A sentença da Justiça Federal de São Paulo que condenou a Caixa Econômica Federal, a Dataprev e a Autoridade Nacional de Proteção de Dados (ANPD) a pagarem uma indenização de até R$ 56 bilhões pelo vazamento de dados no Auxílio Brasil é um importante marco na consolidação da Lei Geral de Proteção de Dados (LGPD) no Brasil, avaliam especialistas em Direito Digital. A decisão envolve mais de 3,7 milhões de beneficiários do programa de transferência de renda para famílias em situação de extrema pobreza.

Proferida pelo juiz da 1ª Vara Cível Federal de São Paulo, Marco Aurélio de Mello Castrianni, a sentença estipula que cada prejudicado com as informações expostas receba R$ 15 mil. Em seu entendimento, os órgãos envolvidos praticaram violações à LGPD, ao Código de Defesa do Consumidor e ao Marco Civil da Internet.

O caso ocorreu em outubro de 2022, quando correspondentes bancários contratados pela Caixa tiveram acesso indevido aos dados dos cadastrados. O advogado especializado em Direito Digital e Proteção de Dados, Alexander Coelho, destaca que a decisão reconheceu a responsabilidade solidária dos réus pelos vazamentos. Isso inclui dados sensíveis, como número do NIS e do CadSUS.

“É um importante precedente para outras ações que envolvem vazamento de dados pessoais. Também reafirma o dever de responsabilidade dos controladores e operadores de dados pessoais, bem como a importância da LGPD para a proteção da privacidade e dos dados pessoais dos cidadãos, como também compensa os danos sofridos pelas vítimas do vazamento, destaca Coelho.

Para o especialista, a sentença também é um forte alerta para as empresas que precisam adotar medidas de segurança adequadas para proteger os dados pessoais de seus clientes e usuários.

A condenação

A sentença condenou os réus a uma série de medidas. As iniciativas incluem o fornecimento de registros de conexão ou de acesso a aplicações de internet existentes entre janeiro de 2022 até julho de 2023, por meio dos quais os dados pessoais das vítimas foram e seguem vazados.

Outra ação será a disponibilização de livre acesso aos registros existentes quanto aos titulares. “É uma importante medida para que as vítimas possam verificar quais dados foram vazados e assim tomar as medidas cabíveis para se proteger”, analisa o advogado. Além disso, os réus precisam desenvolver mecanismos de segurança e de controle preventivo, que impeçam o acesso às referidas informações.

A decisão determina ainda a comunicação a todos os titulares dos dados que foram vazados e que os condenados elaborem relatórios independentes de impacto à proteção de dados pessoais e uma revisão do sistema de segurança de armazenamento de informações e suas matrizes de risco. “Trata-se de um passo importante para que as empresas atinjam o nível de segurança adequado para o tratamento de dados pessoais”, completa Coelho.

*Alexander Coelho é sócio do escritório Godke Advogados e especializado em Direito Digital e Proteção de Dados. Possui certificações CIPM (Certified Information Privacy Manager) e CDPO (Certificação Data Protection Officer) pela IAPP (International Association of Privacy Professionals). É membro da Comissão de Privacidade e Proteção de Dados da OAB/São Paulo. Já atuou como DPO as a Service em empresas de grande porte com expertise em matérias concernentes às adequações à LGPD (Lei Geral de Proteção de Dados), Compliance Digital, Privacidade, Investigação à Fraudes Eletrônicas e Cibersegurança.