Hackeamento de dados pessoais e financeiros na internet: nova Lei Geral de Proteção de Dados (Lei n. 13.853/2019)

18/11/2019 16:25

A responsabilidade civil objetiva e o risco integral do prestador de serviço online na obrigação de indenizar.

 

Quem por aí nunca teve uma conta de e-mail, Facebook, Instagram, hackeada? Se você nunca passou por esse "aperreio" pode se considerar dentre o time dos felizardos online!

Do contrário, não fique abalado: fazemos parte de um time ainda maior.

A (triste) realidade é que cotidianamente estamos sendo alvo de reiteradas invasões e roubos digitais de todas as espécies.

Nossos dados pessoais e financeiros (principalmente) são uma valiosa mercadoria entre os traders empresariais - que estudam estratégias de marketing e padrões de consumo, ou ainda entre aqueles que atuam no espaço mais dark da rede: os falsários e golpistas digitais.

Isso porque ao configurarmos contas em aplicativos e plataformas digitais de relacionamento, compra e venda, ou ainda em grandes sites de games, entregamos importantes informações: Nome, Endereço, Informações Bancárias.. tudo isso interconectado com inúmeras outras plataformas por meio das "linkagens".

Esse cenário permite uma série de riscos que vão desde o acesso e compartilhamento indevido de informações e conteúdos digitais delicados até fraude bancária e estelionato.

O assunto é realmente muito sério.

Daí a necessidade de discutirmos a responsabilidade das empresas e servidores digitais nos casos de quebra da privacidade e exposição indevida de informações pessoais por hackeamento.

Pois bem: aí seguem algumas notas que acredito serem úteis para afirmar que estes empreendimentos digitais são objetiva e integralmente responsáveis pela quebra de privacidade.

É que nas relações de consumo definidas pelo Código de Defesa do Consumidor "o fornecedor de serviços responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e riscos."

Isso é o que prevê o Art. 14, caput, da Lei n. 8.078/1990.

O Serviço se considera mal prestado, isto é, defeituoso, quando não oferece a segurança que deveria oferecer. No caso em estudo, a segurança com os dados pessoais. Veja o Art. 14, § 1º da mesma lei:

(...)

§ 1º O serviço é defeituoso quando não fornece a segurança que o consumidor dele pode esperar, levando-se em consideração as circunstâncias relevantes, entre as quais:

I - o modo de seu fornecimento;

II - o resultado e os riscos que razoavelmente dele se esperam;

III - a época em que foi fornecido.

(...)

Assim, para autorizar a reparação por danos materiais ou imateriais decorrentes da quebra de segurança, é preciso verificar os elementos da teoria da responsabilidade civil, isto é: i) o nexo de causalidade; e ii) o Dano (já que excluída a culpa).

Pois bem.

Em casos como estes - de indevida quebra de sigilo/exposição de informações pessoais/financeiras - sempre está presente a ocorrência de um dano de ordem imaterial.

Os danos imateriais, como sabido, são impossíveis de serem demonstrados concretamente na medida em que eles ocupam um espaço subjetivo de quem os sofre.

Conhecer da existência do dano é reconhecer, conforme as regras da experiência, que determinada situação é capaz de causar inegável abalo subjetivo a quem o suporta. No caso, é inegável a existência de dano imaterial.

Isso porque os dados pessoais/financeiros quando violados por falta de diligência de protocolos de segurança efetivos, expõe a vida privada e a intimidade das pessoas – direitos fundamentais previstos no Art. X da Constituição Federal.

Em todos os casos o que basta é um único acesso indevido para que todos os nossos demais perfis na internet sejam também alvo de algum hackeamento em algum instante.

Conforme prevê a própria Constituição Federal, no Art. X, “são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação”. A violação de tais informações, por tão importantes que são, fizeram com que o próprio constituinte originário determinasse a reparação em sentido material e imaterial.

Da mesma forma prevê o Marco Civil da Internet.

Segundo a Lei n. 12.965/2014, o uso da internet no Brasil tem que seguir, dentre outros, os princípios da proteção da privacidade e da proteção dos dados pessoais. Estes princípios asseguram os direitos à inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação (Art. , Lei n. 12.965/2014).

Veja:

Art. 3º A disciplina do uso da internet no Brasil tem os seguintes princípios: I - garantia da liberdade de expressão, comunicação e manifestação de pensamento, nos termos da Constituição FederalII - proteção da privacidadeIII - proteção dos dados pessoais, na forma da lei; IV - preservação e garantia da neutralidade de rede; V - preservação da estabilidade, segurança e funcionalidade da rede, por meio de medidas técnicas compatíveis com os padrões internacionais e pelo estímulo ao uso de boas práticas;(...)

Portanto, a falta de diligência adequada para proteger os dados pessoais/financeiros confiados a estes servidores – como condição para fruir dos serviços da plataforma, ofendem incisivamente a subjetividade das vítimas de hackeamento principalmente porque:

i) submetem-nos a indevida exposição de nossas vidas privadas e intimidade (pelo acesso de terceiros a dados confiados);

ii) submetem-nos, não raro, a repercussões financeiras decorrentes da falha de prestação de serviço (como as comuns fraudes do cartão de crédito que se seguem às quebras de informação)

iii) submetem-nos ao incontestável desgaste emocional e econômico de ter que diligenciar junto a instituições financeiras para cancelar cartão de crédito, provar junto ao financeiro que a operação de fato fora fraudulenta, além de ter que procurar ajuda da Polícia para tentar conhecer o que aconteceu nestes episódios.

Nestes casos, o dano de ordem imaterial decorre da violação à confiança e à lealdade (Art. VICDC) que temos com relação ao poder técnico do prestador.

O serviço remunerado alvo de hackeamento assim, é prestado comumente sem atenção aos protocolos mínimos de segurança/autenticação o que ocasiona ou mesmo facilita a exposição indevida dos dados pessoais/financeiros – que deveriam ser protegidos e mantidos em sigilo.

A quebra desta confiança, por si somente, já autoriza reconhecer o dano imaterial.

Situações como esta, em que os dados pessoais/financeiros são acessados por terceiros, não são e nem podem ser tidas como cotidianas, justamente porque as instituições de mercado são (deveriam ser) dotadas de protocolos de segurança de big data.

O nexo de causalidade

O nexo de causalidade, por seu turno, é o liame subjetivo que liga o autor do dano ao próprio fenômeno danoso. No caso, o nexo de causalidade é presente na medida em que a atitude negligente das prestadores causa a exposição indevida dos dados pessoais/financeiros do autor.

Significa dizer que a negligência/imperícia das empresas em adotar protocolos de segurança minimamente eficazes para evitar a exposição indevida dos dados pessoais/financeiros é o elemento subjetivo do causador. Se não fosse tal circunstância, tamanho desleixo, os dados pessoais/financeiros não teriam sido vulnerados.

Risco integral do fornecedor

Como se percebe nessas situações , a empresa servidora não adotou protocolos de segurança eficazes a ponto de proteger a integridade dos dados pessoais e financeiros a ela confiados: do contrário, os dados não teriam sido vulnerados.

Esta grave falha de prestação permite conceder a reparação por danos morais.

Veja que ao disponibilizar seus serviços virtuais no mercado, as plataformas assumem um risco inerente àquelas atividades. Na realidade virtual, é preciso tomar cuidado com os dados.

O oferecimento de tal serviço virtual se dá com o intuito de atrair mais clientes e gerar mais lucro. Assim, é essencial que a demandada zele pela segurança da guarda de dados envolvidas em suas operações típicas.

Assim é o que nos ensina a teoria do risco integral da atividade.

Ela, de acordo com Sérgio Cavalieri[1], é a responsabilidade que “assumem todos aqueles que se disponham a exercer uma atividade no mercado de consumo, atraindo para si o dever de responder pelos eventuais vícios ou defeitos dos produtos ou serviços postos à disposição dos consumidores”.

O risco integral do empreendimento virtual é assim, imanente ao dever de obediência às normas técnicas e de segurança, bem como aos critérios de lealdade, quer perante os bens e serviços ofertados, quer perante a quem se destinam tais ofertas.

Logo, quem quer que exerça atividade de produzir, estocar, distribuir e comercializar produtos ou executar serviços passa a ser garante dos mesmos, respondendo por sua qualidade e segurança.

Este é caso de exposição/acesso de dados pessoais e financeiros por falha de segurança. Isso porque de acordo com a Lei n. 12.965/2014, Art. VII, é assegurado ao usuário/consumidor “o não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet (...)”.

Para que a segurança de dados seja assim efetiva, o marco civil da internet exige que sejam atendidos padrões (medidas e procedimentos) de segurança e sigilo.

Veja:

Art. 10. A guarda e a disponibilização dos registros de conexão e de acesso a aplicações de internet de que trata esta Lei, bem como de dados pessoais e do conteúdo de comunicações privadas, devem atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas.

(...)

§ 4º As medidas e os procedimentos de segurança e de sigilo devem ser informados pelo responsável pela provisão de serviços de forma clara e atender a padrões definidos em regulamento (...)

O regulamento, por seu turno, é feito pelo Decreto n.8.771/2016. Nele, o Art. 13 prevê o padrão mínimo de segurança que deve ser atendido no manuseio de informações pessoais/financeiras no mundo virtual.

Veja:

Art. 13 (...)

I - o estabelecimento de controle estrito sobre o acesso aos dados mediante a definição de responsabilidades das pessoas que terão possibilidade de acesso e de privilégios de acesso exclusivo para determinados usuários;

II - a previsão de mecanismos de autenticação de acesso aos registros, usando, por exemplo, sistemas de autenticação dupla para assegurar a individualização do responsável pelo tratamento dos registros;

III - a criação de inventário detalhado dos acessos aos registros de conexão e de acesso a aplicações, contendo o momento, a duração, a identidade do funcionário ou do responsável pelo acesso designado pela empresa e o arquivo acessado, inclusive para cumprimento do disposto no art. 11§ 3º, da Lei nº 12.965, de 2014 ; e

IV - o uso de soluções de gestão dos registros por meio de técnicas que garantam a inviolabilidade dos dados, como encriptação ou medidas de proteção equivalentes.

Portanto, ao dispor-se na atuação comercial virtual, o risco de exposição de dados pessoais e financeiros é inerente e naturalmente previsível.

Assim, o indevido acesso por terceiro de tais informações reflete uma falha grave de segurança que deveria ter sido prevenida pelo prestador de serviço.

Se tais protocolos estivessem em prática, as informações pessoais não seriam vulneradas.

Daí a necessidade de reparação.

Fonte: Jusbrasil