Empresas públicas: condenação baseada na LGPD, Marco Civil da Internet e CDC

Contextualização:

Em 6 de setembro de 2023, a Justiça Federal da 3ª Região (1ª Vara Cível Federal de São Paulo) emitiu uma sentença, nos autos da Ação Civil Pública n. 5028572-20.2022.4.03.6100, condenando:

1. Instituição financeira pública, que atua como agente pagador de diversos programas federais;

2. Empresa pública especializada em soluções de tecnologia da informação e comunicação.

Observação: a sentença ainda permite recurso, servindo, por enquanto, como benchmarking sobre as questões debatidas e interpretadas pelo Poder Judiciário sobre o tema de Proteção de Dados e Privacidade.

O Caso: O Instituto Brasileiro de Defesa da Proteção de Dados Pessoais, Compliance e Segurança da Informação - SIGILO ajuizou a ação civil pública, argumentando que, em 24 de outubro de 2022, um significativo vazamento de dados ocorreu, afetando dados pessoais de mais de 4 milhões de beneficiários do programa Auxílio Brasil.

Detalhamento do Vazamento: Teria ocorrido través de correspondentes bancários, que tiveram acesso aos dados pessoais dos beneficiários e compartilharam de forma indevida. Estima-se que 20% dos beneficiários do programa Auxílio Brasil tiveram seus dados expostos, sendo utilizados para a venda de produtos financeiros, especialmente o crédito consignado. Dentre os dados vazados, constavam: endereço, número de celular, data de nascimento, valor do benefício, e números do NIS e do CadSUS.

Decisão Judicial: O juiz considerou o pedido parcialmente procedente. Os réus foram reconhecidos como responsáveis pelo vazamento, sendo várias obrigações estipuladas:

Para todos os corréus:

1. Fornecimento de Registros: São obrigados a fornecer registros de conexão ou de acesso a aplicações de internet que abrangem o período de janeiro de 2022 até julho de 2023, específicos ao incidente de vazamento.

2. Desenvolvimento de Mecanismos de Segurança: A fim de garantir que tais incidentes não se repitam, os corréus devem criar ou reforçar seus sistemas de segurança de dados.

3. Comunicação aos Titulares dos Dados: É mandatório informar todos os titulares dos dados vazados sobre o incidente, detalhando a natureza do vazamento e as medidas adotadas em resposta.

4. Elaboração de Relatórios: Os controladores responsáveis pela proteção de dados no âmbito das três instituições corrés elaborem relatórios independentes de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados (artigo 38 da LGPD).

5. Revisão do Sistema de Segurança: Uma revisão abrangente do sistema atual para identificar e corrigir quaisquer deficiências.

6. Indenizações: Os corréus foram instruídos a pagar indenizações individuais no valor de R$ 15.000,00 a cada titular afetado pelo vazamento.

7. Indenização Coletiva: Um montante de R$ 40.000.000,00 deve ser pago ao Fundo de Defesa de Direitos Difusos.

8. Registro da Ação: É obrigatório o registro da ação no Cadastro Nacional de Ações Coletivas do CNJ.

Para a instituição financeira:

- Acesso aos Registros: A instituição deve disponibilizar, em até 10 dias, o acesso aos registros de dados para os correntistas e titulares dos dados que foram vazados.

Lições Aprendidas:

1. Entendimento Organizacional: É fundamental compreender a missão e as ações das entidades envolvidas.
2. Mapeamento de Processos: É crucial conhecer os fluxos de dados, seu armazenamento e quem pode acessá-los.
3. Identificação de Riscos: Estes riscos abrangem terceiros, incluindo correspondentes bancários.
4. Treinamentos: Realizar treinamentos constantes, não só para equipes internas, mas também para parceiros terceirizados. É crucial que os colaboradores tenham acesso a dados pessoais no cotidiano organizacional. Eles podem necessitar desses dados para:
• Identificação e Comunicação: Engajar diretamente com cidadãos, fornecedores, funcionários, entre outros.
• Gestão de Recursos Humanos: Administrar contratações, pagamentos, benefícios, avaliações, etc.
• Prestação de Serviços ao Cidadão: Como a emissão de documentos e registros civis.
• Atendimento ao Público: Atender reclamações, dúvidas e sugestões dos cidadãos.

Treinamento e Conscientização: Pilares e temas para uma organização alinhada à LGPD

Estudos do Fórum Econômico Mundial indicam que 95% dos problemas de cibersegurança resultam de falhas dos usuários, e não dos sistemas.

Conforme o artigo 50 da LGPD, é necessário que as organizações promovam ações educativas para o estabelecimento de Boas Práticas e Governança (Programa de Governança em Privacidade).

Ainda, a resolução CMN 4.935/21 regula a contratação de correspondentes que prestam serviços a instituições financeiras autorizadas pelo Banco Central do Brasil. Estes correspondentes podem prestar serviços pessoalmente ou digitalmente.

Importante ressaltar que, conforme a LGPD (lei 13.709/18), os controladores (contratantes) também podem ser responsabilizados por atos dos operadores (contratados) no que tange a medidas de segurança da informação e governança em privacidade.

As atividades dos correspondentes frequentemente envolvem o acesso e armazenamento de dados pessoais, e estão sujeitas à LGPD. Uma novidade da Resolução é a exigência de certificação dos correspondentes, garantindo que possuam conhecimento técnico adequado.

O mercado financeiro brasileiro tem se adaptado rapidamente, incorporando novas tecnologias e cumprindo requisitos legislativos. As instituições financeiras e demais organizações que se adaptam à LGPD se beneficiam ao ganhar maior credibilidade, proteger sua reputação, ganhar vantagem competitiva e fortalecer parcerias estratégicas.

Com base em nossa expertise, enfatizamos a importância de uma abordagem estratégica e personalizada no desenvolvimento de Programas de Treinamento em Proteção de Dados e Privacidade. As seguintes diretrizes são cruciais:

• Adaptação à Organização: O programa deve ser modelado de acordo com o segmento de atuação da empresa, sua Missão, Visão e Valores.
• Avaliação de Riscos: É vital conduzir uma avaliação minuciosa dos riscos associados à Proteção de Dados e Privacidade, a fim de estabelecer estratégias adequadas.
• Definição Clara do Escopo: Determine o escopo completo do programa PDP&P, garantindo que abranja todas as áreas pertinentes.
• Interesse em Capacitação Avançada: Avalie o interesse da organização em cursos avançados, priorizando certificações para Data Protection Officer – DPO (Encarregado de Proteção de Dados) e equipes dedicadas a PD&P.
• Personalização por Departamento: Desenvolva boas práticas ajustadas para cada departamento ou área da organização, garantindo a eficácia da implementação.

Exemplos de Treinamentos para Conscientização e Mudança Cultural:

1. Workshop de Governança em Privacidade: Este curso proporciona diretrizes específicas para a inserção do DPO na estrutura da organização.
2. Workshop de Sensibilização para Colaboradores: Programa de conscientização direcionado a mudar a cultura organizacional em relação à proteção de dados.
3. Workshop para Alta Gestão: Customizado conforme o segmento de atuação, utilizando benchmark jurisprudencial (tanto judicial quanto administrativo) para apoiar decisões estratégicas.

Capacitações complementares – Escola Portal do Treinamento:

Suporte em cursos in company, tanto o setor público quanto o privado, com capacitações variadas, atendendo a diferentes necessidades e níveis profissionais. Nossos workshops e cursos incluem:

• Mapeamento de Processos: Habilita os colaboradores a compreender e mapear processos de negócios e TI, em alinhamento com a Governança.
• Management 3.0: Proporciona habilidades em gestão organizacional, preparando o indivíduo para enfrentar desafios contemporâneos com liderança eficaz.
• COBIT 5® Foundation: Equipa os colaboradores com práticas internacionalmente reconhecidas para governança e gestão de IT, preparando-os para a certificação COBIT 5® Foundation.
• Scrum Master: Capacita os profissionais a entender e aplicar o Scrum, possibilitando ainda que busquem certificação SCRUM.
• Plano de Continuidade de Negócios (Baseado na ISO 22301): Prepara os colaboradores para assegurar a continuidade dos negócios em face de adversidades.
• Formação Data Protection Officer - DPO: Uma trilha educacional vital para os responsáveis pela proteção de dados, enfatizando a conformidade e redução de riscos relacionados à privacidade, com cursos de segurança da informação, teórico e prático de proteção de dados e privacidade.

Por fim, fica evidente a imperatividade de um compromisso sólido com a proteção de dados por todas as entidades, públicas ou privadas. A era digital traz benefícios, mas também responsabilidades e riscos que não podem ser ignorados.

-----------------------------------

BERGAMO, Mônica. Justiça determina que Caixa e União indenizem 4 milhões de beneficiários do Auxílio Brasil por vazamento. Folha de São Paulo, São Paulo, 13 set. 2023. Coluna Mônica Bergamo. Disponível em: https://www1.folha.uol.com.br/colunas/monicabergamo/2023/09/justica-determina-que-caixa-e-uniao-indenizem-4-mi-de-beneficiarios-do-auxilio-brasil-por-vazamento.shtml. Acesso em: 13 set. 2023.

BRASIL. Justiça Federal da 3ª Região - 1º grau. Ação Civil Pública. Processo n. 5028572-20.2022.4.03.6100. Disponível em: https://static.poder360.com.br/2023/09/decisaojustica-13set2023.pdf. Acesso em: 13 set. 2023.

INFORCHANNEL. Falha humana é a maior a causa dos problemas de cibersegurança. Disponível em: https://inforchannel.com.br/2022/10/28/falha-humana-e-a-maior-a-causa-dos-problemas-de-ciberseguranca/

LIMA, Adrianne. Alcassa, Flávia. Em vigor novas regras para contratação de Correspondentes Bancários, os quais devem ser certificados sobre CDC e LGPD - Resolução CMN 4.935/21. Disponível em: https://www.migalhas.com.br/depeso/359219/novas-regras-em-contratacao-de-correspondentes-bancarios-cdc-e-lgpd.

LIMA, Adrianne. Referência federal de ações para cumprimento da Lei Geral de Proteção de Dados Pessoais – LGPD. Disponível em: https://www.adriannelima.com.br/lgpd/referencia-federal-de-acoes-para-cumprimento-da-lei-geral-de-protecao-de-dados-pessoais-lgpd/

MACEDO, Fausto. Juiz condena Caixa à multa bilionária por vazamento de dados de beneficiários do Auxílio Brasil. Estadão, [S.l.], 13 set. 2023. Disponível em: https://www.estadao.com.br/politica/blog-do-fausto-macedo/juiz-condena-caixa-a-multa-bilionaria-por-vazamento-de-dados-de-beneficiarios-do-auxilio-brasil/. Acesso em: 13 set. 2023.

PORTAL DO TREINAMENTO. Formação e cursos in company. Disponível em: www.portaldotreinamento.com.br

THE BRAZILIAN REPORT. Brazil's government convicted for data leak exposed. Disponível em: https://brazilian.report/liveblog/politics-insider/2023/09/11/government-convicted-data-leak/. Acesso em: 13 set. 2023.

Adrianne Lima
Advogada na Adrianne Lima Consultoria e Treinamentos, Consultora em LGPD, DPO as a service (terceirizado), Professora universitária, Mestre em Administração pela Mackenzie. contato@adriannelima.com.br