pessoa e/ou empresa. É uma exposição não autorizada de dados provenientes de uma organização, sendo que essas informações podem ser visualizadas, apanhadas, copiadas ou aproveitadas de quaisquer formas de uma maneira imprópria e ilegítima. Um dos maiores problemas da atualidade é o vazamento de dados, possuindo diversos exemplos de vazamentos de dados, como: a. Caso do Adobe (outubro de 2013): O ataque sofrido pela empresa de softwares Adobe causou um vazamento de dados, prejudicando mais de 152 milhões de usuários, ocasionando a exposição dos nomes e senhas daqueles que utilizavam o serviço da empresa, e os hackers ainda conseguiram apanhar por volta de 3 milhões de dados criptografados dos cartões de créditos dos usuários3. b. Caso do eBay (maio de 2014): Com o site de compras eBay, cerca de 145 milhões de usuários foram afetados, havendo exposição de nomes, endereços, datas de nascimento e senhas criptografadas. Nessa invasão, os hackers conseguiram acesso à rede por meio das credenciais de 3 funcionários corporativos da empresa, facilitando o acesso completo por 229 dias3. c. Caso do LinkedIn (2012 e 2016): Em 2012, o site LinkedIn sofreu um ataque que ocasionou um vazamento de dados de 6 milhões de senhas, dados estes, que foram apanhados e postados no fórum de hackers da Rússia. A empresa só teve noção da gravidade do ocorrido relevada em 3SWINHOE, Dan. ITforum. Os 15 maiores vazamentos de dados do século 21. Disponível em: https://itforum.com.br/noticias/os-15-maiores-vazamentos-violacoes-de-dados-do-seculo-21/. Acesso em: 02 maio. 2022. 20 2016, quando foi descoberto que estavam disponibilizando os e-mails e senhas de aproximadamente 165 milhões de usuários da empresa pela quantia de 5 bitcoins, que na época chegava a ser o equivalente de US$ 2.0003. d. Caso do Canva (maio de 2019): Foi um caso que afetou o site Canva, alcançando cerca de 137 milhões de vítimas, com isso, o ataque expôs endereços de e-mail, nomes de usuários, cidades e residências dos que frequentavam o site. A empresa, para afastar um novo ataque, pediu para que os usuários trocassem suas senhas e redefinissem seus tokens para dar uma segurança maior a eles. Foi descoberto também, que cerca de 4 milhões de contas foram apanhadas e distribuídas de forma online. Por conta disso, a empresa invalidou senhas inalteradas e notificou os usuários3. e. Caso do STJ (novembro de 2020): O Superior Tribunal de Justiça foi vítima de ataque de hackers no ano de 2020, ocasionando a interrupção de vários julgamentos que eram executados por intermédio de videoconferência, e ainda teve o adiantamento dos prazos processuais, devido a isso, retirou o site do ar por conta do vírus, e esse software malicioso foi posto pelo hacker no sistema do tribunal4. f. Caso do Facebook (2021): Esta rede social passou por um mega vazamento de dados, por consequência de uma invasão de hackers, que exibiram aproximadamente 533 milhões de dados daqueles que utilizavam o Facebook, e essas pessoas afetadas, estão divididas em 106 países do mundo, e aproximadamente 8 milhões de pessoas do Brasil foram afetadas. Por causa desse ataque foram expostos dados de telefones celulares, nomes, datas de nascimento, biografias e e-mails. Sem contar que este vazamento só foi descoberto por intermédio de um fórum para hackers, onde estavam comercializando dados dos usuários que 3 SWINHOE, Dan. ITforum. Os 15 maiores vazamentos de dados do século 21. Disponível em: https://itforum.com.br/noticias/os-15-maiores-vazamentos-violacoes-de-dados-do-seculo-21/. Acesso em: 02 maio. 2022. 4 CRUZ, Bruna. Tilt uol. Ataque hacker no STJ: peritos temem vazamento em massa de dados copiados. Disponível em: Ataque hacker no STJ: peritos temem vazamento em massa de dados copiados - 09/11/2020 - UOL TILT. Acesso em: 20.abr.2022 21 frequentavam o site. É válido dizer que não é a primeira vez que acontece uma invasão de hackers nesta rede social, pois já havia ocorrido em 2013 e 20195. g. Caso de mega vazamento de dados pessoais (janeiro de 2021): O mega vazamento afetou por volta de 220 milhões de brasileiros, pois suas privacidades foram reveladas, sendo elas, seus CPFs, score de cartões, ocupação, escolaridade, título de eleitor, foto frontal, dentre outros. Conforme o Estadão, no meio desses afetados, estão presentes autoridades do Brasil que tiveram suas informações à venda na rede, sendo eles o presidente Jair Bolsonaro, Rodrigo Maia (ex-presidente da Câmara), Davi Alcolumbre (ex-presidente do Senado) e os 11 ministros do STF6. Logo, é nítido que os vazamentos não cessam e estão presentes no cotidiano, para isso não ocorrer com frequência, é necessário ter mais segurança e proteção para o tratamento de dados. A Lei Geral de Proteção de Dados Pessoais não trata de forma explícita os casos de vazamentos de dados, mas ela dá punições em casos de quebras na segurança no tratamento dos dados pessoais que o resultem. Segundo Fabiano Menke e Guilherme Damasio Goulart (2020, p.350): A essencialidade da segurança da informação nos dias atuais pode ser considerada evidência indiscutível. Numa sociedade em que as operações realizadas com dados pessoais não apenas crescem a cada dia, mas também se tornam mais necessárias, é fundamental que, além de se regular a atividade de tratamento de dados, sejam estabelecidos requisitos de segurança adequados a serem observados pelos agentes de tratamento, de modo a evitar que ocorram vazamentos e consequentes danos aos titulares. Indo nessa linha de pensamento, Daniel Donda (DONDA, 2020, p.33) diz que para a empresa estar em conformidade, deve ter os controles de segurança de proteção em dia, e que poucas empresas investem pesado na segurança da informação, sendo 5 Facebook tem vazamento de mais de 500 milhões de telefones e dados pessoais de usuários; brasileiros inclusos. Olhar Digital.Disponível em: https://olhardigital.com.br/2021/04/03/seguranca/facebook-tem- vazamento-de-mais-de-500-milhoes-de-telefones-e-dados-pessoais-de-usuarios-brasileiros- inclusos/Acesso em: 02 maio. 2022. 6 Mega vazamento: Dados de ministros do STF estão à venda na internet. Migalhas. Disponível em:https://www.migalhas.com.br/quentes/339790/megavazamento-dados-de-ministros-do-stf-estao-a- venda-na-internet. Acesso em: 02 maio. 2022. 22 que ela corresponde e atinge todos os setores e recursos da empresa. E que a segurança da informação deve garantir: a confidencialidade, integridade, disponibilidade, autenticidade e legalidade. Segundo ele, a confidencialidade é o que garante que somente as pessoas autorizadas possuam acesso à informação dos dados pessoais por meio de aplicações de controle, sendo elas, permissões de acesso ao banco de dados, criptografia e permissões de acesso aos recursos online. A integridade é definida por ele como a garantia de que a informação não será manipulada e nem alterada, sendo possível a confiança nela por ser íntegra, devendo ser levada em conta a integridade dos logs armazenados, a integridade das informações armazenadas e em trânsito (valendo-se para produção ou backups) e, por fim, a integridade dos mecanismos de proteção. A disponibilidade ele coloca como a garantia de que a informação estará sempre acessível quando for necessário conforme os requisitos de confidencialidade e integridade. A autencidade, para ele é como uma das mais importantes pois esta garante o não repúdio pela identidade, garantindo que aquelas envolvidas em certas ações dos tratamentos de dados sejam identificadas de maneira inquestionável mediante assinatura digital ou o uso de biometria. E por fim, a legalidade, significando que tudo relacionado ao tratamento de dados deve estar conforme as leis vigentes, como por exemplo, a LGPD. Como a troca de dados entre os usuários da Internet ocorre a todo instante, em vários sites, seja no ato de efetuar compras ou cadastros, nas interações das redes sociais e nas transações bancárias em sites, dentre outros, devido a esse alto fluxo de dados, ocorrem numerosos casos de violações, afetando milhões de usuários. Para afastar a invasão dados, os titulares devem estar a par de fatores que levam esta exposição de dados, sendo eles: Em primeiro lugar está o phishing, sendo um dos casos mais comuns de invasão de dados pessoais, estando em alta esta técnica pelos criminosos. Consiste em um crime cibernético de fraude, nele manipulam as vítimas para que possam efetuar o golpe. A conduta criminosa é realizada por meios eletrônicos, seja por via e-mail ou telefones, com o intuito de fingir ser outra pessoa ou organização, com o intuito de obter informações confidenciais da pessoa, incluindo dados de login, dados de cartão de crédito e débito, além de poder se aproveitar de links falsos para ter acesso aos dados confidenciais da vítima, dentre outros. 23 Em segundo lugar, vem a utilização de senhas fracas, sendo algo nada seguro para a vítima pois deixa o ambiente vulnerável, facilitando o acesso ao sistema sem autorização, promovendo o acesso de terceiros indesejados no sistema. De acordo com pesquisas, em 2019 foi relatado que 80% das violações de hackers estão relacionadas às senhas comprometidas e fracas. E em 2020, de acordo com as pesquisas da Verizon, os ataques estão evoluindo a cada ano, e 81% das invasões estão relacionadas às senhas fracas, comprometidas e reutilizadas. A senhas são as portas para alcançar acesso às informações únicas e exclusivas dos usuários, elas são a autenticação de cada utilizador e as políticas de complexidade das senhas servem para deixar as contas mais seguras, afastando as ações maliciosas de terceiros. O vazamento de dados ocorre também por conta de falhas humanas, devido ao mau uso das tecnologias e pelos danos causados por vírus. Todos podem ser submetidos a uma invasão, por isso a LGPD tem o intuito de proteger os usuários das violações e dar autonomia sobre as suas informações confidenciais pessoais, como o nome, documentos pessoais, endereço, e-mail, telefones, dentre outras informações, mas só isso não basta, além de saber as hipóteses, tem que saber como se manter protegido para afastar os possíveis dados futuros. Porém, é ilusório ainda o fato de estarmos 100% protegidos contra ameaças da internet, por isso devemos saber como nos proteger das armadilhas da internet. Para evitar vazamentos de dados, os usuários devem sempre ter meios que afastem as ameaças, sendo ela um meio de prevenção contras as ameaças, o antivírus por exemplo é uma ótima ferramenta para isso. Assim como manter sempre os aparelhos atualizados, sendo eles os sistemas e softwares. Além de possuir autenticação de dois fatores para fortalecer a segurança e afastar invasores, nessa hipótese, o usuário deverá, além da senha forte, adicionar a etapa de confirmação de tentativa de login, podendo ser por meio do SMS ou e-mail. Já para as pessoas jurídicas, é necessário incluir políticas e instrumentos de autenticação de controle e acesso, estabelecendo uma segurança ao acesso físico ao ambiente de TI, assim, começar a fazer análises dos fatos para que possam ser identificadas vulnerabilidades no sistema frequentemente. Além de fundar uma Política de Segurança de Informação para que colaboradores e parceiros sejam treinados, no intuito de que possam detectar e afastar de imediato uma ameaça e futuros riscos. 24 4.2 Como fica a responsabilidade civil quando ocorre o vazamento de dados Nesse tema em questão está em carência de previsão legal exclusiva, logo, é nítido que existem aparições doutrinárias, a doutrina está expondo os casos de vazamentos de dados, e qual a responsabilidade pode ser atribuída, ocorrendo divisão de ideias entre os defensores da responsabilidade civil subjetiva e objetiva. Por existirem muitas brechas referente à responsabilidade civil, como Anderson SCHREIBER (2020, p.333), pensa: [..]a LGPD não foi extremamente feliz no desenho das normas atinentes à responsabilidade civil. Há falhas e omissões que podem e precisam ser sanadas pelo intérprete, em busca de um regime de responsabilidade civil que se afigure, a um só tempo, coerente e eficaz. As diferentes soluções interpretativas devem ser construídas a partir de elementos constantes não apenas da LGPD em si, mas também de outras normas que compõem o tecido normativo brasileiro, em especial as normas constitucionais. Como dito acima, a Lei de Proteção de Dados não deixa evidente de qual responsabilidade civil está falando, se é a objetiva (referente ao nexo de causalidade e a prova do dano, independentemente de culpa) ou a subjetiva (referente a conduta voluntária, o dolo, ou uma conduta negligente, imperita ou imprudente). Anderson Schreiber (2020, p.334), completa que: Não é fácil identificar qual o regime de responsabilidade civil instituído pela LGPD. Por um lado, o art. 42 não alude, em sua literalidade, à culpa, o que poderia indicar a adoção de um regime de responsabilidade objetiva. Por outro lado, o art. 42 não emprega a expressão “independentemente de culpa”, como fizeram o Código Civil (arts. 927, parágrafo único, e 931)15 e o Código de Defesa do Consumidor (arts. 12, caput, e 14, caput) 16, podendo--se extrair da omissão uma preferência pela responsabilidade subjetiva. Segundo o autor, pode-se dizer que por mais que a interpretação seja confusa, é nítido que a LGPD convive com os dois regimes distintos de responsabilidade civil, possuindo dentro dela, o CDC (Código de Defesa do Consumidor) e o CC (Código Civil), sendo elas, para responsabilidade objetiva (artigos 12 e 14/CDC ambos apenas o caput e artigo 927, §ú/CC) e para responsabilidade subjetiva (artigo 14, §4º/CDC e artigos 186 e 927/CC). 25 Segundo Godoy (2019), as novas tecnologiassão os novos riscos à sociedade, portanto deve fazer uma releitura dos institutos tradicionais referentes à responsabilidade civil, para que essas novas regras possam combater essa nova era da tecnologia, devendo estabelecer obrigações para imputar os agentes às novas regras. Seguem abaixo casos que a jurisprudência entende que caiba a indenização de reparação de danos morais, por conta da quebra de segurança dos usuários, ou seja, sequestros de casos: EMENTA:RECURSO INOMINADO. AÇÃO INDENIZATÓRIA POR DANOS MORAIS.VAZAMENTO DE FOTOS ÍNTIMAS DA PARTE AUTORA NA INTERNET. INVIÁVEL AFERIR QUEM REALIZOU A PUBLICAÇÃO DOS DADOS DA AUTORA SEM REALIZAÇÃO DE PERÍCIA TÉCNICA A FIM DE AFERIR QUEM DEU CAUSA AO CADASTRO FALSO COM OS DADOS E FOTOS ÍNTIMAS DA AUTORA. REFORMA DA SENTENÇA PARA JULGAR EXTINTO O FEITO DE OFÍCIO, PELA COMPLEXIDADE. (Recurso Cível Nº 71 0 0621 984 4, Quarta Turma Recursal Cível, Turmas Recursais, Relator: Gisele Anne Vieira de Azambuja, Julgado em 26/ 08/ 2016). EMENTA:AGRAVO DE INSTRUMENTO.SUBCLASSE RESPONSABILIDA DE CIVIL. AÇÃO DE INDENIZAÇÃO POR DANOS MORAIS DECO RRENTES DO VAZAMENTO, PELA UNIVERSIDADE, DE DADOS PESSOAIS DE SEUS ALUNOS. FATO ADMITIDO PELA RÉ. PROVA PERICIAL PARA APURAÇÃO DOS MOTIVOS DO OCORRIDO. DESNECESSIDADE, NO CASO. Considerando que o direito à prova não se mostra absoluto, cabe indeferir o pedido probatório formulado pelo autor, pois ausente a demonstração de sua relevância para a solução da causa, especialmente frente à admissão, pela própria ré, de que o fato apontado com o gerador do dano (vazamento de dados pessoais) ocorreu. Negado seguimento ao recurso. (Agravo de Instrumento Nº 700584 60 999, Nona Câmara Cível, Tribunal de Justiça do RS, Relator: Eugênio Facchini Neto, Julgado em 11 /02/ 2014). EMENTA:DANO MORAL- VAZAMENTO DE DADOS- CÓDIGO DE DEFESA DO CONSUMIDOR- DEVER DE SEGURANÇA 1- Reconhecida a falha no sistema, ante a invasão por terceiros, ocasionando o vazamento de dados pessoais do consumidor, perante o dever de indenizar pelos danos sofridos; 2- Indenização por danos morais fixada no montante pleiteado, ou seja, em R$ 10.000,00, corrigidos do arbitramento e acrescido de juros de mora de 1% ao mês, a partir da citação. RECURSO PROVIDO. (Tribunal de Justiça de São Paulo TJ-SP- Apelação Cível: AC 1000-144-71.2021.8.26.04.05 SP 1000- 144-71.2021.8.26.04.05). EMENTA: APELAÇÃO CÍVEL - AÇÃO ANULATÓRIA DE CONTRATO E INDENIZAÇÃO POR DANOS MORAIS - CONTRATAÇÃO DE EMPRÉSTIMOS - CAIXA ELETRÔNICO - CULPA EXCLUSIVA DA VÍTIMA - NÃO CONFIGURADA - DEFEITO NA PRESTAÇÃO DO SERVIÇO BANCÁRIO - VAZAMENTO DE DADOS PESSOAIS - DANOS MORAIS CARACTERIZADOS - QUANTUM INDENIZATÓRIO - ADEQUAÇÃO DEVIDA - SENTENÇA REFORMADA EM PARTE. - O fornecedor de serviços responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à 26 prestação dos serviços, nos termos do art. 14 do Código de Defesa do Consumidor. - Para que seja configurada a excludente de responsabilidade do fornecedor prevista art. 14, §3º, II do CDC deve ser comprovada a culpa exclusiva do consumidor. - Reveste-se de ilicitude a hipótese em que a instituição financeira permite ou não cuida para impedir o vazamento dos dados pessoais de seus clientes oportunizando, assim, a atuação ilícita de terceiros fraudadores. - A fixação da indenização por danos morais pauta-se pela aplicação dos princípios da razoabilidade e da proporcionalidade. (TJMG - Apelação Cível 1.0471.16.012594-7/001, Relator(a): Des.(a) Juliana Campos Horta, 12ª CÂMARA CÍVEL, julgamento em 31/7/19, publicação da súmula em 8/8/19). 5. CONCLUSÃO Vivemos em uma coletividade onde a informação é o centro da nova maneira de organização social e econômica, e nessa Era da Informação são utilizados dados sobre experiências humanas. O tema ainda é bem recente, porém de extrema importância para a sociedade, devendo ganhar mais relevância conforme o tempo for passando. A Lei Geral de Proteção de Dados Pessoais era necessária no Brasil, e como prova da sua importância e sua influência na atualidade, o STF aprovou a existência legítima de direito fundamental à proteção de dados pessoais, como um direito à autodeterminação infraconstitucional como um contraponto a algum contexto concreto de coleta, processamento ou comunicação de dados passíveis de conformar situação de ameaça, com base no voto do Ministro Gilmar Mendes no julgamento ADI 6.387/37. O trabalho demonstrou como o vazamento de dados ocorre frequentemente, que todos estão sujeitos a terem seus dados sequestrados, portanto foi mostrado como se proteger, para que afastemos a possibilidade de sermos vítimas de sequestros de dados. Foi definido o que é a responsabilidade civil, relatando as divisões de opiniões dos doutrinadores, daqueles que vão para o lado da responsabilidade civil objetiva e outros, subjetiva. Devido às diferentes interpretações, cabe uma atualização na LGPD para que possa ficar mais clara qual a responsabilidade nos casos de vazamento de dados, pois precisamos de uma legislação sólida e capacitada para sanar as dúvidas, para que sejam assegurados os direitos fundamentais em questão, apontando todos os direitos, deveres e consequências das condutas ilegais. Com base no que foi relatado nesse trabalho, é possível observar que a lei pode gerar muitas interpretações, acarretando dificuldades de entendimento, porém, ao ler este presente artigo, o leitor poderá ter a básica noção de como funciona a LGPD. 27 BIBLIOGRAFIA ADVOCATTA. HISTÓRICO DA LEI GERAL DE PROTEÇÃO DE DADOS (LGPD). Disponível em: Histórico da Lei Geral de Proteção de Dados (LGPD) – Advocatta. Acesso em 21 de abril de 2022. ALEXY, Robert. Teoria dos Direitos Fundamentais. São Paulo: Malheiros Editores, 2006. ARRUDA, Wellington. Olhar Digital. Facebook tem vazamento de mais de 500 milhões de telefones e dados pessoais de usuários; brasileiros inclusos. Disponível em: https://olhardigital.com.br/2021/04/03/seguranca/facebook-tem-vazamento-de-mais-de- 500-milhoes-de-telefones-e-dados-pessoais-de-usuarios-brasileiros-inclusos/. Acesso em: 02.mai.2022. BELCIC, Ivan. Avast Academy. O guia essencial sobre phishing: Como funciona e como se proteger. Disponível em: https://www.avast.com/pt-br/c-phishing#gref. Acesso em: 20.abr. 2022. BIONI, Bruno et al (Coords.). Tratado de Proteção de Dados Pessoais: Grupo GEN, 2020. 9788530992200.(Págs.333-350). Disponível em:https://integrada.minhabiblioteca.com.br/#/books/9788530992200/. Acesso em: 28.abr. 2022. BRASIL, Lei nº 13.709, de 14 de agosto de 2016. Institui a Lei de Proteção de Dados Pessoais. Brasília, DF: Presidente da República. Disponível em: L13709compilado (planalto.gov.br). Acesso em: 04 maio. 2022. BRASIL. Senado Federal. Proposta de Emenda à Constituição n° 17, de 2019. Altera a Constituição Federal para incluir a proteção de dados pessoais entre os direitos e garantias fundamentais e para fixar a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais. Brasília, DF: Câmara dos Deputados, 2019. Disponível em: https://www25.senado.leg.br/web/atividade/materias/-/materia/135594. Acesso em 04 maio. 2022. BRASIL. STJ. Lei Geral de Proteção de Dados (LGPD). Disponível em: https://www.stj.jus.br/sites/portalp/Leis-e-normas/lei-geral-de-protecao-de- dadospessoais-lgpd, Acesso em 20 de abril de 2022. Câmara dos Deputados. Lei de acesso à informação na Câmara. Disponível em: https://www2.camara.leg.br/transparencia/acesso-a-informacao.Acesso em 21 de abril de 2022. Certificavix, Certificação digital. Vazamento de dados: o que é, quais as consequências e como preveni. Disponível em: Vazamento de dados: o que é, quais as consequências 28 e como prevenir – Certifica Vix. Acesso em 20.abr.2022. Compugraf. Com a Lei em vigor, quais as diferenças entre a LGPD e GDPR?Disponível em: https://www.compugraf.com.br/diferencas-entre-lgpd-e-gdpr/. Acesso em 20 de abril de 2022. Consultor Jurídico. Após megavazamento, dados de ministros do Supremo são postos à venda. Disponível em: ConJur - Após megavazamento, dados de ministros do STF são postos à venda. Acesso em: 02. maio.2022. CRUZ, Bruna. Tilt uol. Ataque hacker no STJ: peritos temem vazamento em massa de dados copiados. Disponível em: Ataque hacker no STJ: peritos temem vazamento em massa de dados copiados - 09/11/2020 - UOL TILT. Acesso em: 20.abr.2022. DIAS, Marcelo. Tecnocop. Com a LGPD se tornou ainda mais importante as empresas terem uma política de senhas. Disponível em: Com a LGPD se tornou ainda mais importante as empresas terem uma política de senhas (tecnocorp.com.br). Acesso em: 20.abr.2022. DONEDA, Danilo. Da privacidade à proteção de dados pessoais: elementos da formação da Lei geral de proteção de dados. 2.ed. São Paulo: Thomson Reuters Brasil, 2019. FERREIRA, Raíssa Cristina de Moura. FREITAS, Raphael Moraes Amaral de. Responsabilidade civil na LGPD: subjetiva ou objetiva? In: PALHARES, Felipe (coord.). Temas atuais de proteção de dados. São Paulo: Thomson Reuters Brasil, 2020. p. 321- 344. p. 340. FRAZÃO, Ana. Fundamentos da proteção de dados pessoais. Noções introdutórias para a compreensão da importância da Lei Geral de Proteção de Dados. In: TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena D. (coord.). Lei Geral de Proteção de Dados Pessoais e suas repercussões no Direito Brasileiro. São Paulo: Thomson Reuters Brasil, 2019. p. 23-52. Fundação Escola Superior Do Ministério Público (FMP). LEI CAROLINA DIECKMANN: VOCÊ SABE O QUE ESSA LEI REPRESENTA? Disponível em: Lei Carolina Dieckmann: você sabe o que essa lei representa? - FMP - Fundação Escola Superior do Ministério Público. Acesso em 21 de abril de 2022. Gêneses IT Consulting. Políticas de senha pode deter ataques virtuais. Disponível em: https://geneses.com.br/politicas-de-senha-pode-deter-ataques-virtuais/. Acesso em: 20.abr.2022. Get Privacy. 10 perguntas e respostas sobre vazamento de dados e LGPD. Disponível em: 10 perguntas e respostas sobre vazamento de dados e LGPD – Get Privacy. Acesso em: 20.abr.2022. 29 GODOY, Cláudio Luiz Bueno. A responsabilidade civil na era digital. In: Congresso internacional de responsabilidade civil do IBERC, São Paulo [S. l.]: 2019. GONÇALVES, Carlos Roberto. Responsabilidade Civil. 17. ed. São Paulo: Saraiva, 2016. Gov.br. Aspectos Gerais - Lei de Acesso à Informação. Disponível em: Aspectos Gerais - Lei de Acesso à Informação — Português (Brasil) (www.gov.br). Acesso em 21 de abril de 2022. Gov.br. Sobre a Lei de Acesso à Informação. Disponível em: https://www.gov.br/capes/pt-br/acesso-a-informacao/servico-de-informacao-ao- cidadao/sobre-a-lei-de-acesso-a-informacao-. Acesso em 21 de abril de 2022. JULIO, Clara. Backup Garantido. Disponível em: Vazamento de dados: causas, exemplos e medidas de proteção | Backup Garantido. Acesso em 19.abr.2022. MALDONADO, Viviane Nóbrega; BLUM, Renato Opice. LGPD: Lei Geral de Proteção de Dados comentada. São Paulo: Revista dos Tribunais, 2019. MULHOLLAND, Caitlin Sampaio. Dados pessoais sensíveis e a tutela de direitos fundamentais: uma análise à luz da lei geral de proteção de dados (Lei 13.709/18). Revista de Direitos e Garantias Fundamentais, Vitória, v. 19, n. 3, p. 159-180, set./dez. 2018. ORTIZ, Elaine. CPF vazado: quais os riscos e como prevenir o vazamento de dados? Disponível em: https://www.serasa.com.br/premium/blog/vazamento-de-dados-como- prevenir. Acesso em: 20.abr.2022. PECK, PINHEIRO, P. Segurança Digital - Proteção de Dados nas Empresas [S.1. Atlas]:Grupo GEN, 2020. 9788597026405. Pág.79. Disponível em: <https://integrada.minhabiblioteca.com.br/#/books/9788597026405/>. Acesso em: 22.abr 2022. PESTANA, Marcio. Conjur. Os princípios no tratamento de dados na LGPD (Lei Geral da Proteção de Dados Pessoais). Disponível em: https://www.conjur.com.br/dl/artigo- marcio-pestana-lgpd.pdf. Acesso em: 22.abr.2022. PINHEIRO, Patrícia Peck. RNP- Rede Nacional De Ensino De Pesquisa (RNP). Qual o impacto da LGPD em instituições de ensino e pesquisa? Disponível em: https: Qual o impacto da LGPD em instituições de ensino e pesquisa? (rnp.br). Acesso em: 19.abr. 2022. ROCHA, Marina. Migalhas. Com a entrada em vigor da LGPD, em caso de vazamento de dados, os consumidores afetados, terão direito à indenização? Disponível em: https://www.migalhas.com.br/depeso/340916/em-caso-de- vazamento-de-dados-consumidores-terao-direito-a-indenizacao. Acesso em: 01. maio. 2022. 30 ROSENVALD, Nelson. As funções da responsabilidade civil: a reparação e a pena civil. 3. ed. São Paulo: Saraiva, 2017. SANTOS, Rahellen. Politize. O que é o Marco Civil da Internet? Disponível em: https://www.politize.com.br/marco-civil-da-internet/ - O que é o Marco Civil da Internet? - Acesso 21 de abril de 2022. Sebrae. Conheça a LGPD. Disponível em: Conheça LGPD - Sebrae. Acesso em 20 de abril de 2022. SWINHOE, Dan. ITforum. Os 15 maiores vazamentos de dados do século 21. Disponível em: https://itforum.com.br/noticias/os-15-maiores-vazamentos-violacoes- de-dados-do-seculo-21/. Acesso em: 02 maio. 2022. TASSO, Fernando Antonio. A responsabilidade civil na Lei Geral de Proteção de Dados e sua interface com o Código Civil e o Código de Defesa do Consumidor. Cadernos Jurídicos, São Paulo, ano 21, n. 53, p. 97-115, jan./mar. 2020.
Compartilhar