Em um recurso ainda em tramitação no STJ (Superior Tribunal de Justiça), um usuário do Google pede que a empresa o ressarça por uma invasão hacker em seu e-mail. Ele afirma que a conta detinha a senha a uma carteira virtual com 79.22 bitcoins, avaliada à época da ação em R$ 5,5 milhões.
Para advogados ouvidos pelo LexLatin, a responsabilização do provedor é possível, mas a omissão da empresa precisa ser comprovada.
Flávia Bortolini, associada do Damiani Sociedade de Advogados e especialista em Direito Digital e proteção de dados pelo Data Privacy Brasil, explica que os ataques virtuais podem ocorrer de diversas maneiras: vírus, robôs e softwares mal intencionados (malwares), incluindo softwares que obtêm informações do usuário sem que ele saiba (spywares). “Não há, necessariamente, a atuação de um indivíduo no momento do ataque. Já o ataque hacker pressupõe um indivíduo ou grupo que tenha como objetivo danificar ou invadir uma rede, expondo ou se apoderando de dados sigilosos”, diz.
O criminalista André Damiani, especialista em Direito Penal Econômico e sócio fundador do Damiani Sociedade de Advogados, entende que a Lei Geral de Proteção de Dados tem bases muito claras sobre o tema. “A LGPD prevê que uma pessoa jurídica pode atuar como controlador ou operador de dados e, em caso de vazamento, comprovado o dano patrimonial, coletivo, moral ou individual causado a terceiro, o controlador ou operador poderá ser responsabilizado civilmente”, afirma.
Já segundo Renato Valença, especialista em LGPD do Peixoto & Cury Advogados, organizações como Google e Facebook têm a obrigação de se preocupar e atuar diligentemente buscando proteger as informações de seus clientes/usuários, implementando um sistema de gestão de segurança da informação robusto, com constantes avaliações de riscos e adoção de medidas de controle que sejam compatíveis com os riscos identificados.
“Um incidente de segurança caracterizado por ataque criminoso necessita da análise do grau de culpa da organização que teve suas informações invadidas. Até que ponto a empresa se empenhou em proteger os dados das pessoas? Se constatada omissão, ou outra modalidade de culpa, a empresa passa a ser responsável por indenizar as perdas e danos sofridas por terceiros em decorrência dessa falha”, opina.
Wilson Sales Belchior, que é sócio do RMS Advogados, argumenta que a responsabilização de fornecedores de produtos e serviços não pode ser observada de forma genérica. “A análise deve ser específica, considerando inclusive a cautela adotada no uso, por exemplo, de uma nova tecnologia, a eventual conduta de terceiros, o atendimento às recomendações do fornecedor, a exposição à vulnerabilidades e riscos que não estão abrangidos pelas medidas técnicas e administrativas exigidas daquela tecnologia”, comenta.
Renato Valença lembra ainda que, além da responsabilidade de indenizar terceiros, a partir de agosto deste ano as organizações estarão sujeitas à fiscalização da Autoridade Nacional de Proteção de Dados (ANPD). Além de outras penalidades, a autarquia poderá aplicar multas que podem chegar a R$ 50 milhões.