Desde que entrou em vigência a LGPD (Lei Geral de Proteção de Dados), em setembro do ano passado, empresas passaram a ser mais questionadas por autoridades e pela própria sociedade civil a respeito da possibilidade de vazamento de dados dos consumidores — mesmo que as multas para o descumprimento das regras só entrem em vigência em agosto desse ano. Mas será que é isso mesmo?
Na última semana, um ataque cibernético resultou no acesso aos sistemas da Sita, empresa multinacional que presta serviços de tecnologia da informação ao setor aéreo, levando ao vazamento de dados de alguns passageiros, inclusive no Brasil. A Latam, uma das companhias aéreas que utilizam o serviço da Sita, informou que parte dos membros do seu programa de fidelidade, o Latam Pass, teve seus dados vazados.
“Com as companhias aéreas com as quais temos esses acordos comerciais e que utilizam o serviço Sita, nós, da Latam, estamos trabalhando para resolver esta situação”, diz o comunicado da empresa, que alega que não houve quebra de sigilo dos seus processos internos.
A lista de vítimas inclui Cláudia Silvano, diretora-geral do Procon-PR e ex-presidente da entidade Procons Brasil. Ela, inclusive, cogita ir à Justiça por causa do vazamento de dados. “Eu recebi um e-mail da Latam informando que houve vazamento de dados. Eu confirmei e, de fato, meus dois e-mails foram vazados. Se houver algum prejuízo, sem dúvida nenhuma, eu vou tomar as medidas judiciais cabíveis porque é um absurdo os dados dos consumidores serem vazados dessa forma”, disse à Consumidor Moderno.
“Os sistemas não têm segurança e o consumidor fica sujeito a vazamentos no mercado a todo o momento”, lamentou.
Caso da Latam é passível de multa?
Segundo Victor Morais de Andrade, advogado sócio da Morais Andrade Advogados e professor de direito do consumidor da PUC-SP, ainda que as sanções já estivessem sendo aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD), provavelmente a Latam não teria grandes consequências neste caso em específico.
“Pelo pouco que sabemos, foram poucos os dados vazados — como nome, sobrenome, número de membro e categoria— e, a depender do comportamento que a empresa assumir como contatar os consumidores atingidos e criar ações para minimizar o risco de utilização indevida de tais informações— entendo que nem mesmo poderá haver sanções”, explica.
O especialista lembra que, numa pirâmide regulatória, a multa é a última escala e, portanto, é preciso esperar para se certificar da extensão do vazamento e das ações que serão adotadas pela empresa em relação aos consumidores atingidos.
“A aplicação e implementação da LGPD deve ser, sobretudo, orientadora em busca da solução do problema ou conflito instaurado entre a empresas e consumidores. A Própria Lei De Introdução às normas do Direito Brasileiro diz que a motivação das decisões administrativas demonstrará a necessidade e a adequação da medida imposta, inclusive em face das possíveis alternativas. Por isso, acho prematuro falar em multa ou qualquer sanção neste momento.”
Procon fiscalizando a LGPD?
Outro ponto importante no debate é a participação, mesmo que acidental, de uma dirigente do Procon do Paraná no vazamento de dados da Latam Pass. E se em vez do judiciário, Claudia Silvano utilizasse os artifícios jurídicos ao alcance do Procon Paraná?
Hoje, existem Procons que utilizam a LGPD como base de processos administrativos sancionatórios a partir do vazamento de dados de consumidores. Um exemplo é o Procon São Paulo.
Indo além das ações pontuais de alguns órgãos de defesa do consumidor, há ainda outro fator ainda mais importante: a própria LGPD autoriza expressamente que Procons, Defensorias Públicas ou até mesmo Ministérios Públicos dos consumidores assumam o protagonismo em uma investigação de vazamento de dados.
Em suma, essa possibilidade está prevista no artigo 18, parágrafo 8º, que autoriza os consumidores a formalizarem uma queixa nos órgãos de defesa do consumidor. Embora isso seja um importante instrumento de empoderamento dos Procons na proteção de dados pessoais, tal possibilidade causa calafrios nas empresas. Isso porque, em tese, os mais de 900 Procons espalhados pelo país poderiam emitir diferentes opiniões e até valores de multas distintos sobre um mesmo desrespeito previsto na LGPD. O resultado seria uma enxurrada de ações consumeristas com base na legislação de proteção de dados. Hoje, estima-se que 10% de todas os processos no Judiciário estejam relacionadas a ações consumeristas.
Com participação de Ivan Ventura
