Posts

Instituto Sigilo ganha causa em 2º instância e justiça determina primeira obrigatoriedade de produção de provas desde o início da vigência da LGPD

24 de Novembro de 2023

No dia 12 de novembro, o Tribunal de Justiça de São Paulo anulou a sentença proferida pela 18ª Vara Cível da capital, que havia considerado improcedente o pedido de indenização por danos causados em razão de vazamento de dados pessoais pela operadora de telefonia Claro. A decisão é considerada uma vitória do Instituto SIGILO (Instituto Brasileiro de Defesa da Proteção de Dados Pessoais, Compliance e Segurança da Informação), que apelou da decisão tomada pela primeira instância alegando cerceamento de defesa configurado pela não realização de perícias técnicas e produção das provas documentais requeridas.

Na ação original do caso, o SIGILO pedia, entre outras coisas, que a Claro fosse condenada a indenizar cada um dos consumidores que tiveram seus dados vazados no valor de R$ 15.000,00 (quinze mil reais). Na ocasião, o juiz Caramuru Afonso Francisco considerou o pedido improcedente. Em sua decisão, ele alegou existirem apenas discussões a respeito da existência, ou não, de responsabilidade por parte da operadora por conta dos vazamentos existentes de dados de seus clientes.

“Não se tem, em hipótese alguma, demonstração de que isto decorra de uma consciente e deliberada atividade da requerida, da sua sistemática de trabalho”, declarou.

Ao anular a sentença de primeira instância, o desembargador Rodrigues Torres, relator do caso no TJ, afirmou que a Claro não demonstrou que trata os dados dos consumidores com cautela e não comprovou manter contratos com as outras empresas com as quais realizou o compartilhamento. Além disso, a existência de programas de compliance alegados pela operadora não foi provada.

“A culpa ou dolo da empresa poderá ser comprovada pela realização de perícia técnica em seus sistemas informatizados ou daqueles pertencentes às empresas terceirizadas com as quais a companhia compartilha os dados dos consumidores. O simples vazamento de dados dos consumidores configura o dano porque há violação dos direitos dos consumidores que é protegido pelo ordenamento jurídico brasileiro”, disse.

O acórdão determinou a remessa dos autos à origem para retomada da regular instrução probatória e a realização da perícia técnica, assim como a produção de provas documentais.

O fundador e presidente do SIGILO, Victor Hugo Pereira Gonçalves, comenta que além de manter viva a possibilidade de os consumidores vitimados por este vazamento serem indenizados, a decisão do TJ paulista é histórica porque configura a primeira exigência da justiça para a realização de perícias técnicas nos sistemas de uma empresa deste porte desde a entrada em vigor da Lei Geral de Proteção de Dados (LGPD). “A decisão permitirá uma investigação profunda nos bancos de dados e sistemas da Claro e de seus parceiros comerciais, o que deverá revelar com profundidade e máxima assertividade a forma como ocorrem os usos indevidos dos dados dos consumidores”, afirma.

Sobre O SIGILO – O Instituto SIGILO foi criado em 2019 com a finalidade de construir coletivamente soluções a problemas relacionados às áreas de proteção de dados pessoais, segurança da informação e compliance. Consideramos que estas situações são tratadas geralmente após a ocorrência dos fatos e de maneira superficial, portanto, sem enfrentar toda a complexidade que envolve estes temas. Sendo assim, o Instituto desenvolve esforços para influenciar a formulação de políticas e a alocação de recursos públicos para soluções em segurança da informação, proteção de dados pessoais e compliance, educação, câmara de mediação e arbitragem, relatórios de incidentes de segurança da Informação e consultoria. Para mais informações acesse: https://sigilo.org.br/

*Por Caíque Rocha

Fonte: Agência Brasil

A Meta, gigante de tecnologia responsável por Facebook, Instagram e WhatsApp, entre outros, foi multada em 265 milhões de euros — cerca de R$ 1,4 bi na cotação desta segunda-feira (28/11) — por não ter conseguido evitar o vazamento de dados pessoais de 533 milhões de usuários da rede social Facebook ao redor do mundo.

29 de novembro de 2022

Segundo irlandeses, entre maio de 2018 e setembro de 2019 houve vazamentos

A multa foi aplicada pela Comissão de Proteção de Dados da Irlanda e é a terceira penalidade contra a companhia com base na regulamentação da União Europeia para proteção de privacidade, criada em 2018.

Investigação da comissão irlandesa revelou que dados dos usuários foram inicialmente vazados entre maio de 2018 e setembro de 2019. Na época, a Meta alegou que os dados eram antigos e que já havia corrigido a origem do vazamento de dados. 

Segundo informações da Bloomberg, os dados vazados voltaram a aparecer num site hacker no ano passado. 

As outras duas multas aplicadas ao grupo Meta, contra o Instagram e o WhatsApp, foram ordenadas pela comissão irlandesa.

Fonte: Revista Consultor Jurídico, 28 de novembro de 2022, 19h47

14 de março de 2022

A mera constatação de que dados pessoais básicos foram objeto de vazamento ilegal não configura automaticamente dano moral. Assim entendeu a 13ª Câmara de Direito Privado do Tribunal de Justiça de São Paulo ao reformar sentença de primeira instância e isentar a concessionária Eletropaulo de indenizar um cliente pelo vazamento de seus dados pessoais.

Eletropaulo escapou de pagar
indenização por dados pessoais vazados

Na ação, o consumidor alegou que, após o vazamento, passou a receber ligações, mensagens e e-mails indesejados de forma recorrente. Ele também disse temer que suas informações pessoais fossem usadas em fraudes e golpes. Em primeiro grau, a Eletropaulo foi condenada a indenizar o cliente em R$ 10 mil.

Ao recorrer da condenação, a Eletropaulo alegou não ter violado as obrigações previstas na Lei Geral de Proteção de Dados (LGPD) e também disse que adotou medidas rígidas de segurança para proteger os dados pessoais dos consumidores e mitigar os danos do vazamento. 

Segundo a concessionária, diante da ausência de violação à LGPD, ela não poderia ser obrigada a reparar prejuízos decorrentes do tratamento de dados pessoais, configurando as excludentes previstas nos incisos II e III do artigo 43. O recurso foi acolhido pela turma julgadora, em votação unânime.

“A mera constatação de que dados pessoais básicos tenham sido objeto de ilegal vazamento não configura, automaticamente, dano moral; sendo certo que não há nos autos prova de outras reverberações do referido compartilhamento irregular”, argumentou a relatora, desembargadora Ana de Lourdes Coutinho Silva da Fonseca.

Segundo a magistrada, não há de se falar, no caso em questão, em comprovada lesão a uma das facetas dos direitos de personalidade do autor, pois não se verificou conduta pública humilhante ou mesmo depreciativa à sua honra e à sua dignidade humana.

“Em regra, o dano moral deve ser comprovado, somente prescindindo de demonstração quando a ocorrência de determinados fatos, como o protesto indevido ou a morte de um familiar, fazem presumir sua ocorrência”, afirmou a relatora, que não verificou a alegada violação à dignidade da pessoa humana, da honra ou da imagem do autor, nos termos do artigo 5º, inciso X, da Constituição Federal.

Para a magistrada, o episódio, “embora indesejável”, configura mero aborrecimento decorrente da vida em sociedade, que não configura dano moral passível de indenização. Ela observou que, em casos de violação da LGPD por concessionárias, o TJ-SP já firmou entendimento de que o dano moral não se configura in re ipsa, exigindo a produção de prova.


1001311-34.2021.8.26.0564

Fonte:TJSP

Foram vazados dados cadastrais da Acesso Pagamentos

Publicado em 21/01/2022

Cerca de 160,1 mil clientes da Acesso Soluções de Pagamento tiveram dados das chaves Pix vazadas, informou hoje (21) o Banco Central (BC). Esse foi o segundo vazamento de dados desde o lançamento do sistema instantâneo de pagamentos, em novembro de 2020.

Segundo o BC, o vazamento ocorreu em dados cadastrais, que não afetam a movimentação de dinheiro. Dados protegidos pelo sigilo bancário, como saldos, senhas e extratos, não foram expostos.

O incidente ocorreu entre 3 e 5 de dezembro e expos dados como nome de usuário, Cadastro de Pessoas Físicas (CPF), instituição de relacionamento, número de agência e número da conta. Todas as pessoas que tiveram informações expostas serão avisadas por meio do aplicativo da Acesso ou do internet banking da instituição.

O Banco Central ressaltou que esses serão os únicos meios de aviso para a exposição das chaves Pix e pediu para os clientes desconsiderarem comunicações como chamadas telefônicas, SMS e avisos por aplicativos de mensagens e por e-mail.

A exposição de dados não significa necessariamente que todas as informações tenham vazado, mas que ficaram visíveis para terceiros durante algum tempo e podem ter sido capturadas. O BC informou que o caso será investigado e que sanções poderão ser aplicadas, como multa, suspensão ou até a exclusão da Acesso do sistema do Pix.

Resposta

Em nota, a Acesso Pagamentos esclareceu ter tomado medidas para garantir a segurança dos dados. “Reforçamos que tomamos, de forma tempestiva, todas as providências necessárias para garantir a segurança das informações mantidas pela companhia e o nosso compromisso em manter o mercado e nossos parceiros informados”, informou o comunicado.

A instituição de pagamentos orientou os clientes que forem comunicados do vazamento a ficarem atentos para possíveis golpes, como envios de links para falsos sites que capturem senhas bancárias. A Acesso ressaltou que os únicos canais oficiais de comunicação são o aplicativo e o site da empresa.

A Acesso é uma instituição de pagamento que oferece serviços como banco digital, plataformas para aplicações financeiras e cartões recarregáveis. Em agosto, ocorreu o vazamento de dados 414,5 mil chaves Pix por número telefônico do Banco do Estado de Sergipe (Banese). Assim como desta vez, na ocasião foram vazados dados cadastrais, sem a exposição de senhas e de saldos bancários.

Inicialmente, o BC tinha divulgado que o vazamento no Banese tinha atingido 395 mil chaves, mas o número foi revisado mais tarde. Por determinação da Lei Geral de Proteção de Dados, a autoridade monetária mantém uma página em que os cidadãos podem acompanhar incidentes relacionados com a chave Pix ou demais dados pessoais em poder do BC.

Por Agência Brasil – Brasília

5 de julho de 2021

A 2ª turma Cível do TJ/DF manteve a sentença que condenou operadoras de telefonia a indenizarem dois consumidores que tiveram os dados vazados e os aparelhos bloqueados por terceiro. Os desembargadores concluíram que as operadoras falharam no dever de segurança e preservação tanto dos dados pessoais dos clientes quanto das informações do sistema interno.

(Imagem: Freepik)

Os desembargadores concluíram que as operadoras falharam no dever de segurança e preservação tanto dos dados pessoais dos clientes quanto das informações do sistema interno.

Os autores contam que mantinham contrato para prestação de serviço de telefonia móvel. Relatam que, após o celular da filha ser roubado, passaram a receber mensagens de conteúdo extorsivo, exigindo o desbloqueio do iPhone pelo iCloud sob pena de bloquear, via IMEI, os aparelhos da família.

Eles afirmam que, por não ceder às ameaças, terceiros conseguiram acesso aos dados pessoais e emitiram ordens de bloqueio dos aparelhos, o que os tornaram inutilizáveis. Os autores contam ainda que compraram dois novos aparelhos e celebraram novo contrato com outra operadora.

Apesar disso, terceiros tiveram acesso e bloquearam os novos celulares. Os consumidores asseveram que a conduta do extorsionário foi viabilizada pela fragilidade na segurança dos sistemas e pedem indenização pelos danos sofridos.

Decisão da 3ª vara Cível de Brasília/DF condenou as rés a indenizarem os autores pelos danos sofridos. As duas empresas recorreram. Uma delas alega que não há comprovação de que tenha praticado ato ilícito e que os celulares dos autores não ficaram incomunicáveis. A outra, por sua vez, afirma que os celulares possuem sistema operacional próprio e que a falha pode ter ocorrido no sistema da Apple Computer Brasil. Assevera ainda que não pode ser responsabilizada nos casos de culpa exclusiva do titular dos dados ou de terceiros.

Ao analisar o recurso, os desembargadores pontuaram que as provas dos autos mostram que o terceiro, na posse do celular furtado, obteve acesso aos dados pessoais dos autores, como CPF e data de nascimento, e aos IMEIs e às características dos aparelhos. No entendimento dos magistrados, está evidenciado que houve “vazamento de dados pessoais dos autores nos bancos de dados das operadoras”.

“A despeito de as rés alegarem que não houve o reportado vazamento, não há como se vislumbrar que o delinquente soube da data da aquisição dos aparelhos, das características específicas e dos novos números por outros meios, mormente porque afirma em suas falas a facilidade de acessar base de dados de operadoras diversas.”

De acordo com os desembargadores, as operadoras falharam na prestação de serviço e devem responder pelos danos causados.

“Não há como imputar a culpa exclusiva de outrem, a fim de elidir a responsabilidade das rés quanto aos danos, sobretudo porque é dever da fornecedora de serviços fornecer segurança aos seus clientes quanto às dados pessoais disponibilizados à ocasião das contratações para prestação de serviços, de forma a adotar mecanismos de salvaguarda contra vazamento de dados ou utilização indevida dos mesmos.”

Os magistrados salientaram que, além da reparação pelos prejuízos materiais, os autores devem ser indenizados pelos danos morais.

“Evidenciou-se aviltamento dos direitos inerentes à personalidade dos autores, sobretudo a intimidade, a vida privada e a integridade psíquica, visto que houve o vazamento dos dados pessoais e utilização indevida por terceiro para prática criminosa, além do tolhimento ao direito à comunicação dos consumidores, rendendo ensejo à pretensão indenizatória pelo dano moral experimentado.”

Dessa forma, a turma, por unanimidade, manteve a sentença que condenou as rés a pagarem, de forma solidária, o valor de R$ 10 mil a cada um dos autores a título de danos morais e a reembolsar os valores pagos referentes aos dias em que não puderam utilizar os serviços prestados em virtude do bloqueio dos aparelhos.

Uma das operadoras foi condenada também a pagar o valor de R$ 7.608, a título de indenização pelos aparelhos inutilizados pelo bloqueio indevido. Já a outra terá que indenizar os autores pelos três aparelhos celulares adquiridos em abril de 2019.

Informações: TJ/DF.