Em janeiro, o vazamento de dados pessoais de 220 milhões de brasileiros, de 104 milhões de veículos e de 40 milhões de empresas, levou entidades como a Secretaria Nacional do Consumidor (SENACON) e o PROCON-SP a iniciarem uma investigação prévia para apurar a empresa que teve o banco de dados vazado.
Resultados preliminares apontam que os vazamentos contêm, entre outras informações, o “score de crédito” dos titulares, um ranking criado e mantido pela Serasa Experian. Por este motivo, o PROCON-SP questionou a empresa sobre a ocorrência ou não do vazamento de seu banco de dados. Em caso de resposta positiva, a Serasa Experian deverá informar as falhas que ocasionaram o incidente, as medidas para reparar os danos decorrentes do vazamento e o que fará para evitar novos casos.
Além do PROCON e da SENACON, passaram a investigar o caso o Ministério Público e a Autoridade Nacional de Proteção de Dados (ANPD).
A Lei Geral de Proteção de Dados (LGPD), embora esteja em vigor desde 18 de setembro de 2020, prevê a aplicação de sanções administrativas (multas) em casos de incidentes envolvendo dados pessoais somente a partir de agosto. Portanto, caso seja comprovado que o vazamento dos dados foi proveniente da Serasa Expirian, a empresa não poderá ser multada. Devido a este cenário, o PROCON já indicou que poderá aplicar multa com base no Código de Defesa do Consumidor.
Tendo em visto do ocorrido, ainda aguardamos muitas respostas. Se multas forem aplicadas, estas serão revertidas em forma de indenizações aos mais de 220 milhões de brasileiros que tiveram seus dados pessoais expostos indevidamente? Os titulares dos dados terão que criar uma avalanche de novas demandas judiciais para se verem ressarcidos pelos prejuízos experimentados?
E mais. Se for comprovado que os dados vazados não forem provenientes dos arquivos da Serasa Expirian, quem irá reparar os danos da empresa? Ela foi “lançada aos leões” perante a mídia em geral, sem que se tivesse a conclusão da investigação e que pudesse se defender.
Falemos ainda da ANPD, criada justamente para regular a proteção de dados no Brasil. Será extremamente eficiente como foi nesse caso, se pronunciando somente mais de 10 dias após o ocorrido, para informar que ainda irá apurar a questão?
Certamente até o final da apuração, a empresa apontada como responsável pelo incidente já terá prejuízos astronômicos de imagem perante a sociedade. Se for a culpada, menos pior. Mas e se a conclusão da investigação for de que a empresa não teve qualquer relação com o incidente de segurança? Foi justo e legal o que ocorreu?
Infelizmente o que nos parece é que a Proteção de Dados, tutelada pela LGPD, trata-se de uma legislação extremamente importante, atual e que veio para mudar paradigmas e a forma de pensar de pessoas física e jurídicas no Brasil. Mas, que até o momento, vem sendo tratada por entidades e pessoas totalmente despreparadas para lidarem com a proteção de dados e todas as consequências que envolvem a aplicação de suas regras.
Colaborador: Enrico Gutierres
Greve • Pejon Sociedade de Advogados
Colaborador: Enrico Gutierres
Greve • Pejon Sociedade de Advogados