A Justiça de São Paulo condenou em primeira instância a construtora Cyrela, com base na nova Lei Geral de Proteção de Dados (LGPD), a pagar indenização de R$ 10 mil por compartilhar dados de um cliente com outras empresas. A legislação, que exige a implementação de uma série de medidas por parte das empresas que lidam diariamente com os dados pessoais de seus empregados, parceiros e clientes, entrou em vigor em setembro.

O autor da ação contou que em 2018, mesmo ano em que comprou um apartamento da Cyrela, começou a ser assediado por instituições financeiras e firmas de decoração, que citavam sua recente aquisição. Ao questionar uma delas sobre a maneira em que havia conseguido seu contato, obteve a resposta:

"Nós trabalhamos com diversas parcerias para oferecermos nossa consultoria em questão a quitação de empreendimentos de algumas construtoras. Não sei ao certo quem passou o seu contato", revelou no processo.

Diante dessa prova, a juíza Tonia Yuka Koroku, da 13ª Vara Cível de São Paulo considerou ilícita a "conduta da ré em supostamente transmitir dados titularizados pelo autor a empresas estranhas ao objeto do contrato firmado entre as partes" e, por isso, condenou em primeira instância a empresa a indenizar em R$ 10 mil o cliente. Tonia ainda citou Código de Defesa do Consumidor e a Constituição Federal para justificar sua decisão:

"O rol do artigo 5º da CF apresenta diversos direitos fundamentais, que devem ser garantidos e protegidos pelo Estado, bem como observados pelos particulares em suas relações, o que sequer demanda mediação pela via da legislação ordinária. São direitos fundamentais a honra, o nome, a imagem, a privacidade, a intimidade e a liberdade, o que é complementado pelo tratamento despendido pelas normas infraconstitucionais", afirmou a juíza.

O advogado especialista em direito digital, Gustavo Artese, sócio da Viseu Advogados, observa que, apesar de a decisão ter sido baseada na lei, a ação é anterior à data em que a medida entrou em vigor. Dessa forma, a Cyrela poderia recorrer argumentando que a LGPD não tem efeitos retroativos. Ele ainda explica que, apesar de ser muito difícil saber como houve o vazamento dos dados pessoais do cliente, a construtora é quem terá que provar que não compartilhou tais informações.

- Há a inversão do ônus da prova. A empresa vai ter que mostrar que tem vários controles para evitar que esse tipo de coisa aconteça, como treinamento de funcionários, controle de softwares - acrescenta Artese: - até porque o compartilhamento de dados pode ser formal ou informal. Isto é: empregados podem ter compartilhado de forma não autorizada pela própria empresa, ou a empresa pode ter feito o compartilhamento com objetivo financeiro, como venda de base de dados.

A multas e sanções da LGPD passam a estar em vigor apenas a partir de agosto de 2021, lembra Aline Deparis, CEO da Privacy Tools, startup brasileira em cibersegurança. Isso, no entanto, não impede a judicialização por parte de consumidores insatisfeitos.

- Assim como o próprio governo, a grande maioria das empresas privadas também não estão em adequação. Isso não é um trabalho meramente jurídico ou de ajustes de um ou outro sistema, é um processo de compreensão do negócio e reavaliação dos fluxos tendo como pressa a privacidade em primeiro plano - avalia Aline: - Dependendo do tamanho da empresa é um trabalho de muitos meses. Muitas automações e ferramentas são necessárias para apoiar e acelerar esse trabalho.

Em nota, a Cyrela informou que tomou ciência da decisão e que seus advogados tomarão as medidas judiciais cabíveis. A companhia ainda disse que "contratou os melhores profissionais para implementação de um amplo programa para atender a Lei Geral de Proteção de Dados com o desenvolvimento de treinamentos para todos os seus colaboradores e fornecedores".

 

Cidadão deverá ser rígido com dados

 

Seja ao entrar em uma farmácia para buscar um simples remédio de dor de cabeça, ou comprar uma blusa numa loja, a história se repete: ao passar no caixa, o atendente pede que o cliente informe o CPF e, às vezes, até seu endereço e a data de aniversário. Quando o consumidor se nega a fornecer os dados, parece até dizer uma ofensa ao vendedor. Justamente por isso, o especialista em direito digital, Gustavo Artese, acredita que forçar essa mudança de hábitos no comércio pode ser "um pouco chato":

- Todos têm a obrigação de proteger seus dados, prestar atenção em quais informações estão sendo coletadas e, se preciso, tomar medidas junto às autoridades. O vazamento de dados pessoais pode causar problemas com emprego, reputação, além de ferir sentimento de privacidade.

O advogado Antonio Eduardo Reichmann Seixas, do escritório Paludo & Paschoal Advogados, afirma que o compartilhamento de dados sem a autorização do dono é bastante comum no Brasil:

- Ao adquirir um produto e assinar um contrato, o consumidor fornece seus dados pessoais para finalizar o negócio e a empresa vendedora acaba compartilhando essas informações com parceiros, sem que os consumidores tenham autorizado essa divulgação. A LGPD tem justamente o objetivo de combater esse tipo de prática, que não se restringe ao mercado imobiliário.

O consumidor que se sentir prejudicado e desejar obter uma reparação na Justiça deve reunir a maior quantidade possível de documentos que comprovem o uso indevido dos seus dados pessoais, orienta Seixas.

- O cidadão tem agora o direito de questionar diretamente às empresas se elas possuem seus dados pessoais, como e com quais objetivos elas tratam essas informações. Se as empresas não responderem prontamente o consumidor e não forem capazes de demonstrar que têm uma política rigorosa de transparência e segurança na gestão de dados, certamente serão condenadas a pagar indenizações porque a lei estabelece que a responsabilidade nesses casos é objetiva. Em outras palavras, quem deve provar que está em conformidade com a LGPD são as empresas, e não o consumidor - esclare o advogado.

 

Mais informações que se imagina...

 

Um caso de tratamento de dados que ficou famoso foi o da varejista americana Target. A loja, sem querer, informou ao pai de uma menina de 15 anos que sua filha estava grávida antes mesmo de ela contar. Baseada no perfil de interesse de consumo, o estabelecimento mandou promoções de produtos típicos para uma gestante.

- O pai reclamou com a loja que estariam, de alguma forma, incentivando a filha dele a engravidar. A Target se desculpou, disse que iria corrigir falhas. Mas, na verdade, um tempo depois, o pai procurou a loja e disse que eles sabiam mais que ele o que acontecia dentro de sua própria casa. A jovem realmente estava grávida! - contou Artese.

Para o advogado, as empresas brasileiras vão precisar analisar quais informações registradas em seus bancos de dados que realmente são necessárias à operação e descartar as demais. A especialista em cibersegurança Aline Deparis acrescenta que as empresas ainda precisam oferecer meios mais transparentes de comunicação e atendimento aos pedidos dos cidadãos:

- Muitos dados são realmente necessários e possuem uma finalidade adequada. Mas como o cidadão pode ter essa visão clara? As companhias ainda devem se preocupar em oferecer treinamento de todo o time responsável pelo atendimento, para que possam dar esclarecimentos adequados à população.