Recentemente o Instituto Nacional do Seguro Social (INSS) foi condenado pela 12ª Turma Recursal do TJ/SP ao pagamento de R$ 2.500,00 em danos morais a uma segurada, pelo compartilhamento ilegal de seus dados pessoais.
O INSS é uma autarquia vinculada ao Ministério do Trabalho, e responsável pelo pagamento de aposentadorias, pensões, auxílios e outros tipos de benefícios aos cidadãos brasileiros. Para tanto, realiza um tratamento de dados pessoais em escala nacional, armazenando informações referentes a toda a população do país.
Em relação ao caso concreto, os magistrados entenderam que as provas juntadas no processo movido pela segurada eram o suficiente para comprovar que os dados pessoais haviam sido vazados pelo INSS a terceiros não autorizados. A segurada relatou que, após receber pensão pela morte de seu marido, passou a ser acessada constantemente, através de ligações, mensagens via SMS e Whatsapp, por instituições financeiras oferecendo crédito, situação que certamente muitos já foram alvo, ou ouviram dizer.
Após o pedido de indenização ter sido julgado procedente em primeira instância, o INSS recorreu da decisão, alegando que foi identificada uma conduta clara que levasse ao ocorrido, uma vez que não houve falha na guarda dos dados pessoais, e inexistia conexão entre o dano relatado pela segurada, titular dos dados, e o ato ou omissão da autarquia.
Todavia, ao analisar os argumentos das partes, a relatora do recurso entendeu pela existência do compartilhado indevido, o que implica em descumprimento das regras estabelecidas na Lei Geral de Proteção de Dados (LGPD), a qual dispõe que “dados pessoais de pessoa natural contidos em bancos de dados devem ser protegidos, sendo utilizados apenas para propósitos legítimos, específicos e informados ao titular, cabendo, aos agentes de tratamento, a utilização de medidas de segurança eficazes e aptas a impossibilitar o acesso não autorizado por terceiros”, ressaltou a relatora.
De acordo com a decisão, as provas demonstraram ausência de controle pelo INSS em relação aos dados pessoais dos beneficiários, o que nesse caso gerou a obrigação de indenizar a segurada, pois o “incessante transtorno ocorreu por volta de 15 dias, ao menos, e em um momento difícil em sua vida, haja vista a perda recente do marido e o tratamento médico a que estava sendo submetida”, concluiu a relatora.
Conforme previsto na LGPD, é direito do titular dos dados acionar os órgãos de fiscalização, e o próprio Judiciário, quando entender que os seus dados não estão sendo resguardados, em especial, quando tal situação lhe gerar danos morais ou patrimoniais.
Portanto, a condenação imposta ao INSS é mais uma dentre milhares de ações envolvendo o tratamento indevido de dados pessoais e que têm afetado a imagem de alguns órgãos públicos e empresas do setor privado.
Inclusive, a tendência é que as ações contra a administração pública federal, por ilegalidades envolvendo o tratamento de dados pessoais, aumentem nos próximos meses, já que em auditoria realizada pelo TCU, a partir do primeiro trimestre de 2021, com 382 órgãos federais, foi constatado que 76,7% deles não cumprem com as principais obrigações estabelecidas na LGPD.
Visando não cometer os mesmos erros da esfera pública, todas as empresas privadas que realizam o tratamento de dados pessoais devem se fazer alguns questionamentos:
- Temos o controle do acesso aos dados pessoais? Ou seja, sabemos quem são as pessoas autorizadas a entrar em nosso banco de dados, seja ele físico ou digital?
- Temos a capacidade de rastrear as atividades envolvendo o tratamento de dados pessoais (quem fez o quê, como e quando)?
- Diligenciamos os terceiros com os quais compartilhamos ou damos acesso a dados pessoais para verificar a sua conformidade com a LGPD?
As respostas a essas perguntas ajudarão as empresas a mitigar os riscos envolvidos no tratamento de dados pessoais, e a responder de forma eficiente a eventual vazamento ou compartilhamento indevido dessas informações com terceiros.
Ainda, quando a empresa é capaz de rastrear os responsáveis pelo incidente, poderá acionar o Judiciário, através de uma ação de regresso contra esses colaboradores ou terceiros, pedindo que restituam os prejuízos causados na medida de sua participação no evento danoso. Esse direito fica mais evidente quando se comprova que houve dolo para que o incidente ocorresse, como, por exemplo, na venda do banco de dados a terceiros, como aparenta ser o caso do INSS.
Diante dos fatos acima, fica evidente que, na era da informação, saem na frente aqueles agentes de tratamento que veem na proteção de dados mais do que apenas uma obrigação legal, mas a oportunidade de desenvolver um vínculo de confiança com os seus titulares, agregando valor à sua atividade, e, por consequência, ao seu negócio.