1. Contexto dos vazamentos de milhões de usuários do Facebook
Em sentença publicada no dia 25 de julho de 2023, o juízo da 29ª Vara Cível de Belo Horizonte condenou a Meta, proprietária do Facebook, Messenger e do WhatsApp, ao pagamento de danos morais aos 29.000.000 (vinte e nove milhões de titulares) que tiveram seus dados expostos.
Após o vazamento de dados de milhões de usuários do Messenger e do WhatsApp em 2018 e 2019, o Instituto Defesa Coletiva promoveu 2 (duas) Ações Civis Públicas contra o Facebook (responsável pelos aplicativos), com o objetivo de responsabilizar a empresa pelos danos causados aos consumidores.1
Conforme a condenação aplicada pelo Poder Judiciário Mineiro, a empresa terá de pagar R$ 20.000.00,00 (vinte milhões de reais) para o Fundo Estadual de Defesa e Proteção do Consumidor de Minas Gerais.
Quanto ao usuário, o valor da sentença é de R$ 5.000,00 (cinco mil reais) para cada um, mediante a demonstração de que se adequava à condição de usuário do serviço (Facebook/Messenger/WhatsApp), à época dos vazamentos de dados. Na decisão consta, ainda, que o valor deve ser acrescido de juros de 1% (um por cento), desde a data da citação da empresa. O cumprimento da sentença em relação aos danos morais individuais terá de ocorrer na residência de cada usuário.
O magistrado apontou que "a falha desse sistema deve ser atribuída a quem dele usufrui como fonte de lucro, o chamado risco da atividade"2, o que mostra que foi caracterizada a violação da segurança, ou seja, não foram usadas as medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, como prevê o artigo 6, inciso VII, da LGPD.
Como a sentença foi proferida em primeira instância, cabem recursos das partes. O Instituto Defesa Coletiva apresentou recurso solicitando que a indenização seja paga diretamente no cartão de crédito dos usuários/titulares de dados, como ocorreu nos Estados Unidos. Diante disso, a decisão pode ser modificada, inclusive no caso de recurso interposto pela empresa.
Importante contextualizar que, como o juiz ponderou na sentença, "o dano moral coletivo é categoria autônoma de dano e se caracteriza por lesão grave, injusta e intolerável a valores e a interesses fundamentais da sociedade, independentemente da comprovação de prejuízos concretos ou de efetivo abalo moral".3
Vazamentos de dados continuam sendo uma das preocupações mais presentes na atualidade, uma vez que os ataques cibernéticos em larga escala vêm aumentando significativamente.
Nesse sentido, recentemente, uma pesquisa da IBM apontou que aplicar recursos de Inteligência Artificial em Cibersegurança gera economias visíveis, tanto em recursos financeiros quanto em tempo de reação. Na visão de especialistas da companhia, a tecnologia deve ser uma prioridade nas estratégias de defesa. Apesar dos benefícios visíveis de novas tecnologias, o setor de Cyber tem demonstrado dificuldade em integrá-las amplamente.4
Aumentar a velocidade e a acurácia nas respostas aos incidentes é uma das metas mais visadas pelas organizações atualmente.
A Câmara dos Deputados aprovou o PL 1.876/23, que torna obrigatória a divulgação, em veículos de grande circulação, de incidentes de segurança que possam acarretar risco ou dano relevante aos titulares de dados pessoais.5
2. Cronologia dos incidentes
Segundo o Instituto Defesa Coletiva, os vazamentos ocorreram na seguinte ordem:
25/09/2018. Dados vazados: detalhes de contato, nome, número de telefone e e-mail, gênero, localidade, idioma, status de relacionamento, religião, cidade natal, data de nascimento, dispositivos usados para acessar o Facebook, educação, trabalho e os últimos 10 (dez) locais onde estiveram ou nos quais foram marcados. Número de titulares afetados: 29.000.000 (vinte e nove) milhões de usuários.
14/12/2018. Dados vazados: fotografias dos usuários, incluindo stories e as fotografias carregadas, porém não publicadas. Número de titulares afetados: 6,8 milhões de usuários.
03/04/2019. Senhas, contas e detalhes de movimentação, como informações de curtidas, comentários, imagens, entre outras interações na rede social. Número de titulares afetados: 450.000.000 (quatrocentos e cinquenta milhões) de usuários.
13/05/2019. Todos os dados contidos em smartphones dos usuários afetados, incluindo aplicativos, imagens, vídeos, documentos e acesso às câmeras. Número de titulares afetados: não informado pela empresa.
13/08/2019. Áudios enviados pelos consumidores da rede social no Messenger. Número de titulares afetados: não informado pela empresa.
3. Como os usuários poderão checar se os seus dados foram vazados?
A LGPD, em seu artigo 48, prevê e determina que o agente de tratamento notifique a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares envolvidos no incidente. Claro que o titular de dados também pode efetuar pesquisas de informações na Internet. No entanto, as responsabilidades do controlador de dados estão expressas na lei.
Por outro lado, a LGPD prevê em seu artigo 41, que o profissional encarregado da proteção de dados que, neste caso, deve fazer cumprir a legislação de proteção de dados. Entre diversas atribuições, deve prestar esclarecimentos e adotar providências cabíveis, como práticas a serem tomadas em caso de incidentes.
Especificamente quanto aos vazamentos em contexto das ações judiciais movidas, de acordo com a decisão, o titular de dados deve comprovar que, à época dos vazamentos, era usuário da referida rede social. Na hipótese do usuário ter, de forma intencional solicitado a exclusão, poderá requerer a recuperação da conta.
Cabe lembrar que os usuários podem buscar informações de eventuais envolvimentos de plataformas em vazamentos no Facebook e no WhatsApp, no item das configurações. Isso auxilia no monitoramento, por parte dos titulares de dados, acerca das atividades realizadas (Facebook: configurações e privacidade > Seu tempo no Facebook >Ver tempo > Ver registros > Ver histórico de atividades; WhatsApp: configurações > Conta > Solicitar dados da conta > “Solicitar relatório).
Outra ferramenta muito útil é a integrada ao Chrome, que faz análise automática das senhas armazenadas no navegador. Após ativação no site passwords.google.com, ele faz as verificações em tempo real, indica problemas de segurança, dá dicas sobre a força das senhas, entre outros.6
4. Considerações finais
Para muito além de especulações se a LGPD seria ou será levada a sério em sua eficácia, iniciativas preventivas e de fiscalização relacionadas à Autoridade Nacional de Proteção de Dados (ANPD), bem como ações judiciais discutindo a privacidade de dados no país vêm se descortinando, como foi o caso de mais essa ação judicial promovida pelo Instituto Defesa Coletiva contra o Facebook, trazendo grande repercussão social.
Por um lado, o movimento de conscientização dos cidadãos e usuários de redes sociais em termos de privacidade cresce, empoderando o titular de dados; por outro lado, as empresas possuem cada vez mais desafios no combate aos ciberataques, sobretudo na atuação preventiva e eficaz, exigindo, igualmente, uma abordagem proativa de gerenciamento de riscos de segurança para a redução da probabilidade de incidentes.
O dano decorrente de atuações apenas reativas afeta sobremaneira o titular de dados, que é o dono do dado e espera, portanto, receber a segurança adequada dos agentes de tratamento, notadamente quando em jogo interesses coletivos, o que torna inafastável os cuidados, o gerenciamento de riscos cibernéticos, o controle da privacidade e também a responsabilidade de controladores e operadores nas atividades de tratamento de dados pessoais.
Esses 5 (cinco) anos de implementação da LGPD trazem retratos do momento da Privacidade e Proteção de Dados no Brasil, demandando educação e conscientização continuadas, bem como investimentos em segurança cibernética.
___________
1 O Instituto Defesa Coletiva é uma entidade da sociedade civil, sem fins lucrativos, fundada em 1999 e que declara como propósitos garantir os direitos coletivos, do cidadão e do consumidor. Disponível em: https://defesacoletiva.org.br/site/acpfacebook. Acesso em: 15.ago.2023.
2 Disponível em: https://pje-consulta-publica.tjmg.jus.br/pje/ConsultaPublica/DetalheProcessoConsultaPublica/listView.seam?ca=e733eaae91bf617bfdaa648fdad768cc5a71f636d4bd8bad. Acesso em: 15.ago.2023.
3 Processo 5127283-45.2019.8.13.0024, PODER JUDICIÁRIO DO ESTADO DE MINAS GERAIS Justiça de Primeira Instância Comarca de Belo Horizonte / 29ª Vara Cível da Comarca de Belo Horizonte. Veja a sentença em: https://www.migalhas.com.br/arquivos/2023/8/9F7CBE9C1EDBAE_5127283-45.2019.8.13.0024_9872.pdf. Acesso em: 15.ago.2023.
4 Disponível em: https://www.securityreport.com.br/com-ai-empresas-poupam-mais-de-us-1-milhao-em-custos-de-violacao-de-dados/?utm_campaign=sr_daily_--_100823&utm_medium=email&utm_source=RD+Station. Acesso em: 15.ago.2023.
5 Disponível em: ??https://www.camara.leg.br/proposicoesWeb/fichadetramitacao?idProposicao=2356236. Acesso em: 15.ago.2023.
6 Disponível em: https://olhardigital.com.br/2023/03/23/pro/facebook-rede-social-vai-indenizar-mais-de-oito-milhoes-de-brasileiros-que-tiveram-dados-vazados. Acesso em: 15.ago.2023.