Introdução:
É importante saber como descobrir se houve vazamento de seus dados pessoais, além é claro de se manter informado nas notícias sobre esse assunto que atinge todas as pessoas.
Neste contexto, o texto se propõe a trazer uma breve determinação da LGPD sobre vazamento de dados e ainda pensar em outras searas (como o cabimento de ação judicial) como possíveis complementos para buscar reparação de um incidente de segurança que quebra o princípio da confidencialidade dos dados pessoais.
Sumário:
Como descobrir se meus dados vazaram?
O que a LGPD determina em caso de vazamento de dados?
Posso processar por vazamento de dados?
Como descobrir se meus dados vazaram?
Conforme já falei em outros textos, a melhor estratégia é ficar atento (principalmente aqui no DDcast!) para saber se ocorreu algum incidente de segurança envolvendo alguma empresa que detém seus dados pessoais.
A exemplo do vazamento descoberto este ano envolvendo usuários que tem conta no Facebook. Sugiro fazer um teste em alguns sites que analisam se seus dados foram vazados. Sites como https://haveibeenpwned.com/ ou ainda https://haveibeenzuckered.com/, por exemplo, dizem se seu número de telefone estava envolvido em algum vazamento de dados pessoais.
O que a LGPD determina em caso de vazamento de dados?
Segundo a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais, LGPD), no artigo 48, o controlador de dados pessoais deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
Esta comunicação deve ocorrem em prazo razoável (nos dias seguintes ao conhecimento do vazamento) e deve mencionar pelo menos:
I – a descrição da natureza dos dados pessoais afetados;
II – as informações sobre os titulares envolvidos;
III – a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
IV – os riscos relacionados ao incidente;
V – os motivos da demora, no caso de a comunicação não ter sido imediata; e
VI – as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Ou seja, o titular dos dados pessoais (a pessoa física sobre a qual os dados dizem a respeito) deve ser comunicada pela empresa que sofreu o incidente e deve ser informada de toda a evolução no que diz respeito à investigação daquele incidente, para evitar ataques relacionados à informação vazada.
Posso processar por vazamento de dados?
Existe sim o direito subjetivo do titular dos dados em não só apresentar reclamação na Autoridade Nacional De Proteção De Dados (ANPD), mas também de ajuizar ação judicial de ressarcimento de danos decorrentes do tratamento de dados pessoais.
O artigo 42 da LGPD é claro ao determinar que o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
Ou seja, a via administrativa na ANPD não é a única forma do titular lesado buscar reparação caso existam evidências de que aquela empresa controladora dos dados sofreu incidente de segurança que causou dano patrimonial ou moral, individual ou coletivo, sobre o titular de dados.
Mas atenção para um posicionamento recente: em recente caso, o juiz de Direito Mario Sergio Leite, da 2ª vara Cível de Osasco/SP, negou pedido de indenização por dano moral ajuizado por um titular dos dados que teve dados vazados por uma empresa chamada Eletropaulo. Para o juiz, o vazamento de dados, por si só, não enseja o dano moral – é preciso comprovar o dano causado pelo vazamento.
Este texto foi inspirado na conversa que aconteceu neste vídeo do Direito Digital Cast:
Quer aprender tudo sobre Direito Digital e Tecnologia? Se inscreve no canal do Youtube porque toda quinta-feira temos uma nova live e você pode mandar dúvidas ao vivo aqui: Direito Digital Cast no Youtube!
