A Justiça Federal determinou que cerca de 4 milhões de pessoas sejam indenizadas em R$ 15 mil cada, por terem sido vítimas de um vazamento massivo de dados no segundo semestre de 2022, a partir de informações do Auxílio Brasil. O valor deve ser pago pela União, Caixa Econômica Federal, Empresa de Tecnologia e Informações da Previdência (Dataprev) e pela Autoridade Nacional de Proteção de Dados (ANPD).
A sentença é resultado de uma ação civil pública do Instituto Brasileiro de Defesa da Proteção de Dados Pessoais, Compliance e Segurança da Informação, com manifestação favorável do Ministério Público Federal (MPF) pela garantia dos direitos dos cidadãos prejudicados. Cabe recurso contra a decisão.
O vazamento ocorreu a partir de bancos de dados mantidos pela Caixa, União e Dataprev. A maioria das vítimas recebia o Auxílio Brasil e, às vésperas da eleição presidencial de 2022, passou a contar com larga porcentagem do benefício para a contratação de crédito consignado. Os dados pessoais divulgados ilegalmente acabaram nas mãos de correspondentes bancários, que utilizaram as informações para o oferecimento dos empréstimos e de outros produtos financeiros.
Para o MPF, o fato de o vazamento ocorrer em empresas e órgãos públicos aos quais milhões de brasileiros confiaram a proteção de seus dados torna o caso ainda mais grave. “Esses dados violados pairam no registro e no banco de dados de incontáveis instituições, assim como em poder de terceiros que, facilmente, poderão fazer uso maléfico e fraudulento dessas informações, em franco prejuízo material, moral e social desses cidadãos”, destacou a procuradora da República Karen Louise Jeanette Kahn.
Além da indenização às vítimas, a sentença da 1ª Vara Cível Federal de São Paulo determinou que as rés paguem R$ 40 milhões por danos morais coletivos, valor que deve ser revertido ao Fundo de Defesa dos Direitos Difusos. Elas também deverão comunicar formalmente, aos titulares dos dados, a ocorrência do incidente de segurança que resultou no vazamento, as medidas adotadas para mitigar as consequências e os planos para solucionar eventuais riscos. A decisão judicial estabeleceu ainda a revisão dos sistemas de armazenamento de dados, o desenvolvimento de mecanismos de segurança e controle preventivo e o fornecimento de registros e informações relacionados à violação do sigilo.
A decisão do juiz federal Marco Aurelio de Mello Castrianni determina:
i) aos corréus e responsáveis pela guarda de dados o fornecimento de registros de conexão ou de registros de acesso a aplicações de internet existentes entre janeiro de 2022 até julho de 2023, por meio dos quais os dados pessoais das vítimas foram e seguem sendo vazados;
ii) seja imposta à Caixa Econômica Federal a obrigação de fazer, no sentido de ser disponibilizado, no prazo máximo de dez (10) dias, a todos os correntistas contratantes junto à mesma, bem como a todos os titulares de dados vazados, o livre acesso aos registros existentes quanto aos seus dados, os quais deverão ser disponibilizadas de forma clara, adequada, completa e ostensiva, indicando a sua origem, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial;
iii) seja imposta obrigação de fazer aos corréus, no sentido de desenvolverem mecanismos de segurança e de controle preventivo, que impeçam o acesso e malversação a referidos dados, inclusive, em situações de terceirização de serviços da CEF;
iv) seja imposta obrigação de fazer aos corréus, no sentido de comunicarem a todos os titulares dos dados que foram vazados acerca do incidente de segurança que resultou na sua indevida divulgação e compartilhamento, bem assim indicação das medidas adotadas para mitigarem os danos causados, planos para solucionar os eventuais riscos aos seus titulares cidadãos, tal como determina o art. 48 da LGPD, sob pena de multa diária no montante de R$ 10.000,00 (dez mil reais), devendo esta comunicação ser feita por meio de cartas com aviso de recebimento (AR) e uma segunda e genérica informação deverá ser igualmente veiculada no âmbito de suas redes e mídias de comunicação, com a mesma finalidade e no mesmo prazo;
v) seja imposta a obrigação de fazer, em atendimento ao disposto no artigo 38 da LGPD10, no sentido de que os controladores responsáveis pela proteção de dados no âmbito das três instituições corrés elaborarem relatórios independentes de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, observados os segredos comercial e industrial;
vi) seja efetuada, por parte dos corréus, revisão do sistema de segurança de armazenamento de dados e suas matrizes de risco, como forma de se evitarem novos e futuros vazamentos;
vii) sejam os corréus condenados ao pagamento indenizatório, por danos morais, em favor de cada um dos titulares de dados pessoais afetados com as práticas ilícitas dos corréus, no montante individual de R$ 15.000,00 (quinze mil reais);
viii) pagamento indenizatório pelo dano moral coletivo gerado, no valor mínimo de R$ 40.000.000,00 (quarenta milhões de reais), com fulcro no art. 6o, VI, do Código de Defesa do Consumidor combinado com o art. 12, inc. II, do Marco Civil da Internet, montante que deverá ser rateado entre os corréus e revertido ao Fundo de Defesa de Direitos Difusos, estabelecido pelo art. 13 da Lei n. 7.347/8512, em observância ao principio da razoabilidade; e
ix) que seja feito o cadastramento da presente Ação Civil Pública no Cadastro Nacional de Informações de Ações Coletivas do CNJ, através de comunicação eletrônica ao setor responsável.
* Com informações do MPF