Decisão que manda ANPD pagar danos morais gera recurso da autarquia e debate
A Autoridade Nacional de Proteção de Dados (ANPD) prepara recurso contra a decisão da 1ª Vara Cível Federal de São Paulo, que determinou sua participação no pagamento de danos morais a beneficiados pelo Auxílio Brasil que tiveram seus dados vazados a agentes bancários para fins comerciais. De acordo com a autarquia, o entendimento da Justiça é divergente do que tem sido decidido até então.
“A ANPD tem, até o momento, obtido decisões judiciais favoráveis nas diversas ações que buscam responsabilizar a Autarquia por danos decorrentes do tratamento de dados pessoais por terceiros. O processo [em questão] é a primeira sentença desfavorável à ANPD, mas isso faz parte do processo judicial. A Autoridade, naturalmente, recorrerá de tal decisão, quando for notificada”, afirmou ao Tele.Síntese.
A ação que coloca a ANPD como corré é movida pela organização SIGILO (Instituto de Defesa da Proteção de Dados Pessoais, Compliance e Segurança da Informação), que acumula outras cinco ações contra a autarquia na Justiça Federal de São Paulo. Segundo a entidade, esta é a primeira ação julgada.
O processo tem como base reportagem jornalística, de outubro de 2022, que noticiou a infração com base no relato de correspondentes bancários denunciantes. A publicação narra que agentes terceirizados tiveram acesso aos dados pessoais de cerca de 4 milhões de beneficiários do Auxílio Brasil, equivalente a 20% da base total – com detalhes como “endereço completo, número de celular, data de nascimento, valor do benefício percebido, números do NIS e do CadSUS”. Ilegalmente, as informações estariam sendo usadas para oferecer produtos financeiros, principalmente crédito consignado.
O instituto SIGILO entende que o vazamento está demonstrado nos autos. Ainda de acordo com a entidade, a ANPD foi procurada por ela, mas não retornou.
A sentença, assinada no início de setembro, determina que a ANPD faça uma auditoria sobre o tema, informe a todos os titulares de dados afetados sobre o caso e, ainda, contribua com o pagamento indenizatório, por danos morais individuais, no valor de R$ 15 mil em favor de cada uma das vítimas. Além disso, exige também danos morais coletivos, de R$ 40 milhões de reais, rateado entre os corréus e revertido ao Fundo de Defesa de Direitos Difusos.
Além da ANPD, a ação responsabiliza a Caixa Econômica Federal (CEF) e o Dataprev. Ambas instituições já se manifestaram afirmando que desconhecem o incidente e também recorrem contra a sentença.
“No que diz respeito à corré Autoridade Nacional de Proteção de Dados – ANPD, esta é órgão regulatório que possui a incumbência legal de tutelar, implementar e fiscalizar o cumprimento das normas de proteção sigilo de dados. Já os corréus DATAPREV, CEF e União Federal, através do Ministério da Cidadania, são incumbidos de utilizar o sistema governamental do Programa Auxílio Brasil. De acordo com os documentos juntados pela autora, foram disseminados dados relativos a números e classificações próprios de tais entes”, diz o juiz federal Marco Aurelio de Mello Castrianni na decisão.
Especialistas divergem
Para Pedro Bastos, coordenador Acadêmico do Data Privacy Brasil, “é bastante irrazoável que a ANPD tenha algum tipo de responsabilidade em uma ação judicial que questiona um dano moral por incidente de segurança”.
“É claro que a ANPD tem obrigação de fortalecer a cultura de proteção de dados e fiscalizar incidentes. Mas o fato de existir um incidente de segurança que a ANPD não conseguiu atuar, prevenir ou não atuou mesmo depois de acontecer para sancionar, não pode fazer dela uma ré solidária numa ação judicial de indenização”, diz Bastos.
Para o especialista, pode até ser o caso de questionar se a política regulatória da autarquia precisa de melhorias, mas não que ela deva arcar com os custos dos danos cometidos por terceiros. “Acho muito difícil que se sustente em eventual recurso para segunda instância”, opina.
Bastos destaca ainda que, conforme a LGPD, a responsabilidade de comunicar os titulares sobre o vazamento é do controlador dos dados e não da ANPD.
Já para Alexander Coelho, especializado em Direito Digital e Proteção de Dados, do escritório Godke Advogados, “a responsabilidade da ANPD em arcar com os danos pode ser questionada, mas está sujeita à interpretação da lei”.
“A LGPD prevê que o controlador e o operador de dados são responsáveis pelo tratamento de dados pessoais e pelas consequências de suas ações. No entanto, a responsabilidade da ANPD em si depende de várias circunstâncias, incluindo se a agência agiu de forma inadequada ou negligente em suas funções de supervisão e regulamentação. Casos específicos como esse podem exigir análise detalhada da legislação e de outras provas dos fatos envolvidos”, afirmou Coelho.
Ao cumprir a determinação do tribunal para informar os titulares de dados em conformidade com a LGPD, o advogado explica que a comunicação deve ser “clara e adequada”. “A publicação no site da autarquia pode ser uma forma de comunicação, mas a lei também prevê que os titulares devem ser notificados diretamente, quando possível”, explica.