Vazamento de dados amplia risco jurídico e pressiona empresas por postura preventiva

O recente vazamento de dados envolvendo clientes da XP Investimentos escancarou o tamanho da brecha que ainda existe na segurança da informação no Brasil. A exposição trouxe à tona não apenas nomes e e-mails, mas dados sensíveis como valores investidos, informações bancárias, limites de crédito e cargos profissionais, o que amplia significativamente o potencial de fraudes e uso indevido das informações, colocando em risco a segurança dos usuários.

A advogada, especialista em Direito do Consumidor, Diretora Jurídica do Instituto de Defesa do Consumidor e do Contribuinte (IDC) e membro da Comissão de Direito do Consumidor da OAB/SP, Renata Abalém, explica que os efeitos desse tipo de falha não são imediatos, mas são profundos e duradouros. “Não é preciso esperar o crime futuro para reconhecer que já houve dano. O que foi perdido é a chance de permanecer protegido. O que foi criado é a certeza de um risco permanente”, afirma.

A Lei Geral de Proteção de Dados (LGPD), em vigor desde 2020, reforça esse entendimento. A responsabilidade das empresas por vazamentos é objetiva, ou seja, não depende da comprovação de culpa, e se aplica inclusive quando os dados expostos são classificados como sensíveis, como dados bancários, biometria e outras informações protegidas por sigilo.

Mudança na abordagem

Abalém defende uma abordagem jurídica baseada na teoria do risco ativo com dano latente para casos semelhantes. Segundo ela, cada vez que uma empresa falha na proteção de dados, transfere ao consumidor a responsabilidade de lidar com um problema que não criou. “Quem cria o risco, deverá responder pelo risco. Quem quebra a proteção, deverá reparar a quebra. Quem torna vulnerável, indeniza a vulnerabilidade”, argumenta.

Além disso, mesmo que a fraude ainda não tenha ocorrido, a simples exposição indevida já pode ser considerada passível de indenização. “A jurisprudência atual admite o chamado ‘dano in re ipsa’, ou seja, presumido, sobretudo quando envolve violação da privacidade e exposição indevida”, destaca. A advogada lembra que o consumidor não precisa comprovar prejuízo financeiro imediato para buscar reparação.

Empresas, por sua vez, precisam ir além das medidas básicas, analisa a especialista. “Cada ponto de contato com o cliente é também um ponto de coleta de dados. E cada ponto de coleta exige segurança proporcional. Não basta indenizar. É preciso proteger o que não se pode recuperar: a confiança”, reforça Abalém.

Alerta

Casos como o da XP servem de alerta para o mercado como um todo. Não se trata apenas de falhas técnicas, mas de um modelo que prioriza o crescimento e o lucro sem investir o suficiente na segurança digital. “Quando uma instituição falha, ela deteriora a confiança social, ameaça a integridade do mercado e multiplica o risco sistêmico”, afirma Renata Abalém.
 

Judicialmente, a teoria do risco ativo com dano latente pode ser usada para fundamentar pedidos de indenização por danos morais mesmo sem fraude consumada. A especialista explica que a Justiça pode também reconhecer a inversão do ônus da prova e considerar o risco contínuo como um tipo de lesão autônoma, o que amplia a responsabilização das empresas em casos como esse.
 

Com a LGPD, também há novos mecanismos de fiscalização e punição. A Autoridade Nacional de Proteção de Dados (ANPD) pode aplicar sanções administrativas, como multas, advertências e até bloqueio de uso dos dados. O consumidor, por sua vez, tem hoje maior autonomia para buscar reparação e exigir a exclusão ou o bloqueio de suas informações.

O que as empresas precisam fazer:

• Implementar políticas de governança e compliance em proteção de dados;
• Adotar medidas técnicas e administrativas de segurança, como criptografia, controle de acesso e testes de vulnerabilidade;
• Designar um encarregado (DPO);
• Realizar avaliações de impacto à proteção de dados (DPIA);
• Treinar equipes para prevenção de vazamentos e incidentes;
• Notificar a ANPD e os titulares imediatamente em caso de incidente.

*A negligência na adoção dessas medidas acentua a responsabilização civil e administrativa.

Consumidor terá direito à indenização quando:

• Seus dados forem vazados, compartilhados ou tratados de forma indevida;
• Não houver consentimento ou base legal para o tratamento;
• Houver exposição a risco concreto ou real;
• Houver abalo à sua esfera moral, mesmo sem prejuízo financeiro.

Como buscar reparação:

• Ação individual perante o juizado especial ou vara cível;
• Ação coletiva promovida por associações, Procon, Defensoria ou MP;
• Reclamação à ANPD, que poderá instruir investigação e impor sanções administrativas.

*A reparação pode incluir dano moral, patrimonial, existencial e, eventualmente, indenização punitiva, conforme o caso.

Fonte: Renata Abalém – advogada, Diretora Jurídica do Instituto de Defesa do Consumidor e do Contribuinte (IDC) e membro da Comissão de Direito do Consumidor da OAB/SP

Leia também:

• Contador e os direitos autorais: como orientar o cliente e ficar dentro da lei
• Você conhece o auxílio-acidente e como fazer seu cálculo? Veja aqui!
• Receita Federal informa parada programada do ecossistema CNPJ
• Plano de saúde para MEI em São Paulo: como usar seu CNPJ para pagar menos?
• Simples Nacional sem mistério: aprenda quando usar o DAS Avulso e garanta sua regularidade fiscal!