Um vazamento de dados ocorrido durante o segundo semestre de 2022 levou a Justiça Federal a definir que aproximadamente 4 milhões de pessoas fossem compensadas com o valor de R$ 15 mil cada, conforme revela o Auxílio Brasil. Os responsáveis pelo pagamento serão a Empresa de Tecnologia e Informações da Previdência (Dataprev), a Caixa Econômica Federal e a Autoridade Nacional de Proteção de Dados (ANPD).
A decisão foi tomada como resposta a uma ação civil pública do Instituto Brasileiro de Defesa da Proteção de Dados Pessoais, Compliance e Segurança da Informação, com discurso favorável do Ministério Público Federal (MPF) em relação à certificação dos direitos dos cidadãos afetados. Um recurso pode ser aplicado contra a decisão.
LEIA TAMBÉM: Na Europa, o TikTok recebeu multa de US$ 368 milhões por não proteger a privacidade das crianças
As informações pessoais foram divulgadas por conta dos bancos de dados guardados pela União, Caixa e Dataprev. Grande parte dos afetados recebiam o Auxílio Brasil. No período próximo a eleição de 2022 houve uma grande porcentagem do benefício para a contratação de crédito consignado.
O vazamento de dados culminou na sua utilização por correspondentes bancários que receberam as informações sem obter o consentimento. Com os dados os correspondentes ofertaram aos clientes produtos variados, como empréstimos. De acordo a procuradora da República, Karen Louise Jeanette Kahn, “esses dados violados pairam no registro e no banco de dados de incontáveis instituições, assim como em poder de terceiros que, facilmente, poderão fazer uso maléfico e fraudulento dessas informações, em franco prejuízo material, moral e social desses cidadãos.”
A gravidade do caso se dá, principalmente, por conta da divulgação sem consentimento ocorrer com órgãos em que os cidadãos possuem conhecimento e confiança.
Como resposta ao caso, a 1ª Vara Cível Federal de São Paulo determinou que os acusados também paguem R$ 40 milhões por danos morais coletivos, uma quantia que seria utilizada ao Fundo de Defesa dos Direitos Difusos.
As rés também precisarão informar ao titulares sobre o ocorrido que gerou o vazamento, as ações que as organizações estão tomando para reduzir os impactos e as medidas para resolução dos riscos.
A Justiça ainda determinou que houvesse a revisão dos sistemas das rés (onde os dados ficam guardados), que aplicassem mecanismos de segurança como forma de preservação e oferecessem os registros e detalhes voltados para a violação do sigilo.
LEIA TAMBÉM: Brokers de acesso utilizam plataforma Teams para fazer ataques de phishing; entenda
O juiz federal Marco Aurelio de Mello Castrianni decidiu que:
i) aos corréus e responsáveis pela guarda de dados o fornecimento de registros de conexão ou de registros de acesso a aplicações de internet existentes entre janeiro de 2022 até julho de 2023, por meio dos quais os dados pessoais das vítimas foram e seguem sendo vazados;
ii) seja imposta à Caixa Econômica Federal a obrigação de fazer, no sentido de ser disponibilizado, no prazo máximo de dez (10) dias, a todos os correntistas contratantes junto à mesma, bem como a todos os titulares de dados vazados, o livre acesso aos registros existentes quanto aos seus dados, os quais deverão ser disponibilizadas de forma clara, adequada, completa e ostensiva, indicando a sua origem, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial;
iii) seja imposta obrigação de fazer aos corréus, no sentido de desenvolverem mecanismos de segurança e de controle preventivo, que impeçam o acesso e malversação a referidos dados, inclusive, em situações de terceirização de serviços da CEF;
iv) seja imposta obrigação de fazer aos corréus, no sentido de comunicarem a todos os titulares dos dados que foram vazados acerca do incidente de segurança que resultou na sua indevida divulgação e compartilhamento, bem assim indicação das medidas adotadas para mitigarem os danos causados, planos para solucionar os eventuais riscos aos seus titulares cidadãos, tal como determina o art. 48 da CEF, sob pena de multa diária no montante de R$ 10.000,00 (dez mil reais), devendo esta comunicação ser feita por meio de cartas com aviso de recebimento (AR) e uma segunda e genérica informação deverá ser igualmente veiculada no âmbito de suas redes e mídias de comunicação, com a mesma finalidade e no mesmo prazo;
v) seja imposta a obrigação de fazer, em atendimento ao disposto no artigo 38 da LGPD10, no sentido de que os controladores responsáveis pela proteção de dados no âmbito das três instituições corrés elaborarem relatórios independentes de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, observados os segredos comercial e industrial;
vi) seja efetuada, por parte dos corréus, revisão do sistema de segurança de armazenamento de dados e suas matrizes de risco, como forma de se evitarem novos e futuros vazamentos;
vii) sejam os corréus condenados ao pagamento indenizatório, por danos morais, em favor de cada um dos titulares de dados pessoais afetados com as práticas ilícitas dos corréus, no montante individual de R$ 15.000,00 (quinze mil reais);
viii) pagamento indenizatório pelo dano moral coletivo gerado, no valor mínimo de R$ 40.000.000,00 (quarenta milhões de reais), com fulcro no art. 6o, VI, do Código de Defesa do Consumidor combinado com o art. 12, inc. II, do Marco Civil da Internet, montante que deverá ser rateado entre os corréus e revertido ao Fundo de Defesa de Direitos Difusos, estabelecido pelo art. 13 da Lei n. 7.347/8512, em observância ao principio da razoabilidade; e
ix) que seja feito o cadastramento da presente Ação Civil Pública no Cadastro Nacional de Informações de Ações Coletivas do CNJ, através de comunicação eletrônica ao setor responsável.
Fonte: Convergência Digital
