A manutenção da segurança de dados pessoais é obrigação das pessoas naturais ou jurídicas que realizam operações com dados pessoais, tais como a utilização, acesso ou armazenamento desses dados.
A Lei Geral de Proteção de Dados Pessoais (LGPD) prevê em seu art. 46 que controladores e operadores devem se utilizar de medidas de segurança, técnicas e administrativas aptas a proteger os dados de acessos não autorizados, ou de situações acidentais ou ilícitas de comunicação dos dados pessoais.
O acórdão do Tribunal de Justiça de São Paulo reconheceu a vulnerabilidade do sistema ao divulgar dados pessoais do titular a terceiros, e considerou que a empresa responsável pelo tratamento dos dados não justificou de forma satisfatória o ocorrido, ao afirmar que pequenos problemas como esses muito raramente podem acontecer. Com base no art. 44 da LGPD, foi estabelecida a reparação por danos morais.
Assim, tendo em vista que a legítima expectativa do titular dos dados pessoais de ter sua privacidade preservada ao realizar a compra online foi quebrada, e que o defeito na segurança se insere no próprio risco da atividade desenvolvida pela empresa, ficou decidido que a divulgação de dados pessoais acessível por terceiros é hábil a ensejar a indenização por danos morais.
O acórdão ainda utilizou como fundamento o art. 14 do Código de Defesa do Consumidor, que dispõe que o fornecedor de serviços responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, para aplicar a responsabilidade objetiva da empresa por eventual falha em seu sistema eletrônico.
Portanto, e de acordo com a interpretação do art. 44 da LGPD, como o tratamento de dados será irregular à medida que medidas técnicas e organizacionais de segurança estiverem defasadas e desatualizadas, é importante que sejam realizados o monitoramento e a atualização periódicos das medidas de segurança e de conformidade da empresa, para que se possa mitigar o risco proveniente do tratamento de dados.
Para que estejam adequadas à LGPD, é preciso não só que as empresas façam atividades pontuais de implementação de tecnologias para essa proteção. É necessário o estabelecimento de governança de segurança da informação que leve em consideração os riscos e implemente controles adequados para mitigá-los.
MARINA PEREIRA DINIZ
Advogada. Graduada em Direito pela Universidade Estadual Paulista “Júlio de Mesquita Filho” (UNESP).
