O Superior Tribunal de Justiça (“STJ”) divulgou no dia 27 de outubro alguns precedentes relevantes relacionados à Lei Geral de Proteção de Dados (“LGPD”), em comemoração aos quatro anos de sua vigência.

Apresentamos síntese dos quatro julgados que mais impactam as empresas, indicando seus principais aspectos, cuidados recomendados e pontos da governança que podem ser ajustados:

REsp 2.135.783 – DF

Síntese do Caso: motorista de aplicativo de transporte foi suspenso e posteriormente teve seu perfil excluído, devido a suspeitas de violação dos Termos de Uso da plataforma. O motorista foi informado sobre os motivos da suspensão (encerrar as corridas em locais distintos do solicitado) e teve a oportunidade de se manifestar, após o que a plataforma decidiu pelo encerramento definitivo do perfil. Inconformado, o motorista ingressou com ação judicial, alegando que não teve garantido o direito ao contraditório e à ampla defesa, que lhe foram atribuídas ações realizadas por terceiros e que a função social do contrato, além da probidade e boa-fé, foi desconsiderada pela plataforma.

Decisão: o STJ entendeu que o direito fundamental ao contraditório é aplicável às relações privadas e que as decisões automatizadas baseadas em perfilização com o uso dos dados do motorista (dados pessoais) devem ser realizadas de acordo com o art. 20 da LGPD, o qual prevê o dever de informação ao titular sobre as razões que levaram a determinada decisão automatizada, cabendo ao titular também pedir a sua revisão.

Considerando que a plataforma comunicou as razões da suspensão e, ouvindo suas justificativas, “a partir de uma análise de alocação de riscos, considerando o dever que possui de zelar pela segurança de seus usuários, (…) decidiu que era adequado o descredenciamento permanente do perfil profissional”, o STJ entendeu pela ausência de ilegalidade ou abusividade na prática, indeferindo o recurso do motorista.

Impactos Potenciais: ao adotarem tecnologias de decisão automatizada, as companhias devem atentar para os direitos de explicação e revisão previstos na LGPD, garantindo a possibilidade de explicar o racional por trás de suas soluções tecnológicas, inclusive confirmando que possuem internamente mão-de-obra em número suficiente e com a especialização necessária para tanto.

Atenção à Governança: para empresas que utilizam decisão automatizada, é importante ponderar a adoção de tecnologias que permitam a explicação por default. Não sendo possível, é importante buscar técnicas, ferramentas e soluções apropriadas para possibilitar o fornecimento de informações razoáveis sobre o racional adotado pela solução, por exemplo, documentando detalhadamente o processo decisório automatizado, incluindo os parâmetros mais relevantes e os pesos adotados. Além disso, é essencial contar com uma equipe qualificada para revisar decisões automatizadas e intervir sempre que necessário, assegurando que profissionais com conhecimento técnico adequado, estejam aptos a considerar as evidências apresentadas pelos titulares. Por fim, criar canal de contestação transparente, que ofereça comunicação clara sobre os motivos das decisões, etapas de revisão e prazos.

REsp 2.130.619 – SP

Síntese do Caso: A titular dos dados ajuizou ação de indenização contra a concessionária de serviço de energia, alegando que alguns dos seus dados cadastrais (de contato e relativos ao consumo de energia) foram indevidamente acessados e posteriormente comercializados a terceiros.

Decisão: apesar de ter reconhecido o vazamento de dados como falha de serviço, o STJ entendeu que, em se tratando de dados pessoais não enquadrados como “sensíveis”, inexiste dano presumido, o qual precisaria ser comprovado para ensejar o direito à indenização.   

Impactos Potenciais: a decisão impacta diretamente a ponderação de riscos de cibersegurança nas organizações para garantir a confidencialidade de dados pessoais, vez que modula os impactos potenciais do incidente na organização, afetando o sopesamento entre o custo de prevenir o incidente e o de suportá-lo.

Atenção à Governança: a decisão é relevante para: i) justificar a relevância de controles de segurança da informação efetivos, inclusive para prevenir riscos de sanções administrativas; e ii) demonstrar que os dados sensíveis e aqueles protegidos por sigilo legal (como o sigilo bancário) devem ser cuidados com mais atenção, diante da possibilidade de presunção de dano moral decorrente do vazamento deles.

REsp 2.077.278 – SP

Síntese do Caso: após contatar Instituição Financeira por meio de seu website, uma consumidora foi abordada por suposta funcionária da instituição via WhatsApp, que enviou boleto para quitação de seu contrato. O boleto, no qual constavam dados reais do contrato (endereço da consumidora, número de parcelas em aberto e saldo devedor), indicava a própria instituição como beneficiária. A consumidora efetuou o pagamento, mas o contrato não foi quitado, revelando que ela havia sido vítima do “golpe do boleto falso”. Diante disso, a consumidora ajuizou ação solicitando a declaração de inexigibilidade do débito e a validade do pagamento realizado, além da condenação da instituição para restituição dos valores pagos, fundamentando-se na responsabilidade por fato do serviço.

Decisão: o STJ julgou o caso em favor da consumidora, considerando que: (i) houve violação do dever de sigilo bancário ao se permitir o acesso aos dados bancários do fornecedor, configurando-se fato do serviço e atraindo a responsabilidade objetiva do Direito do Consumidor; e (ii) não é razoável, especialmente sobre as circunstâncias em questão, exigir do ser humano médio, que ele identifique as inconsistências presentes em boletos falsos.

Impactos Potenciais: esta decisão também impacta diretamente o sopesamento entre riscos decorrentes de incidentes e investimento em cibersegurança, sendo recomendável priorizar a proteção de dados que podem ser razoavelmente usados em golpes – especialmente dados protegidos por sigilo legal ou informações que revelem transações econômicas.

Atenção à Governança: se aplicam os cuidados sugeridos ao caso acima. 

 REsp  2.092.096 – SP

Síntese do caso: fraudadores criaram conta falsa em corretora de valores mobiliários em nome de um titular de dados e a partir dela solicitaram nova senha para acessar o perfil do titular junto à plataforma da Bolsa de Valores. Com isso, passaram a ter visibilidade sobre os investimentos realizados pelo titular e alteraram os dados cadastrais do perfil. O autor acionou a Bolsa, requerendo indenização pelos danos sofridos e: (a) fornecimento de serviço de alerta de fraudes; (b) exclusão dos dados inseridos pelos fraudadores; (c) entrega das informações sobre o acesso não autorizado, englobando registros de conexão e dados cadastrados pelos terceiros; e (d) informações quanto aos meios de segurança, compartilhamento e armazenamento de dados pela Bolsa.

Decisão: reconhecendo que a atividade da Bolsa (fornecimento de sistema que armazena e utiliza dados de investidores) é operação de tratamento de dados pessoais, sujeita à aplicação da Lei Geral de Proteção de Dados (LGPD), o STJ decidiu que existe obrigação para o agente de tratamento de excluir dados inverídicos inseridos por terceiros, a qual não é afastada pelo fato de os dados incorretos terem sido inseridos devido a falha de segurança de terceiros, pois: (a) o direito de eliminação deve ser interpretado à luz dos princípios de adequação e segurança previstos na LGPD; e (b) cabia à Bolsa, como fornecedora exclusiva do sistema em questão, “garantir a autenticidade e segurança do acesso por cada um dos investidores”.

Além disso, o STJ reconheceu que, em relação ao seu portal de investidor, a atividade da Bolsa também se enquadra como a de provedor de aplicação de Internet, sendo, portanto, aplicável o Marco Civil da Internet, razão pela qual teria o dever de armazenar e, mediante ordem judicial, fornecer os registros de aplicação previstos na legislação (como endereço IP, data e hora de acesso). Adicionalmente, caso existam dados cadastrais, eles também devem ser armazenados para possibilitar a formação de provas em ações cíveis ou criminais futuras, desde que haja indícios de atos ilícitos, justificativa fundamentada sobre a utilidade dos registros e indicação específica do período de interesse.

Impactos Potenciais: a decisão serve como reforça para o fato de que: (a) os direitos da LGPD são aplicáveis a todos os controladores, independentemente de como foram obtidos os dados; (b) a legislação sobre dados não se limita à LGPD; e (c) provedores de aplicações de Internet devem também cumprir o Marco Civil da Internet.  O maior impacto potencial dessa decisão, no entanto, é indireto, pois eleva o risco para serviços prestados em parceria ou que dependem de dados de terceiros, uma vez que a responsabilidade por assegurar a segurança pode recair sobre o provedor que fornece tais dados. a responder pelos prejuízos causados pelo parceiro (ou fornecedor dos dados).  

Atenção à Governança: a decisão é relevante para reforçar a necessidade de que as organizações: (a)realizem auditoria de suas aplicações de internet periodicamente, averiguando sua adequação ao Marco Civil da Internet (especialmente retenção de log e obrigações de segurança da informação do art. 13 do Decreto 8.771/2016); (b) adotem/revisem processos internos para o atendimento de direitos do titular de dados previstos na LGPD; e (c) adotem medidas adequadas com terceiros para garantir a segurança de processos relacionados ao tratamento de dados pessoais, especialmente aqueles de autenticação.

Para acessar o inteiro teor do comunicado do STJ, clique aqui.