A grande repercussão de recentes crimes cibernéticos – usualmente do tipo ramsonware – tem atraído os olhares da população para a quantidade de dados que circula pela Rede Mundial de Computadores e para os riscos envolvidos nas atividades de tratamento. Além disso, falhas de segurança, muitas delas evitáveis e previsíveis, expõem vulnerabilidades técnicas que acirram irregularidades, evidenciando práticas que não atendem aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais da proteção de dados pessoais, propiciando maior recorrência de danos.
Situações assim são noticiadas pela mídia sob a alcunha de "vazamentos"1, embora este termo não corresponda a um conceito técnico. Aliás, a despeito de a Lei Geral de Proteção de Dados Pessoais (lei 13.709/2018, ou apenas LGPD) apresentar um rol de conceitos bastante elucidativo (art. 5º), não há qualquer descrição sobre o que sejam "vazamentos" ou, em termos mais apropriados, "incidentes de segurança".
Trata-se de uma omissão da lei brasileira, que, nesse aspecto, deixou de se inspirar no Regulamento UE 2016/679 (Regulamento Geral sobre a Proteção de Dados, ou RGPD) europeu, que prevê, textualmente, o conceito de "violação de dados pessoais". Tal definição consta do artigo 4º, item 12, do RGPD: "uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento".2
Na LGPD, uma leitura atenta do texto permitirá concluir que a palavra "vazamento" aparece uma única vez, no §7º do artigo 52, que é fruto da reforma empreendida pela Medida Provisória nº 869, de 27 de dezembro de 2018, posteriormente convertida na Lei nº 13.853, de 8 de julho de 2019. Não havia qualquer menção a tal palavra no texto originalmente promulgado. Aliás, no referido dispositivo, são citados os "vazamentos individuais" e os "acessos não autorizados", com expressa remissão ao artigo 46, que inaugura o capítulo da lei dedicado à segurança e às boas práticas.
Consta do artigo 46, caput, da LGPD que "os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito." Se comparado ao artigo 4º, item 12, do RGPD, algumas semelhanças serão prontamente percebidas, embora não haja um conceito assertivo no dispositivo da lei brasileira.
No caput do artigo 48, evidências mais concretas do escopo protetivo da LGPD podem ser inferidas da expressão "incidente de segurança". Não há, entretanto, absoluta clareza conceitual sobre a expressão, uma vez que o dispositivo cuida de estabelecer o dever do controlador de comunicar à Autoridade Nacional de Proteção de Dados – ANPD e ao titular a ocorrência do sobredito incidente.
Uma tentativa elogiável de colmatação do abstruso conceito é fruto do labor da ANPD, que editou um guia procedimental para a comunicação de incidentes de segurança, disponibilizado em seu sítio virtual, donde consta que "um incidente de segurança com dados pessoais é qualquer evento adverso confirmado, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais."3
O conceito de "incidente de segurança" proposto pela ANPD é mais detalhado do que o de "violação de dados pessoais" do regulamento europeu. Fala-se até mesmo no famigerado "vazamento", considerado espécie de incidente de segurança, assim como a perda, a alteração ou quaisquer outras formas de tratamento inadequado ou ilícito. O rol é evidentemente exemplificativo, haja vista o emprego da locução "tais como". Logo, ao menos pelo glossário que rege a interpretação feita pela autoridade brasileira, quando se fala que houve um "vazamento de dados", o que se considera é uma modalidade específica de incidente de segurança, embora não se tenha explicações mais detalhadas sobre o que o configura.
Sequer a tradução da língua inglesa oferece uma explicação definitiva para o termo "vazamento", pois é usual a utilização da expressão personal data breach para se referir a tais eventos.4 A palavra breach é melhor traduzida como "violação", que é exatamente o vocábulo adotado nas versões oficiais do regulamento europeu para países de línguas românicas (derivadas do latim), a saber: Portugal, Espanha, França, Itália e Romênia.5
A palavra inglesa leak estaria melhor associada ao termo "vazamento" e a problemas de quebra da confidencialidade.6 Talvez haja alguma correlação da popularização do termo leak com a proeminência midiática das ações adotadas pelo sítio eletrônico "WikiLeaks", criado por Julian Assange e que está em operação desde 2006. No referido portal, documentos sensíveis e usualmente obtidos de forma ilícita são expostos ao público em ações de hacktivismo.7
É curioso imaginar que alguma espécie de associação do termo "vazamento" à frase "dados são o novo petróleo" ("data is the new oil"), cunhada pelo matemático Clive Humby, possa fazer algum sentido. Sabe-se que tal afirmação é uma alogia, uma vez que a informação que circula pela internet não é caracterizada pela finitude, como o é o petróleo.
De qualquer forma, espera-se que a elucidação seja concretizada em ato normativo infralegal, editado pela autoridade brasileira em cumprimento à competência que lhe é imposta pela lei (art. 55-J, XIII, da LGPD). De todo modo, a falta de um conceito expresso não deve conduzir à equivocada interpretação de que certas falhas estejam fora do contexto almejado pelo legislador para a consolidação da proteção de dados pessoais no Brasil.
É sempre prudente lembrar que, como prevê o artigo 49 da LGPD, "os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares."
Portanto, uma leitura transversal da LGPD, corroborada por sua estrutura principiológica e por regulamentos, como os que venham a ser editados pela ANPD, permite concluir que os agentes de tratamento estão, de fato, vinculados à observância de parâmetros de prevenção contra quaisquer eventos adversos confirmados e que representem ‘resultados e riscos’ indesejados, a configurar espécie de tratamento irregular. Isso consta, inclusive, do artigo 44, inciso II, da LGPD, o que realça a constatação de que não há, na lei, um regime subjetivo de responsabilidade civil. Bem ao contrário, entendemos tratar-se de modalidade de responsabilidade civil objetiva especial, tal como explicado em publicação realizada em coautoria com Rafael de Freitas Valle Dresch8, que já foi corroborada, nesta coluna, em diversas publicações anteriores.9
O princípio da prevenção (art. 6º, VIII) é norma de grande importância para a estruturação dessa conclusão, pois é tal postulado que reverbera seus efeitos quanto à natureza cogente da lei – extraída da utilização do verbo ‘dever’ (no plural, 'devem') no caput do artigo 46 – quanto à adoção de “medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais”, o que é reforçado pelas circunstâncias descritas no rol de incisos do artigo 44.
Em sintonia com o pensamento de Bart van der Sloot, que reconhece a 'privacidade como virtude'10, agrega-se aos citados argumentos a indução à conformidade, mediante a regulação da gestão de riscos a partir de uma noção de reciprocidade, que congrega todos os agentes envolvidos nas atividades de tratamento, em atuação cooperativa e motivada pelo rol de princípios da lei, com destaque à boa-fé (art. 6º, caput) e à transparência (art. 6º, VI), para a garantia de adequada ciência quanto ao tratamento realizado e às adversidades concernentes aos incidentes de segurança (art. 9º e art. 48, §1º).
Logo, sejam os "vazamentos" considerados espécie do gênero "incidente de segurança" – como sugere a ANPD – ou uma categoria sui generis de ilícito relativo a dados pessoais, fato é que sua ocorrência será determinada pela concretude danosa de natureza patrimonial, moral, individual ou coletiva (art. 42), catalisada pela irregularidade da atividade de tratamento, cuja aferição não deverá se pautar por qualquer espécie de culpa, mas pela identificação casuística das situações acidentais ou ilícitas (art. 46) que permitam concluir, a partir de circunstâncias objetivas (art. 44, I a III), que o tratamento realizado, em qualquer de suas etapas, até mesmo após o término (art. 47), não oferece a segurança esperada pelo titular (arts. 44, caput, e 49), e desde que o nexo causal não seja excepcionalmente afastado (art. 43).
*José Luiz de Moura Faleiros Júnior é doutorando em Direito pela USP e pela UFMG. Mestre e bacharel em Direito pela Faculdade de Direito da UFU. Especialista em Direito Processual Civil, Direito Civil e Empresarial, Direito Digital e Compliance. Membro do Instituto Avançado de Proteção de Dados - IAPD e do Instituto Brasileiro de Estudos de Responsabilidade Civil - IBERC. Advogado e professor.
__________
1 Eventos de grandes proporções também já foram noticiados como "megavazamentos". Exemplo recente foi o que envolveu a exposição ilícita dos números de CPF de 223 milhões de brasileiros, quantidade superior à da população do Brasil, atualmente estimada em cerca de 212 milhões.
2 Disponível aqui. Acesso em: 7 set. 2021.
3 AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Comunicação de incidentes de segurança, 22 fev. 2021. Disponível aqui. Acesso em: 7 set. 2021.
4 DAVIDOFF, Sherri. Data breaches: crisis and opportunity. Boston: Addison-Wesley, 2020. p. 4-13.
5 Como foi dito, na versão oficial do RGPD, em Língua Portuguesa, fala-se em "violação de dados pessoais". Por sua vez, os demais países citados adotam as seguintes traduções: "violación de la seguridad de los datos personales" (espanhol), "violation de données à caractère personnel" (francês), "violazione dei dati personali" (italiano), "încalcarea securita?ii datelor cu caracter personal" (romeno). As traduções podem ser consultadas aqui.
6 TAMÒ-LARRIEUX, Aurelia. Designing for privacy and its legal framework: data protection by design and default for the Internet of Things. Cham/Basileia: Springer, 2018. p. 104. A autora anota: "In the early stages of this research, the term “privacy” referred to problems relating to the confidentiality of data, with the main issue being the leakage of data to unauthorized parties."
7 Para melhor compreender o tema, consultar, por todos, GREENBERG, Andy. This machine kills secrets: how WikiLeakers, cypherpunks, and hacktivists aim to free the world's information. Nova York: Dutton, 2012.
8 DRESCH, Rafael de Freitas Valle; FALEIROS JÚNIOR, José Luiz de Moura. Reflexões sobre a responsabilidade civil na Lei Geral de Proteção de Dados (Lei 13.709/2018). In: ROSENVALD, Nelson; DRESCH, Rafael de Freitas Valle; WESENDONCK, Tula (Coord.). Responsabilidade civil: novos riscos. Indaiatuba: Foco, 2019. p. 65-90.
9 Conferir, sobre o tema, a coluna de 2 de julho de 2020, com o título "A especial responsabilidade civil na Lei Geral de Proteção de Dados", escrita por Rafael de Freitas Valle Dresch (em: https://s.migalhas.com.br/S/D21584); a de 27 de novembro de 2020, intitulada "Direito fundamental à proteção de dados e responsabilidade civil", escrita pelo mesmo autor, mas em coautoria com Lílian Brandt Stein (aqui); e, ainda, a coluna de 19 de março de 2021, "O compliance e a redução equitativa da indenização na LGPD", assinada por Nelson Rosenvald (aqui).
10 VAN DER SLOOT, Bart. Privacy as virtue: moving beyond the individual in the Age of Big Data. Cambridge: Intersentia, 2017. p. 169.