Seus dados vazaram? Saiba quais são os riscos e de quem é a responsabilidade

Entre as penalidades estão advertência e multa de até 2% do faturamento até o limite de R$ 50 milhões

O vazamento de dados é uma realidade e, no Brasil, muitas pessoas têm passado por esse tipo de problema. Para se ter uma ideia, entre janeiro e setembro de 2024, mais de 13 milhões de contas online foram vazadas, de acordo com a ferramenta global de monitoramento de violação de dados da empresa de segurança cibernética Surfshark. 

Diante desse quadro, é preciso perguntar: quais são os riscos e quem paga essa conta? Segundo a diretora jurídica do Instituto de Defesa do Consumidor e do Contribuinte, Renata Abalém, a legislação prevê que, a partir do momento em que uma empresa faz coleta de dados pessoais de clientes, ela fica responsável pela segurança dessas informações, logo, assume os riscos sobre qualquer tipo de vazamento.

“A lei fala que, só o fato de a empresa coletar, manusear, tratar, repassar o meu dado, é uma responsabilidade pela qual ela tem que responder. Então, se há um vazamento de dados sensíveis, de saldos, de biometria, por exemplo, dados realmente impactantes no nosso dia a dia, a responsabilidade da empresa é total”, destaca Renata, que também é membro da Comissão de Direito do Consumidor da OAB/SP.

Caso XP

Um exemplo recente sobre vazamento de dados pessoais é o caso que envolveu a XP - empresa que atua como corretora de valores independente. A companhia informou que, no dia 22 de março deste ano, tomou conhecimento de que houve um acesso não autorizado a uma base de dados hospedada em um fornecedor externo. 

Entre as informações acessadas estão dados cadastrais, como nome, e-mail, gênero, CEP, telefone, data de nascimento, estado civil, cargo e nacionalidade. A empresa disse, porém, que valores financeiros estão preservados e que não houve movimentações de dinheiro. Ainda de acordo com a XP, aplicativos e sites podem continuar sendo utilizados normalmente, sem necessidade de alteração de senhas.

"A gente percebe é que o cliente dessa empresa não estava tão protegido assim. Nós podemos nos proteger com relação às nossas senhas de banco, com relação a quem nós trocamos informação, os sites onde nós entramos, se nós deixamos ali nossos dados ou não. Mas, no caso da XP, o consumidor não pode fazer quase nada. A partir do momento em que eu trabalho com dinheiro, aplico meu dinheiro junto a essa empresa, a relação é de total confiança, porque eu também  deixo ali os meus dados" pontua a especialista.

Penalidades

Desde 2021, vigoram no Brasil as sanções administrativas aplicáveis a empresas que deixam vazar dados de cliente. As penalidades são as seguintes.

• Multa simples (até 2% do faturamento até o limite de R$ 50 milhões);
• Advertência;
• Multa diária;
• Possibilidade de publicização da infração;
• Bloqueio dos dados pessoais envolvidos;
• Eliminação dos dados pessoais envolvidos;
• Suspensão parcial, por até 6 (seis) meses do banco de dados envolvido; e
• Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Para Renata Abalém, a legislação é muito branda, considerando o dano que determinado vazamento de dados pode causar à pessoa afetada. “A gente não tem visto ser aplicado um valor realmente significativo, a ponto de as empresas reverem a sua prática. Hoje, a lei deveria ser mais usada e usada na sua máxima, porque aí sim, passaria para as empresas esse caráter pedagógico, que é importante agora no país”, considera. 

FPM: municípios partilham R$ 1,8 bi nesta terça-feira (20); confira quanto sua cidade recebe

Desde agosto de 2021, entraram em vigor os artigos 52, 53 e 54 da Lei Geral de Proteção de Dados (LGPD). Esses dispositivos dispõem sobre multas e demais sanções administrativas que a Autoridade Nacional de Proteção de Dados (ANPD) poderá aplicar a qualquer companhia responsável pelo tratamento de dados que infringir as normas previstas na LGPD.

A determinação vale tanto para os órgãos públicos, quanto para as empresas privadas, que poderão receber penalidade pelo uso incorreto dos dados pessoais do cidadão.