MIGALHAS DE PESO

  1. Home >
  2. De Peso >
  3. Empresas públicas: condenação baseada na LGPD, Marco Civil da Internet e CDC

Empresas públicas: condenação baseada na LGPD, Marco Civil da Internet e CDC

Adrianne Lima

Entenda os pormenores da recente decisão judicial e as lições aprendidas.

sexta-feira, 15 de setembro de 2023

Atualizado às 14:26

Contextualização:

Em 6 de setembro de 2023, a Justiça Federal da 3ª Região (1ª Vara Cível Federal de São Paulo) emitiu uma sentença, nos autos da Ação Civil Pública n. 5028572-20.2022.4.03.6100, condenando:

1. Instituição financeira pública, que atua como agente pagador de diversos programas federais;

2. Empresa pública especializada em soluções de tecnologia da informação e comunicação.

Observação: a sentença ainda permite recurso, servindo, por enquanto, como benchmarking sobre as questões debatidas e interpretadas pelo Poder Judiciário sobre o tema de Proteção de Dados e Privacidade.

O Caso: O Instituto Brasileiro de Defesa da Proteção de Dados Pessoais, Compliance e Segurança da Informação - SIGILO ajuizou a ação civil pública, argumentando que, em 24 de outubro de 2022, um significativo vazamento de dados ocorreu, afetando dados pessoais de mais de 4 milhões de beneficiários do programa Auxílio Brasil.

Detalhamento do Vazamento: Teria ocorrido través de correspondentes bancários, que tiveram acesso aos dados pessoais dos beneficiários e compartilharam de forma indevida. Estima-se que 20% dos beneficiários do programa Auxílio Brasil tiveram seus dados expostos, sendo utilizados para a venda de produtos financeiros, especialmente o crédito consignado. Dentre os dados vazados, constavam: endereço, número de celular, data de nascimento, valor do benefício, e números do NIS e do CadSUS.

Decisão Judicial: O juiz considerou o pedido parcialmente procedente. Os réus foram reconhecidos como responsáveis pelo vazamento, sendo várias obrigações estipuladas:

Para todos os corréus:

1. Fornecimento de Registros: São obrigados a fornecer registros de conexão ou de acesso a aplicações de internet que abrangem o período de janeiro de 2022 até julho de 2023, específicos ao incidente de vazamento.

2. Desenvolvimento de Mecanismos de Segurança: A fim de garantir que tais incidentes não se repitam, os corréus devem criar ou reforçar seus sistemas de segurança de dados.

3. Comunicação aos Titulares dos Dados: É mandatório informar todos os titulares dos dados vazados sobre o incidente, detalhando a natureza do vazamento e as medidas adotadas em resposta.

4. Elaboração de Relatórios: Os controladores responsáveis pela proteção de dados no âmbito das três instituições corrés elaborem relatórios independentes de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados (artigo 38 da LGPD).

5. Revisão do Sistema de Segurança: Uma revisão abrangente do sistema atual para identificar e corrigir quaisquer deficiências.

6. Indenizações: Os corréus foram instruídos a pagar indenizações individuais no valor de R$ 15.000,00 a cada titular afetado pelo vazamento.

7. Indenização Coletiva: Um montante de R$ 40.000.000,00 deve ser pago ao Fundo de Defesa de Direitos Difusos.

8. Registro da Ação: É obrigatório o registro da ação no Cadastro Nacional de Ações Coletivas do CNJ.

Para a instituição financeira:

Acesso aos Registros: A instituição deve disponibilizar, em até 10 dias, o acesso aos registros de dados para os correntistas e titulares dos dados que foram vazados.

Lições Aprendidas:

  1. Entendimento Organizacional: É fundamental compreender a missão e as ações das entidades envolvidas.
  2. Mapeamento de Processos: É crucial conhecer os fluxos de dados, seu armazenamento e quem pode acessá-los.
  3. Identificação de Riscos: Estes riscos abrangem terceiros, incluindo correspondentes bancários.
  4. Treinamentos: Realizar treinamentos constantes, não só para equipes internas, mas também para parceiros terceirizados. É crucial que os colaboradores tenham acesso a dados pessoais no cotidiano organizacional. Eles podem necessitar desses dados para:
    • Identificação e Comunicação: Engajar diretamente com cidadãos, fornecedores, funcionários, entre outros.
    • Gestão de Recursos Humanos: Administrar contratações, pagamentos, benefícios, avaliações, etc.
    • Prestação de Serviços ao Cidadão: Como a emissão de documentos e registros civis.
    • Atendimento ao Público: Atender reclamações, dúvidas e sugestões dos cidadãos.

Treinamento e Conscientização: Pilares e temas para uma organização alinhada à LGPD

Estudos do Fórum Econômico Mundial indicam que 95% dos problemas de cibersegurança resultam de falhas dos usuários, e não dos sistemas.

Conforme o artigo 50 da LGPD, é necessário que as organizações promovam ações educativas para o estabelecimento de Boas Práticas e Governança (Programa de Governança em Privacidade).

Ainda, a resolução CMN 4.935/21 regula a contratação de correspondentes que prestam serviços a instituições financeiras autorizadas pelo Banco Central do Brasil. Estes correspondentes podem prestar serviços pessoalmente ou digitalmente.

Importante ressaltar que, conforme a LGPD (lei 13.709/18), os controladores (contratantes) também podem ser responsabilizados por atos dos operadores (contratados) no que tange a medidas de segurança da informação e governança em privacidade.

As atividades dos correspondentes frequentemente envolvem o acesso e armazenamento de dados pessoais, e estão sujeitas à LGPD. Uma novidade da Resolução é a exigência de certificação dos correspondentes, garantindo que possuam conhecimento técnico adequado.

O mercado financeiro brasileiro tem se adaptado rapidamente, incorporando novas tecnologias e cumprindo requisitos legislativos. As instituições financeiras e demais organizações que se adaptam à LGPD se beneficiam ao ganhar maior credibilidade, proteger sua reputação, ganhar vantagem competitiva e fortalecer parcerias estratégicas.

Com base em nossa expertise, enfatizamos a importância de uma abordagem estratégica e personalizada no desenvolvimento de Programas de Treinamento em Proteção de Dados e Privacidade. As seguintes diretrizes são cruciais:

  • Adaptação à Organização: O programa deve ser modelado de acordo com o segmento de atuação da empresa, sua Missão, Visão e Valores.
  • Avaliação de Riscos: É vital conduzir uma avaliação minuciosa dos riscos associados à Proteção de Dados e Privacidade, a fim de estabelecer estratégias adequadas.
  • Definição Clara do Escopo: Determine o escopo completo do programa PDP&P, garantindo que abranja todas as áreas pertinentes.
  • Interesse em Capacitação Avançada: Avalie o interesse da organização em cursos avançados, priorizando certificações para Data Protection Officer - DPO (Encarregado de Proteção de Dados) e equipes dedicadas a PD&P.
  • Personalização por Departamento: Desenvolva boas práticas ajustadas para cada departamento ou área da organização, garantindo a eficácia da implementação.

Exemplos de Treinamentos para Conscientização e Mudança Cultural:

  1. Workshop de Governança em Privacidade: Este curso proporciona diretrizes específicas para a inserção do DPO na estrutura da organização.
  2. Workshop de Sensibilização para Colaboradores: Programa de conscientização direcionado a mudar a cultura organizacional em relação à proteção de dados.
  3. Workshop para Alta Gestão: Customizado conforme o segmento de atuação, utilizando benchmark jurisprudencial (tanto judicial quanto administrativo) para apoiar decisões estratégicas.

Capacitações complementares - Escola Portal do Treinamento:

Suporte em cursos in company, tanto o setor público quanto o privado, com capacitações variadas, atendendo a diferentes necessidades e níveis profissionais. Nossos workshops e cursos incluem:

  • Mapeamento de Processos: Habilita os colaboradores a compreender e mapear processos de negócios e TI, em alinhamento com a Governança.
  • Management 3.0: Proporciona habilidades em gestão organizacional, preparando o indivíduo para enfrentar desafios contemporâneos com liderança eficaz.
  • COBIT 5® Foundation: Equipa os colaboradores com práticas internacionalmente reconhecidas para governança e gestão de IT, preparando-os para a certificação COBIT 5® Foundation.
  • Scrum Master: Capacita os profissionais a entender e aplicar o Scrum, possibilitando ainda que busquem certificação SCRUM.
  • Plano de Continuidade de Negócios (Baseado na ISO 22301): Prepara os colaboradores para assegurar a continuidade dos negócios em face de adversidades.
  • Formação Data Protection Officer - DPO: Uma trilha educacional vital para os responsáveis pela proteção de dados, enfatizando a conformidade e redução de riscos relacionados à privacidade, com cursos de segurança da informação, teórico e prático de proteção de dados e privacidade.

Por fim, fica evidente a imperatividade de um compromisso sólido com a proteção de dados por todas as entidades, públicas ou privadas. A era digital traz benefícios, mas também responsabilidades e riscos que não podem ser ignorados.

-----------------------------------

BERGAMO, Mônica. Justiça determina que Caixa e União indenizem 4 milhões de beneficiários do Auxílio Brasil por vazamento. Folha de São Paulo, São Paulo, 13 set. 2023. Coluna Mônica Bergamo. Disponível em: https://www1.folha.uol.com.br/colunas/monicabergamo/2023/09/justica-determina-que-caixa-e-uniao-indenizem-4-mi-de-beneficiarios-do-auxilio-brasil-por-vazamento.shtml. Acesso em: 13 set. 2023.

BRASIL. Justiça Federal da 3ª Região - 1º grau. Ação Civil Pública. Processo n. 5028572-20.2022.4.03.6100. Disponível em: https://static.poder360.com.br/2023/09/decisaojustica-13set2023.pdf. Acesso em: 13 set. 2023.

INFORCHANNEL. Falha humana é a maior a causa dos problemas de cibersegurança. Disponível em: https://inforchannel.com.br/2022/10/28/falha-humana-e-a-maior-a-causa-dos-problemas-de-ciberseguranca/

LIMA, Adrianne. Alcassa, Flávia. Em vigor novas regras para contratação de Correspondentes Bancários, os quais devem ser certificados sobre CDC e LGPD - Resolução CMN 4.935/21. Disponível em: https://www.migalhas.com.br/depeso/359219/novas-regras-em-contratacao-de-correspondentes-bancarios-cdc-e-lgpd.

LIMA, Adrianne. Referência federal de ações para cumprimento da Lei Geral de Proteção de Dados Pessoais - LGPD. Disponível em: https://www.adriannelima.com.br/lgpd/referencia-federal-de-acoes-para-cumprimento-da-lei-geral-de-protecao-de-dados-pessoais-lgpd/

MACEDO, Fausto. Juiz condena Caixa à multa bilionária por vazamento de dados de beneficiários do Auxílio Brasil. Estadão, [S.l.], 13 set. 2023. Disponível em: https://www.estadao.com.br/politica/blog-do-fausto-macedo/juiz-condena-caixa-a-multa-bilionaria-por-vazamento-de-dados-de-beneficiarios-do-auxilio-brasil/. Acesso em: 13 set. 2023.

PORTAL DO TREINAMENTO. Formação e cursos in company. Disponível em: www.portaldotreinamento.com.br

THE BRAZILIAN REPORT. Brazil's government convicted for data leak exposed. Disponível em: https://brazilian.report/liveblog/politics-insider/2023/09/11/government-convicted-data-leak/. Acesso em: 13 set. 2023.

Adrianne Lima

Adrianne Lima

Advogada na Adrianne Lima Consultoria e Treinamentos, Consultora em LGPD, DPO as a service (terceirizado), Professora universitária, Mestre em Administração pela Mackenzie. [email protected]

APOIADORES
Apoiador Migalhas
ver todos
FOMENTADORES
Fomentador Migalhas
ver todos

AUTORES MIGALHAS

Busque pelo nome ou parte do nome do autor para encontrar publicações no Portal Migalhas.

Busca
QUERO SER MIGALHEIRO VIP