Durante os dias 19 e 20 de janeiro, último, foi noticiado na mídia em geral o vazamento de dados pessoais de 220 milhões de brasileiros, além de dados sobre 104 milhões de veículos e de 40 milhões de empresas.

Após o vazamento, entidades como a SENACON (Secretaria Nacional do Consumidor) e o PROCON - SP começaram uma investigação prévia visando apurar a empresa que foi envolvida no incidente de segurança, ou seja, quem teve seu banco de dados vazado.

Conforme resultados preliminares, os dados vazados contem, entre outras informações, o “score de crédito” dos titulares de dados, informações estas criadas e mantidas pela empresa Serasa Experian.

Consequentemente, o PROCON - SP notificou a Serasa Expirian, indagando sobre a ocorrência ou não do vazamento de seu banco de dados, bem como para que, em caso de resposta positiva, que o Serasa informe as falhas que ocasionaram o incidente, como fará para reparar os danos decorrentes do vazamento e o que fará para evitar novos incidentes.

Além do PROCON e da SENACON, passaram a investigar o caso o Ministério Público e também a ANPD - Autoridade Nacional de Proteção de Dados.

A LGPD - Lei Geral de Proteção de Dados, embora esteja em vigor desde 18/09/2020, a parte que trata sobre as sanções administrativas (multas) em casos de incidentes envolvendo dados pessoais somente entrará em vigor a partir de Agosto/2021.

Portanto, caso reste comprovado que o vazamento dos dados foi proveniente da Serasa Expirian, esta não poderá ser multada pela ANPD, com base na LGPD. Face a isso o PROCON já relatou que poderá aplicar multa com base no Código de Defesa do Consumidor.

Tendo em visto do ocorrido, ainda aguardamos muitas respostas, como:

Se multas forem aplicadas, estas serão revertidas em forma de indenizações aos mais de 220 milhões de brasileiros que tiveram seus dados pessoais expostos indevidamente?

Os titulares dos dados terão que criar uma avalanche de novas demandas judiciais para se verem ressarcidos pelos prejuízos experimentados?

Se o vazamento dos dados não for proveniente do banco de dados da Serasa Expirian, ou seja, de sua responsabilidade? Quem irá reparar os danos suportados pela empresa, que foi verdadeiramente “lançada aos leões” perante a mídia em geral, sem que se tivesse a conclusão da investigação e que pudesse se defender?

Falemos ainda da ANPD - Autoridade Nacional de Proteção de Dados, criada justamente para regular a proteção de dados no Brasil. Será extremamente eficiente como foi nesse caso, se pronunciando somente mais de 10 dias após o ocorrido, para informar que ainda irá apurar a questão?

Certamente até o final da apuração, a empresa apontada como responsável pelo incidente já terá experimentado prejuízos astronômicos em sua imagem perante a sociedade. Se for a culpada, menos pior.

Mas e se a conclusão da investigação resultar que referida empresa não teve qualquer relação com o incidente de segurança? Foi justo e legal o que ocorreu?

Infelizmente o que nos parece é que a Proteção de Dados, tutelada pela LGPD, trata-se de uma legislação extremamente importante, atual e que veio para mudar paradigmas e a forma de pensar de pessoas física e jurídicas no Brasil. Mas, que até o momento, vem sendo tratada por entidades e pessoas totalmente despreparadas para lidarem com a proteção de dados e todas as consequências que envolvem a aplicação de suas regras.

Enrico Gutierrez - Greve • Pejon Sociedade de Advogados