Atuação sistemática do MPDFT

Atuação sistemática do MPDFT

Atuação sistemática do MPDFT

Como visto, o ano de 2018 foi marcado pela atuação frequente do Ministério Público do Distrito Federal e Territórios (MPDFT), que criou Comissão de Proteção dos Dados Pessoais, atual Unidade Especial de Proteção de Dados e Inteligência Artificial – ESPEC, primeira iniciativa nacional dedicada exclusivamente à proteção dos dados pessoais e da privacidade dos brasileiros. A Comissão atuou sistematicamente em diversos casos envolvendo vazamento e uso indevido de dados pessoais. 

Um dos primeiros casos cuida-se do vazamento de dados da empresa de e-commerce Netshoes. Naquela oportunidade, 2 milhões de clientes foram afetados, com exposição de dados como nomes, CPF, e-mail, data de nascimento, código de compra e valor do produto. O vazamento tornou público não apenas dados que individualizam o usuário como, também, o perfil de consumo de cada um deles. 

Apesar de não existir, atualmente, nenhuma obrigação na legislação que determine a comunicação do vazamento de dados aos usuários afetados e ao público em geral (mormente diante do vacatio legis da LGPD), o Ministério Público, pautado em princípios legais e levando em conta a gravidade do incidente e os riscos decorrentes da exposição dos dados pessoais recomendou, por meio da Comissão de Proteção de Dados Pessoais, que a empresa de e-commerce Netshoes:

  • Informe aos clientes afetados pelo incidente de segurança, através de correspondência, com aviso de recebimento (AR), ou por meio de ligação telefônica, quais dados pessoais foram comprometidos (sendo que o descumprimento dessa recomendação implicaria no ajuizamento de Ação Civil Pública por danos morais e materiais causados aos consumidores [1] );
  • Abstenha-se de efetuar qualquer tipo de pagamento ao suposto autor do incidente de segurança, sob pena de configuração de crime de fraude processual [2].

A Comissão também averiguou o vazamento de dados da empresa Uber, que afetou 57 milhões de contas de motoristas e clientes da empresa ao redor do mundo, e expôs dados de 156 mil usuários brasileiros, incluindo nome, telefone e e-mail. A Comissão, através de um documento enviado ao Diretor-Geral da Uber no Brasil, questionou a empresa acerca dos dados de motoristas e clientes brasileiros comprometidos. Após a conduta da Comissão, a Uber optou por notificar os clientes envolvidos no incidente, informando-os do ocorrido.

No caso do vazamento de dados do Banco Inter, a Comissão ajuizou uma Ação Civil Pública (ACP) em face da instituição bancária, pedindo a condenação da empresa ao pagamento de indenização por danos morais no valor de R$ 10 milhões, por não ter tomado os cuidados necessários para garantir a segurança dos dados pessoais dos clientes e não clientes da instituição.

De acordo com a ACP, o Banco Inter informou que efetivamente houve um incidente de segurança, onde dados pessoais de clientes e colaboradores foram vazados. A Comissão recebeu do Banco Central do Brasil os dados vazados dos clientes, que incluem Banco, CNPJ/CPF, agência, número da conta e nome completo da pessoa física ou jurídica titular da conta. Aproximadamente 13.000 contas/clientes tiveram os dados bancários comprometidos e estes dados estavam sendo vendidos na Deep Web.

Em 18 de dezembro de 2018 a Justiça homologou um acordo entre o MPDFT e o Banco Inter. O acordo prevê o pagamento de R$ 1 milhão, que será destinado a instituições públicas que combatem crimes cibernéticos, e R$ 500 mil, que serão destinados a instituições de caridade.

Além dos casos descritos acima, a Comissão também está investigando alguns incidentes de segurança e o uso indevido de dados pessoais (Clique no anexo abaixo para visualizar o quadro).

Contribuição: Vitor Rodolfo Koketu da Cunha