Área do associado
[BRASILCON]

VAZAMENTO E MERCANTILIZAÇÃO DE DADOS PESSOAIS E A FRAGILIDADE DA SEGURANÇA DIGITAL DO CONSUMIDOR: um estudo dos casos Netshoes e Uber.

 

RESUMO

 

O presente trabalho tem como propósito analisar criticamente, mediante bibliografia nacional e estrangeira, a repercussão jurídica e social dos mais recentes escândalos envolvendo o vazamento e roubo de dados pessoais de usuários de lojas e serviços online, a saber, os casos Netshoes e Uber, refletindo acerca da intangibilidade de dados pelo consumidor digital e mecanismos de proteção de suas informações pessoais e sensíveis, apontando os desafios decorrentes da violação de direito à privacidade digital. Outrossim, analisar-se-á a reação do Judiciário e do Ministério Público quanto ao ocorrido e as respectivas recomendações às empresas afetadas, dando-se especial notoriedade ao trabalho pioneiro do Ministério Público do Distrito Federal e Territórios na denúncia e acompanhamento dos casos de vulnerabilidade de dados online por intermédio da Comissão de Proteção de Dados Pessoais, iniciativa criada em 2017 cujo trabalho de investigação resultou em recomendações às empresas que certamente servirão de base para novos casos de ciberataques no futuro. 

 

Palavras-chave: proteção de dados pessoais; direito do consumidor; Netshoes; Uber.

 

 

1.      INTRODUÇÃO

 

            São tempos sombrios para a privacidade do consumidor digital. Apesar do crescimento acelerado da regulamentação jurídica sobre a internet e suas repercussões para o usuário brasileiro, os mais recentes escândalos de roubo de dados pessoais e sensíveis por grandes empresas de serviços online trazem à tona um risco intangível e iminente de descontrole das próprias informações sobre si mesmo. Descumprindo o dever de segurança dos dados pessoais e sensíveis dos usuários, a submissão da loja online brasileira Netshoes e do aplicativo de transporte individual alternativo norte-americano Uber a hackers no final de 2017 comprometeu dois milhões de contas cadastradas na loja online e afetou os dados de, aproximadamente, 196 mil usuários brasileiros do serviço, respectivamente.

            Os ciberataques, como se convencionou chamar os incidentes globais de data breach (vazamento de dados), são uma consequência da sociedade de informação, também denominada sociedade da relevância (MARTINS, 2014, p. 33) em que o acesso a perfis e informações pessoais dos usuários torna-se o maior capital existente e desejável pelos Estados e empresas mundiais (SCHERKERKEWITZ, 2014, p. 25).

            Embora o roubo de banco de dados seja uma preocupação relevante para os países europeus desde a década de 1970, a regulamentação jurídica de proteção de dados pessoais na Internet não é, ainda, uma prioridade do Estado e da sociedade brasileiros, seja pela leniência na votação legislativa do PL 5.276/2016, que, a despeito da manifestação favorável pelo Comitê Gestor da Internet no Brasil[1], sequer voltou à tramitação do Plenário desde o ano de 2016, seja pelo desconhecimento de grande parte dos consumidores brasileiros sobre o uso seguro e consciente da Internet.

            Por seu caráter abstrato e eminentemente técnico, o consumidor desconhece os termos e condições pelos quais as empresas digitais coletam, armazenam e transmitem seus dados a terceiros. Tal fato que desencadeia um movimento de flexibilização e insegurança do direito à privacidade, uma vez que a identidade humana e sua afirmação perante o meio social eletrônico são de suma importância para os serviços online e, igualmente, para hackers e pessoas mal intencionadas na rede mundial de computadores.

 

2.                  A PROTEÇÃO DOS DADOS PESSOAIS NO CONTEXTO DA SOCIEDADE DA INFORMAÇÃO E DA ERA DIGITAL

                A sociedade da informação é um conceito sociológico pormenorizado por Manuel Castells (2005, p. 108-109), sendo um fenômeno paradigmático de transformação social e econômica. Tal paradigma é fundamentado, segundo o autor, pelo desenvolvimento de “tecnologias para agir sobre a informação”, cuja inserção integral nas relações sociais e nos processos do pensamento humano implica a consolidação da lógica de redes nos sistemas e processos humanos e à flexibilidade das formas e das instituições.

            No contexto da sociedade informática, as relações e interações humanas, bem como seus intercâmbios e comunicações, transmutam-se para o ciberespaço de Lévy (1999, p. 92-93), isto é, um grande espaço de interconexão de computadores e de suas memórias, no sentido informático de armazenamento de arquivos e dados. Trata-se de ambiente virtual, fluido, hipertextual e interativo, tratável e acessível em tempo real e mediante o qual a humanidade pôde confiar suas formas de comunicação e suas memórias para livre acesso em qualquer lugar à rede mundial, desde que se disponha das ferramentas necessárias.

            O principal motor desta nova configuração social são os dados e a informação propriamente dita. Imperiosa é a diferenciação de Danilo Doneda (2011, p. 94), segundo o qual o “dado” seria uma “pré-informação”, ainda não tratada e interpretada enquanto um todo passível de cognição. A informação, por sua vez, consistiria no dado já transmitido e interpretado enquanto representação de conteúdo referente a algo ou a alguém.  

            Ambos, porém, se transformam em atividade econômica na medida em que sua coleta e tratamento configuram-se como exercícios de um novo e grande poder, que motiva e fundamenta empresas e países a se debruçarem rumo ao aperfeiçoamento do controle da maior quantidade de dados que possam lhe conceder vantagens publicitárias e administrativas, na perspectiva utilitarista à qual faz menção Danilo Doneda (2011, p. 92).

            À medida que a confiança nas transações online cresce consideravelmente[2], mais pessoas tornam-se vinculadas às mais variadas espécies de contratos eletrônicos sem que ao menos percebam a multiplicidade de relações jurídicas com as quais acordaram e, consequentemente, os dados informados para que esta mesma relação pudesse ser celebrada junto aos sistemas dos fornecedores.

            No presente trabalho, analisamos a coleta, distribuição e violação destes dados na perspectiva do e-commerce, ou comércio eletrônico, em que as relações comerciais e consumeristas se efetivam mediante a transmissão de dados através de computadores, utilizando-se como meio de transmissão a Internet[3]. Outrossim, o trabalho debruça-se notadamente sobre o tratamento de dados de clientes quando da utilização dos serviços de lojas e serviços online, seja pelo cadastro ou manutenção de histórico de atividades do usuário-consumidor.  

             

3.                  TRAJETÓRIA LEGISLATIVA DA PROTEÇÃO DE DADOS NA EUROPA E NO BRASIL

            A disciplina referente à proteção de dados no mundo pode ser definida, segundo Danilo Doneda (2011, p. 96), pelo desenvolvimento de quatro gerações legislativas. A primeira geração, radicada no início dos anos 1970, tinha como principal preocupação o processamento de dados por grandes bancos de dados que exerceriam o controle centralizado de informações pessoais pelo Estado, isto é, continha uma natureza vinculada à segurança nacional, e ainda não vislumbrava a possibilidade de proteção de dados de usuários, consumidores e cidadãos. Por esta razão, esta primeira geração é caracterizada pela linguagem tecnicista e de escopo administrativo das leis, como a autorização de processamento de dados, sem relação com a proteção à privacidade.

            Com a descentralização e o aumento quantitativo dos centros de processamento de dados, no final da década de 1970, a legislação europeia carecia de instrumentos normativos atualizados para a proteção dos bancos de dados informatizados, tendo em vista a distribuição e amplitude da transmissão de dados para os então numerosos centros de processamento. Desta forma, surge a preocupação com a privacidade na França e na Alemanha, que passa a dispor sobre a proteção dos dados pessoais enquanto uma liberdade negativa do próprio nacional (DONEDA, 2011, p. 97), que se torna competente para identificar irregularidades no uso de seus dados pessoais e pleitear a sua proteção e indenização por danos.

            Nos anos 1980, por sua vez, conforme lição de Doneda (2011, p. 97), identifica-se um fenômeno que ultrapassou fronteiras e se encontra consolidado até os dias atuais – a intrínseca necessidade de fornecimento e tratamento de dados pessoais dos indivíduos:

(...) Percebeu-se que o fornecimento de dados pessoais pelos cidadãos tinha se tornado um requisito indispensável para a sua efetiva participação na vida social. O que era exceção veio a se tornar regra. Tanto o Estado quanto os entes privados utilizavam intensamente o fluxo de informações pessoais para seu funcionamento, e a interrupção ou mesmo o questionamento deste fluxo pelo cidadão implica muito frequentemente a sua exclusão de algum aspecto da vida social.

           

            A partir desta constatação, desenvolveu-se o conceito de autodeterminação informativa, na jurisprudência alemã, que, segundo Leonardi (2011, p. 70), consiste no

(...) direito de um indivíduo se proteger contra a coleta, o armazenamento, o uso e a revelação de seus dados pessoais, efetuados de modo ilimitado, direito esse que somente poderia ser restringido em caso de um interesse público superior, com base
constitucional.  

 

            Adquire, então, o cidadão maior poder participativo no controle do processamento de suas informações. Esta definição fundamenta a terceira geração legislativa, que acompanha o surgimento e difusão dos personal computers, em que a lógica de armazenamento e processamento de dados era vinculada a fins militares e administrativos e passa a descrever o uso doméstico do computador e as novas tecnologias de telecomunicações.

            Porém, ao se constatar a insuficiência deste conceito para a tutela coletiva dos usuários, uma vez que a autodeterminação era pautada na ideia individual de liberdade de escolha de uma pequena parte da população mundial, surge a quarta geração legislativa atual, que, segundo Doneda (2011, p. 98), caracteriza-se pelo protagonismo da proteção de dados pessoais, mormente os dados considerados sensíveis, cuja definição será pormenorizada alhures, e pela imperatividade da tutela coletiva e da responsabilidade das entidades que coletam e tratam os dados pessoais do individuo, em contraposição ao modelo anterior de gestão individual dos dados e liberdades negativas. É, portanto, a estipulação de um dever do Estado e das entidades privadas em proteger os dados pessoais dos indivíduos de forma que sua violação não acarrete em responsabilização indevida do mesmo.

            Consolidada a quarta geração legislativa de proteção de dados, convencionou-se diferenciar os tipos de dados que podem ser armazenados e distribuídos em rede. Primeiramente, considera-se dado pessoal, segundo a nova Diretiva da Comunidade Europeia em vigor a partir de 28 de maio de 2018 (Regulamento nº 2016/679, conhecida como General Data Protection Regulation – GPDR),

informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.

 

            A nova regulamentação dispõe ainda os princípios norteadores da proteção dos dados pessoais dos usuários, dentre os quais destacam-se a integralidade e a confidencialidade (Artigo 5º, I, f), segundo os quais deve haver a garantia de segurança dos dados pessoais contra o seu tratamento não autorizado ou ilícito, bem como sua perda, destruição ou danificação acidental, além de responsabilizar.

            Dentro do conceito de dados pessoais, ressalta-se, na nova legislação internacional, uma subcategoria especial conhecida como dados sensíveis, previstos no Artigo 9º, 1, que dizem respeito a

dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.

 

            Segundo Doneda, em relatório elaborado junto à Escola Nacional de Defesa do Consumidor (BRASIL, 2010, p. 25), os dados sensíveis consistiriam em “determinados tipos de informação que, se conhecidas e processadas, prestariam-se a uma potencial utilização discriminatória ou lesiva”. Referida espécie de dados pessoais é dotada de proteção peculiar pela nova Diretriz, uma vez que o seu tratamento por entidades públicas e privadas é exceção no regulamento europeu.  

            No Brasil, o sigilo dos dados pessoais é prevista de forma genérica na Constituição Federal, em seu art. 5º, X e XII, pela garantia da inviolabilidade da vida privada e da intimidade, pela proibição à interceptação de dados e pela ação constitucional específica para a reparação da violação ao direito de acesso e retificação de suas informações (habeas data) não fazendo menção expressa ao armazenamento em banco de dados (LEONARDI, 2011, p. 70). 

            Embora prevista de maneira esparsa no arcabouço normativo brasileiro, a proteção e tratamento de dados segue princípios específicos, oriundos de documentos e regulamentos internacionais[4] e da própria sapiência jurisprudencial, elencados por Mendes (2016). São estes: a transparência do tratamento, natureza e destinação dos dados; tratamento compatível com a finalidade da coleta, sendo defesa a retenção de dados excessivos; livre acesso, direito à retificação e ao cancelamento do consentimento; proteção dos dados sensíveis, conforme a normativa internacional; segurança e limitação temporal do armazenamento de dados pessoais. 

            Outrossim, a trajetória legislativa infraconstitucional aponta como precursor do tratamento dos dados de usuários o Código de Defesa do Consumidor, que faz menção à proteção de dados dos consumidores em seu art. 43, garantindo acesso a todas as informações existentes em bancos de dados pessoais e de consumo arquivados sobre o consumidor.

            No entanto, até o advento do Marco Civil da Internet (Lei nº 12.965/2014), a única regulamentação específica sobre a matéria consistia na Lei de Acesso à Informação (Lei nº 12.527/2012) e na Lei do Cadastro Positivo (Lei nº 12.414/2011). Muito embora a regra geral da Lei de Acesso à Informação seja a publicidade de dados relacionados às atividades públicas, o art. 31 demonstra a necessidade de cautela no tratamento de informações pessoais relativas à intimidade, vida privada, honra e dignidade, sendo restrita tão-somente à pessoa afetada, a terceiros mediante autorização e aos agentes públicos, salvo as hipóteses do art. 31, §3º. 

            Conceitua, ainda, a Lei do Cadastro Positivo, o banco de dados enquanto instrumento intrinsecamente relacionado ao risco financeiro da empresa (art. 2º, I) para formação do histórico de crédito do consumidor, merecendo destaque a norma proibitiva de registro de informações excessivas e sensíveis (art. 3º, §3º).

            É, também, a proteção de dados um fundamento explícito do Marco Civil da Internet, disposto em seu art. 3º, III, vinculada expressamente ao direito constitucional à intimidade e à vida privada, conforme art. 11. Ressalte-se que o art. 7º da mesma Lei, ao dispor os direitos dos usuários da Internet, confere tratamento especial à proteção de dados pessoais, dedicando quatro incisos à regulamentação desta matéria:

VII – não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei; VIII – informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que: a) justifiquem sua coleta; b) não sejam vedadas pela legislação; e c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet; IX – consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais; X – exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta lei (grifo nosso);

           

            O Marco Civil estabelece, ainda, normas específicas referentes à guarda e disponibilização de dados pessoais, fazendo menção expressa à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas (art. 10), estando os provedores de conexão e de aplicação obrigados a prestar informações a respeito do cumprimento das diretrizes brasileiras (art. 11, §3º). Traz, ainda, rol inovador de sanções aos provedores que descumprirem as disposições de segurança de dados, em seu art. 12, verbis:

Art. 12.  Sem prejuízo das demais sanções cíveis, criminais ou administrativas, as infrações às normas previstas nos arts. 10 e 11 ficam sujeitas, conforme o caso, às seguintes sanções, aplicadas de forma isolada ou cumulativa:

I - advertência, com indicação de prazo para adoção de medidas corretivas;

II - multa de até 10% (dez por cento) do faturamento do grupo econômico no Brasil no seu último exercício, excluídos os tributos, considerados a condição econômica do infrator e o princípio da proporcionalidade entre a gravidade da falta e a intensidade da sanção;

III - suspensão temporária das atividades que envolvam os atos previstos no art. 11; ou

IV - proibição de exercício  das  atividades  que  envolvam os atos previstos no art. 11.

 

            O Decreto nº 8.771/2016, que regulamenta o Marco Civil da Internet, traz ainda diretrizes de segurança dos dados pessoais coletados pelos provedores de conexão e de aplicações, conceituando-os enquanto “dado relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos” (art. 14, I). Traz, ainda, em seu art. 13, especificidades sobre os padrões de segurança de rede, entre os quais se observa o cumprimento dos princípios gerais descritos anteriormente:

Art. 13.  Os provedores de conexão e de aplicações devem, na guarda, armazenamento e tratamento de dados pessoais e comunicações privadas, observar as seguintes diretrizes sobre padrões de segurança:

 

I - o estabelecimento de controle estrito sobre o acesso aos dados mediante a definição de responsabilidades das pessoas que terão possibilidade de acesso e de privilégios de acesso exclusivo para determinados usuários;

 

II - a previsão de mecanismos de autenticação de acesso aos registros, usando, por exemplo, sistemas de autenticação dupla para assegurar a individualização do responsável pelo tratamento dos registros;

 

III - a criação de inventário detalhado dos acessos aos registros de conexão e de acesso a aplicações, contendo o momento, a duração, a identidade do funcionário ou do responsável pelo acesso designado pela empresa e o arquivo acessado, inclusive para cumprimento do disposto no art. 11, § 3º, da Lei nº 12.965, de 2014; e

 

IV - o uso de soluções de gestão dos registros por meio de técnicas que garantam a inviolabilidade dos dados, como encriptação ou medidas de proteção equivalentes.

 

§ 1o  Cabe ao CGIbr promover estudos e recomendar procedimentos, normas e padrões técnicos e operacionais para o disposto nesse artigo, de acordo com as especificidades e o porte dos provedores de conexão e de aplicação.

 

§ 2o  Tendo em vista o disposto nos incisos VII a X do caput do art. 7º da Lei nº 12.965, de 2014, os provedores de conexão e aplicações devem reter a menor quantidade possível de dados pessoais, comunicações privadas e registros de conexão e acesso a aplicações, os quais deverão ser excluídos:

 

I - tão logo atingida a finalidade de seu uso; ou

 

II - se encerrado o prazo determinado por obrigação legal.

 

            Finalmente, estão em tramitação três Projetos de Lei dedicados a tratar da matéria da proteção de dados pessoais no Brasil, a saber, o PL 4.060/2012, o PLS 330/2013 e o PL 5.276/2016, este de autoria do Ministério da Justiça após consulta popular via Internet. Porém, os Projetos ainda se encontram em tramitação no Congresso, sujeitos à aprovação pelo Plenário[5].

 

4.      PROTEÇÃO DE DADOS PESSOAIS E O DIREITO À PRIVACIDADE

            Decorre desta síntese legislativa que a proteção específica dos dados pessoais pelos ordenamentos internacional e brasileiro está intrinsecamente vinculada à proteção da privacidade, que, no contexto informacional da rapidez e imaterialidade das relações, tem sua concepção redefinida. Para além de sua perspectiva clássica e individual, conforme Guilherme Magalhães Martins (2016, p. 47), a privacidade passa a ser a “possibilidade de um sujeito de conhecer, controlar, endereçar e interromper o fluxo das informações que lhe dizem respeito”, inclusive de gerenciar quais destes atributos referentes a si mesmo podem ser utilizados por terceiros (LEONARDI, 2011, p. 68).

            Afastando-se das perspectivas tradicionais da privacidade como um direito fundamental de ser deixado só, em paz da vida pública, e da teoria das esferas privadas de Henkel e Hubmann, esta nova conceituação da abrangência do direito à privacidade acompanha a fragilidade de sua garantia no meio virtual, uma vez que sua violação torna-se facilitada em razão do total acesso, imaterial e desterritorializado, à pesquisa e à reprodução de informações (LEONARDI, 2011, p. 42).

            O cenário de fragilização da privacidade é descrito por Leonardi (2011, p. 60), na medida em que “por meio da agregação de dados isolados e fragmentos de informação aparentemente irrelevantes, é possível montar perfis completos a respeito de um indivíduo, revelando inúmeros aspectos de sua personalidade”.

            Significa dizer que a violação à privacidade no contexto da sociedade da informação não mais é vinculada à exposição da vida privada e de detalhes íntimos da vida de alguém, mas sim a quaisquer informações referentes a um indivíduo do ponto de vista cívico – como as informações oficiais sobre o indivíduo – além de aspectos sociais e relacionais, sem que haja necessariamente o consentimento ou o controle da qualidade e quantidade de dados retidos do indivíduo.

            Afirma Laura Schertel Mendes (2016, p. 44), em síntese, sobre o direito à proteção de dados pessoais dos consumidores, a existência de uma dupla dimensão para seu estudo e aplicação: “(i) a tutela da personalidade do consumidor contra os riscos que ameaçam a sua personalidade em face da coleta, processamento, utilização e circulação dos dados pessoais e (ii) a atribuição ao consumidor da garantia de controlar o fluxo de seus dados na sociedade”. Desta forma, estaria garantida ao consumidor-usuário a sua autodeterminação, levando-se em conta, ainda, as expectativas legítimas de segurança pela boa-fé objetiva do consumidor e os riscos decorrentes do tratamento de dados pessoais.

 

5.                  ASPECTOS DA VIOLAÇÃO À PROTEÇÃO DE DADOS PESSOAIS SOB A PERSPECTIVA DO DIREITO DIGITAL DO CONSUMIDOR: os incidentes de segurança e a responsabilidade objetiva do fornecedor.

            A transformação das relações comerciais e consumeristas em rede trouxe como consequência o incentivo incessante à inserção e envio de informações como moeda de troca para o usufruto de produtos e serviços via Internet, estando os consumidores-usuários completamente cientes dos dados informados ou não. Isso se verifica na medida em que “é possível saber quais as preferências do usuário, por meio dos sites que acessa, ou mesmo das palavras que digita em um mecanismo de busca, por exemplo, criando-se verdadeiros ‘perfis’ acerca do cruzamento de dados de conexão” (MARTINS, 2016, p. 54).

            Esta possibilidade de cruzar informações consideradas, em um primeiro momento, não-sensíveis para gerar perfis personalíssimos é denominada profiling, e é usado constantemente como técnica de publicidade direcionada (BRASIL, 2010, p. 32). O armazenamento ordenado destes dados é possível mediante data mining (mineração de dados), consequência da evolução tecnológica dos bancos de dados, que possuem cada vez mais informações pessoais em estado bruto – dados propriamente ditos – que, ao serem submetidos a um processo de organização em tendências e correlações, podem gerar como resultado o perfil completo, a representação virtual de uma pessoa física.

            No entanto, alerta Mendes (2016, p. 51) a respeito do surgimento de novas formas de discriminação do consumidor do mercado mediante o armazenamento de enormes quantidades de dados pessoais (Big Data) para elaboração de perfis estatísticos e o tratamento diferenciado, a exemplo de publicidade direcionada, preços ou condições de pagamentos específicas, para os perfis considerados vantajosos ao fornecedor, levando-se em conta tão-somente condições estatísticas de determinado público e não do indivíduo considerado em sua subjetividade. Referida prática viola o princípio da igualdade entre os consumidores (art. 5º, CF e art. 6º, II, CDC), razão pela qual a utilização desta forma de tratamento de dados é ilegítima pelo ordenamento jurídico consumerista brasileiro.   

            Outrossim, referido filtro de dados torna possível não só a personalização da publicidade como também a fidelização do cliente no ato de seu cadastro na loja online (MARQUES, 2004, p. 184). Segundo a jurista, “os fornecedores alegam a necessidade de identificação do ‘consumidor/navegador’, mas a verdade é que estes dados têm hoje um valor econômico muito grande e vão alimentar o banco de dados do fornecedor, conclua ou não o contrato ao consumidor”.

            A coleta de dados em cadastros de usuários, no entanto, por utilizar-se do meio informático para seu armazenamento e tradução, apresenta riscos diversos àquele que submete. Tal risco é decorrente da própria natureza ilimitada da World Wide Web, cuja transmissão de dados não encontra limites legislativos e consequentemente choca-se com a territorialidade e à normatividade das instituições estatais (PAESANI, 2013, p. 20).

Em reflexão a respeito da segurança dos usuários da Internet, afirma Paesani (2013, p. 67-68):

A Internet insere-se em contexto permeado de paradoxos: trata-se da mídia que conta com mais meios de proteção de privacidade e integridade (relembre-se aqui a figura das senhas, da criptografia, da biométrica etc.), porém é a mais suscetível a ataques e invasões (como os desfechados pelos hackers e crackers, em relação a sistemas tidos como seguros), bem como a outros tipos de danos como os causados por vírus. Da mesma forma, é a indústria do desenvolvimento mais caro e especializado, porém é a que oferece literatura técnica mais farta e acessível.

 

Em uma sociedade baseada no controle de informações, o domínio social do indivíduo traduz-se na quantidade e qualidade de dados coletados e distribuídos. Como forma de desfrutar deste poder informático (PAESANI, 2013, p. 21), o roubo e utilização ilegal de dados pessoais em grandes bancos de dados torna-se um problema mundial para países e instituições, seja como ciberespionagem e sabotagem de estratégias governamentais, seja como instrumento para a aplicação de fraudes e outras condutas criminosas contra os indivíduos afetados. Destaca-se, no contexto do direito digital, a atuação de hackers, espécie de “piratas da informação”, cujo propósito é explorar vulnerabilidades de sistemas de segurança com motivações diversas, mediante o uso de habilidades técnicas informáticas excepcionais.

            Com a descoberta de vulnerabilidades, os hackers obtêm acesso a informações pessoais e, dependendo de sua vertente ética, podem auxiliar a fortalecer os sistemas de tratamento e criptografia de dados para evitar o acesso aos registros virtuais por terceiros mal-intencionados no futuro (hacker ético) ou podem, ao contrário, seqüestrar os mesmos dados e danificar o sistema, gerando transtornos e violações de privacidade (hacker não-ético ou cracker).

            Neste contexto, a sensação de insegurança nas relações comerciais via Internet é agravada ao se considerar a perspectiva da empresa, na medida em que:

(...) A maioria das empresas virtuais que sofrem invasões não denuncia a ocorrência, haja vista que os dados furtados são de seus ‘clientes’ e muitas vezes serão utilizados por terceiros sem que estes percebam, pelo menos até que algo pior ocorra (...). Alguns têm medo de tornar a ocorrência pública por temerem que haja dano à marca, que passaria a imagem de ser insegura perante o universo dos consumidores (PINHEIRO, 2011, p. 187).  

 

            Dessa forma, é possível que o número anunciado de incidentes de segurança anualmente por relatórios de segurança de informação e sites especializados seja ainda menor que o quantitativo de vulnerabilidades[6], o que gera mais insegurança e quebra de expectativas do consumidor digital em relação à segurança do serviço virtual prestado pelo fornecedor.

Para tratar especificamente da responsabilidade do fornecedor, é essencial que se delimite o conceito de vazamento de dados (data breach) e seu tratamento pelo direito brasileiro para que se possa analisar os casos concretos com a devida luz técnica e jurídica.

             

6.                  VAZAMENTO DE DADOS (DATA BREACH): conceito e consequências jurídicas

            Dentre as falhas de segurança de sistemas de rede[7], o vazamento de dados (data breach, no inglês) é o incidente de segurança que possui maiores repercussões ao usuário-consumidor. Isto porque se trata de invasão, acesso indevido e roubo ou seqüestro de dados pessoais de usuários de um determinado provedor de serviços na Internet, seja uma loja online, seja um site fornecedor de softwares e aplicações móveis, pagos ou gratuitos. Dessa forma, difere-se o vazamento de dados de uma fraude ao fornecedor, uma vez que o prejuízo não concerne diretamente ao responsável pela loja virtual, e sim aos seus clientes, que tiveram seus dados expostos quando esperaram legitimamente que estes estariam seguros e devidamente criptografados pelos sistemas da fornecedora de serviços.

            O data breach pode ser traduzido juridicamente como alegado fato de terceiro, em que um cracker, almejando proveito econômico criminoso, coleta dados ilegalmente em troca de pagamento em dinheiro real ou criptomoedas, ou quando um hacker “ético”, com o propósito de detectar vulnerabilidades em sistemas de empresas e instituições, descobre uma falha de segurança no sistema da loja virtual que deixou exposto à ação de agentes mal-intencionados os dados de seus usuários. No último caso, o hacker responsável pela identificação do incidente de segurança não é, propriamente, o autor da falha em si, mas tão-somente o informante de uma vulnerabilidade, não sendo certo se os dados expostos foram efetivamente utilizados para fins maliciosos ou não, a não ser após parecer minucioso de profissional de tecnologia da informação.

            No âmbito consumerista, o furto de dados de um banco alimentado por empresas virtuais facilitado por vulnerabilidades no sistema de segurança da loja é hipótese clara de aplicação do art. 14 do Código de Defesa do Consumidor, configurando defeito na relação de serviço em razão da violação do dever de qualidade e de segurança. Convém ressaltar o conceito aplicável de consumidor aos usuários afetados pela exposição de seus dados, uma vez que, em se tratando de relação consumerista efetuada mediante cadastro prévio do cliente junto aos sistemas da empresa, trata-se da hipótese do consumidor enquanto todas as vítimas do evento (art. 17, CDC). Logo, clara é a responsabilidade objetiva do fornecedor no que diz respeito a falhas de segurança que expuseram dados pessoais dos usuários ao risco, que poderão pleitear a indenização pelos danos materiais e morais sofridos em razão do incidente.

            Ressalte-se que, em que pese a não comprovação técnica de efetivo dano gerado ao usuário pela exposição de seus dados na hipótese em comento, uma vez que apenas foi descoberto por profissional de segurança ou por um ethical hacker, entendemos que a mera exposição e o risco de coleta e utilização indevida dos dados pessoais e sensíveis disponibilizados pela vulnerabilidade da rede consistem, per si, em violação do dever de segurança do fornecedor, uma vez que o tratamento de dados adquire uma importância constitucional enquanto corolário do direito à privacidade e da própria proteção da personalidade, sendo possível, ainda, a elaboração e distribuição de perfis completos por meio do tratamento destes dados e, consequentemente, a prática de diversas fraudes e crimes digitais contra a pessoa afetada.

            Não obstante, corolário à boa-fé objetiva e ao disposto no art. 14, §1º, devem ser levadas em consideração as circunstâncias que caracterizam o serviço prestado, de maneira a identificar a efetiva segurança que o consumidor pode esperar: logo, não é uma expectativa legítima do consumidor que um software ou um serviço online desatualizado seja imune de novos ataques virtuais, em razão da época em que o programa foi fornecido, por exemplo (art. 14, §1º, III).

            Outrossim, nada impede o reconhecimento da hipótese, devidamente comprovada, de culpa exclusiva do consumidor, em razão de descuido ou desídia[8] próprios referentes à segurança de seus dispositivos virtuais, a exemplo da perda ou compartilhamento de senhas, inserção de dados em sites suspeitos ou concessão irrefletida de autorização da coleta de dados diversos por serviço de terceiros ao site contratante – desde que as permissões de uso tenham sido ostensivamente demonstradas ao consumidor no ato da contratação.     

            Tal hipótese, contudo, deve ser analisada com a devida cautela e levando-se em consideração o próprio status de inclusão digital do indivíduo e as peculiaridades da contratação virtual[9], uma vez que é sabido que, mesmo diante de termos e condições de uso, o consumidor não lê ou não compreende por completo suas cláusulas em razão da hipossuficiência técnica informacional, tampouco tem a capacidade de mudar quaisquer cláusulas em razão da intrínseca natureza de adesão dos contratos de adesão click-wrap[10].

            No entanto, em se tratando de invasão maliciosa por crackers, em que os dados são capturados para exposição fora da esfera de confidencialidade da segurança de informação da empresa, havendo ou não chantagem econômica, o fornecedor vítima do ataque será responsabilizado pela violação à privacidade de seus clientes? Tratar-se-ia de hipótese de aplicação do art. 14, §3º, II, em razão de culpa exclusiva de terceiro (cracker)? Aplicar tal excludente equivaleria a transpor aos consumidores virtuais o risco da atividade de processamento de dados, o que é defeso na ordem consumerista brasileira. A respeito da controvérsia, leciona Mendes (2016, p. 56):

Como o Código de Defesa do Consumidor prevê a responsabilidade objetiva do fornecedor, não cabe a avaliação a respeito da ocorrência de culpa. Excludentes de responsabilidade previstos pelo Código de Defesa do Consumidor e pelo Código Civil são a culpa exclusiva da vítima ou de terceiro, bem como o caso fortuito ou força maior. Ocorre que, em geral, as ameaças de segurança aos sistemas de informação raramente se enquadram nessas categorias, na medida em que normalmente os eventos não são imprevisíveis, nem tampouco inevitáveis, pois decorrem, em geral, da utilização de sistemas antiquados de segurança ou fora dos padrões recomendados.45 Assim, havendo uma relação do evento causador do dano com a atividade do fornecedor, fica mantido o nexo entre o dano e o defeito, persistindo, portanto, o dever de indenizar.

           

            Para prevenir a invasão dos sistemas informáticos do e-commerce, menciona-se a previsão de “exigência de identificação clara de selos de segurança nesses sites, supervisionados periodicamente, já que a tecnologia de segurança deve ser atualizada constantemente, na mesma velocidade em que são aprimoradas as técnicas criminosas para burlá-las” (PINHEIRO, 2011, p. 187).

            Outrossim, os fornecedores que mantiverem cadastro virtual de seus consumidores devem obedecer aos objetivos clássicos da segurança da informação, ao manter os seus sistemas seguros em relação à sua confidencialidade, integridade, sendo vedada sua manipulação, e disponibilidade – a saber, acessibilidade e proteção contra perda ou usurpação (MENDES, 2016, p. 55-56)[11]. Devem, portanto, manter constantemente atualizados seus sistemas de segurança, utilizando-se de tecnologias compatíveis com os fins às quais se destinam.

            Quando a vulnerabilidade ocorre, porém, acarretando o vazamento de dados dos consumidores cadastrados no sistema da loja virtual, Mendes (2016, p. 56-57) defende a aplicação do instituto do recall, previsto no CDC em seu art. 10, §1º e §2º, para a notificação das autoridades competentes e dos próprios consumidores, alertando todos os atingidos pelo ataque cibernético a respeito dos dados comprometidos e as medidas de segurança a serem tomadas, sem prejuízo da responsabilidade objetiva do fornecedor pelos danos gerados aos usuários expostos. A notificação de incidentes de segurança é uma medida essencial para a proteção de dados dos consumidores, estando prevista, inclusive, no texto do PL nº 5.276/2016 e PLS nº 330/2013, em redação similar:

 Art. 47 do Projeto de Lei 5.276/2016: O responsável deverá comunicar ao órgão competente a ocorrência de qualquer incidente de segurança que possa acarretar risco ou prejuízo relevante aos titulares.

Parágrafo único. A comunicação será feita em prazo razoável e deverá mencionar, no mínimo:

I - descrição da natureza dos dados pessoais afetados;

II - informações sobre os titulares envolvidos;

III - indicação das medidas de segurança utilizadas para a proteção dos dados, inclusive procedimentos de encriptação;

IV - riscos relacionados ao incidente;

V - no caso da comunicação não ter sido imediata, os motivos da demora; e

VI - medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos de prejuízo.

 

Art. 48. O órgão competente verificará a gravidade do incidente e poderá, caso necessário para a salvaguarda dos direitos dos titulares, determinar ao responsável a adoção de outras providências, tais como:

I - pronta comunicação aos titulares;

II - ampla divulgação do fato em meios de comunicação; e

III - medidas para reverter ou mitigar os efeitos do incidente.

§ 1º No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis para terceiros não autorizados a acessá-los.

§ 2º A pronta comunicação aos titulares afetados pelo incidente de segurança será obrigatória, independente de determinação do órgão competente, nos casos em que for possível identificar que o incidente coloque em risco a segurança pessoal dos titulares ou lhes possa causar danos.

 

7.                  CASOS NETSHOES E UBER: data breaches, comprometimento da proteção de dados pessoais e sensíveis dos consumidores e a atuação da Comissão de Proteção de Dados Pessoais do MPDFT.

 

            Em 5 de dezembro de 2017, um ataque cibernético gerou a exposição de um data dump (“banco de informações”, em tradução livre) em um site de compartilhamento de arquivos, contendo os dados de mais de 500 mil clientes da loja online de artigos esportivos Netshoes, segundo o site de notícias Tecmundo (PAYÃO, 2017). A plataforma da loja virtual teria sido invadida por um hacker identificado como “DFrank”, que divulgou os arquivos no formato “.txt” contendo nome completo, CPF, email, data de nascimento, histórico de compra, data e valor da última compra realizada, além da forma de pagamento e o código do produto adquirido.

            Posteriormente, o número inicial de registros aumentou consideravelmente em razão de novos incidentes de segurança, chegando a mais de dois milhões e meio de usuários afetados em 18 de abril, conforme o site de notícias (PAYÃO, 2018). 

            Segundo o hacker, que entrou em contato com o site de notícias, os dados teriam sido obtidos por intermédio de uma técnica de infiltração no código-fonte do site que permite ao invasor captar vulnerabilidades na plataforma.

            Embora tenha primeiramente informado em nota que não houve qualquer invasão de privacidade registrada em seus sistemas tampouco comprometimento da infraestrutura de tecnologia da informação, a Netshoes foi obrigada a informar aos clientes afetados quais dados teriam sido comprometidos por meio de recomendação emitida no dia 25 de janeiro de 2018 pelo Ministério Público do Distrito Federal e Territórios, mormente mediante a Comissão de Proteção de Dados Pessoais, que abriu inquérito civil para investigar o caso (Inquérito Civil Público nº 08190.044813/18-44).

            A leitura da Recomendação nº 01/2018 MPDFT informa as competências da Comissão de Proteção de Dados Pessoais. Trata-se de iniciativa pioneira do parquet no sentido da tutela de interesses difusos, coletivos e individuais referentes à proteção de dados pessoais e da privacidade dos brasileiros. Convém ressaltar que a legislação brasileira sobre direito digital, até o presente momento, não dispõe de designação de uma autoridade específica para a proteção de dados pessoais, havendo sua tutela e regulamentação de maneira esparsa por Ministérios e Comitês.

            Dessa forma, traz a Comissão a responsabilidade pioneira de combater os abusos cibernéticos, mediante a promoção da proteção de dados pessoais perante a sociedade e o monitoramento de notificações de incidentes de segurança mediante protocolo online, além de elaborar recomendações, parcerias com órgãos nacionais e internacionais, eventos acadêmicos e científicos e a representação judicial (MINISTÉRIO PÚBLICO DO DISTRITO FEDERAL E TERRITÓRIOS, 2018).

            A Recomendação traz, ainda, uma peculiaridade referente ao posicionamento da Comissão, ao fazer referência expressa ao procedimento de incidentes de segurança previstos nos PL nº 5276/2016 e PLS 330/2013, indicando um alinhamento positivo dos promotores aos Projetos votados no Congresso Nacional.    

Outrossim, em razão da Recomendação, além da devida notificação dos clientes – uma vez que teria enviado anteriormente aos clientes um e-mail genérico de dicas de segurança digital como informe, sem sequer ter mencionado a existência do incidente de segurança – a Netshoes deveria se abster de efetuar qualquer tipo de pagamento ao hacker para a recuperação dos dados. Isto porque não se pode dar a falsa impressão de que o crime “compensa”, legitimando o estelionato digital e criando precedentes para que ataques de igual natureza se espalhem pela rede mundial de computadores, além de configurar crime de fraude processual (art. 347, CP).

            A recomendação considera o ocorrido “um dos maiores incidentes de segurança registrados no Brasil”, confirmando a veracidade dos dados obtidos e verificando, ainda, a existência de dados pessoais de servidores públicos “politicamente expostos”, em razão da presença de endereços de e-mail com domínios vinculados à Câmara dos Deputados, Supremo Tribunal Federal, Presidência da República, dentre outros.  

            Outro aspecto preocupante do data breach diz respeito à qualidade dos dados informados. Segundo o mesmo relatório do MPDFT, durante as investigações, o código dos produtos indicou a compra de produtos de saúde, o que caracterizaria o histórico de compras como dados sensíveis do usuário, conforme a definição da GPDR já analisada.

Em situação semelhante, a empresa prestadora de serviços de transporte alternativo Uber sofreu, igualmente, um ataque de hackers no ano de 2016 que provocou o vazamento de dados de mais de 57 milhões de clientes em todo o mundo, sendo 196 mil brasileiros. A invasão permitiu a exposição de dados como nome, telefones e endereços de e-mails, além de números de carteiras de motorista dos usuários dos Estados Unidos, hospedados em um serviço de armazenamento em nuvem (G1, 2017).

Ao contrário da Netshoes, porém, a empresa americana cedeu à ameaça dos hackers e pagou em acordo a quantia de U$ 100.000,00, registrada como pagamento referente a um programa de recompensas por descoberta de vulnerabilidades (VEJA, 2017), para que os responsáveis apagassem os dados roubados e não fizessem comentários sobre o incidente.

O escândalo veio a público somente em novembro de 2017, por meio de uma carta publicada pelo presidente da companhia, assumindo a responsabilidade do ato; porém, a empresa só havia notificado por e-mail­ os clientes localizados no Canadá. Tratou-se, portanto, de omissão da empresa quanto à segurança da informação de seus sistemas, configurando falha na prestação de serviço e, igualmente, em razão da ocultação do ocorrido, violação ao dever de informação previsto no Código de Defesa do Consumidor. 

Após a abertura de inquérito civil para investigar o caso e requerer esclarecimentos da empresa, o MPDFT firmou acordo com a Uber no sentido de obrigá-la a notificar todos os clientes brasileiros afetados pelo ciberataque, não sendo necessárias medidas adicionais ao consumidor em razão da suposta não publicação de dados pelos hackers (MINISTÉRIO PÚBLICO DO DISTRITO FEDERAL E TERRITÓRIOS, 2018).

Não obstante, muito embora o incidente de segurança da Uber tenha sido solucionado mediante acordo, o da Netshoes continua a amedrontar o consumidor virtual, que tem sua expectativa legítima frustrada seja por não ter o controle de acesso e uso de seus dados pessoais e histórico de compra – aspecto contemporâneo do direito à privacidade, conforme já abordado –, seja por não saber se será a próxima vítima de eventuais roubos de dados de seu cadastro junto à empresa. Com efeito, o consumidor afetado com o vazamento de suas informações se encontra sujeito a ataques virtuais das mais diversas formas e graus de periculosidade, desde a tentativa de phishing[12] à mais complexa engenharia social.

Diante do comprovado risco de exposição e manipulação de dados pessoais e, principalmente, de dados sensíveis por agentes mal-intencionados, é legítima a pretensão do consumidor ou do conjunto de consumidores que, individual ou coletivamente, pleiteia a reparação de seu direito à privacidade, na ótica da era digital, para assim recuperar o status quo ante de expectativa de segurança nutrida pelo consumidor e fomentada pela ação preventiva dos fornecedores virtuais.

É salutar, contudo, a preferência pela tutela coletiva, uma vez evidente o caráter de interesse coletivo em sentido estrito do dano causado pelo vazamento de dados, podendo, devido à sua relevância social, obter resultados mais satisfatórios e reflexos mais expressivos contra o fornecedor que viola o dever de segurança do que meras ações individuais (VERBICARO, 2017).

 

CONSIDERAÇÕES FINAIS

A vulnerabilidade dos sistemas de bancos de dados de consumidores é tema ainda não previsto expressamente pela legislação nacional, muito em razão do descompasso entre o ritmo da evolução tecnológica e da Internet em comparação com a velocidade da atividade legislativa e de sua atualização para com a sociedade (PAESANI, 2013, p. 83).

Dado que a responsabilidade do fornecedor vítima de ataque cibernético que compromete os dados de seus consumidores cadastrados é objetiva e seus danos passíveis de reparação pecuniária de caráter material e moral, conforme se defendeu no presente artigo, resta discutir e definir a previsão dos paradigmas levantados por Mendes (2016, p. ), a saber,

i) que padrões técnicos deverão ser seguidos pelos responsáveis pelo gerenciamento da rede; ii) quais órgãos ou entidades poderão fomentar a criação desses padrões e controlar a sua utilização; iii) que políticas devem ser adotadas para fomentar a educação e orientação do usuário em relação a práticas seguras de navegação.

 

Muito embora os casos descritos no presente trabalho – o vazamento de dados da loja virtual Netshoes e a vulnerabilidade da empresa de transporte privado Uber – ainda não sejam objeto de apreciação pelo Poder Judiciário, e sim solucionados mediante uma postura extrajudicial atuante do Ministério Público, é fato que a discussão referente à responsabilização do fornecedor em razão de perdas de dados pessoais de clientes por hackers não mais deve ser postergada, sob pena de a proteção jurídica civil e consumerista carecer da tão necessária atualidade e proximidade com a nova categoria de consumidores.

De fato, observa-se que a disciplina referente à proteção de dados no Brasil é demasiadamente recente e caminha a passos curtos, sendo sua iniciativa encabeçada pelo Comitê Gestor da Internet no Brasil, pelo Ministério Público, com destaque para a atuação do MPDFT, pelas associações de consumidores e, principalmente, pelos profissionais e empresas no ramo de Tecnologia e Segurança da Informação, essenciais para o desenvolvimento e manutenção de sistemas públicos e privados e cuja participação no debate público sobre a regulamentação da Internet e proteção de dados pessoais se justifica pelo caráter autorregulatório que é intrínseco à rede mundial de computadores.

Nesse sentido, o Ministério Público do Distrito Federal e Territórios, por intermédio da Comissão de Proteção de Dados Pessoais, já pioneira per si no cenário da proteção digital no Brasil, deverá manter o compromisso firmado perante os consumidores digitais, disponibilizando meios para a notificação de incidentes de segurança e, da mesma forma, representando suas demandas de data breaches junto ao Judiciário. Ademais, não se pode olvidar que, em razão de sua natureza pública, conforme a Lei nº 7.347/85, o MP tem legitimidade para firmar Termos de Ajustamento de Conduta com os fornecedores vítimas de ataques virtuais, abrangendo quaisquer interesses difusos e coletivos e estabelecendo obrigações positivas e negativas para reparar a lesão causada pela falha de segurança (LEONARDI, 2011, p. 235)

Desta forma, os estudos específicos em Direito Digital do Consumidor adquirem relevância ímpar, vez que é urgente a integração entre o mundo jurídico e os debates sobre a regulamentação da Internet e seus riscos. É o momento de juristas adentrarem em aspectos técnicos da informática em prol do aprimoramento de suas decisões, assim como é urgente a modernização do debate legislativo atual referente à proteção de dados no Brasil, tomando como base fundadora o arcabouço principiológico da nova regulamentação europeia.

O Código de Defesa do Consumidor, nesse particular, deverá, em diálogo com o Marco Civil da Internet (Lei n. 12.965/14), promover a mudança de parâmetros éticos de atuação dos agentes econômicos do ambiente virtual, garantindo ao consumidor o exercício pleno de sua liberdade de escolha e, ao mesmo tempo, a preservação de sua privacidade e da proteção de seus dados, de maneira que o consumidor-usuário final possa ser devidamente respeitado e, principalmente, estar ciente da dimensão dos seus direitos e obrigações, bem como de sua segurança on-line.

 

REFERÊNCIAS BIBLIOGRÁFICAS

 

BRASIL; ESCOLA NACIONAL DE DEFESA DO CONSUMIDOR. A proteção de dados pessoais nas relações de consumo: para além da informação creditícia. Elaboração de Danilo Doneda. Brasília: SDE/DPDC, 2010. Disponível em: <http://www.vidaedinheiro.gov.br/docs/Caderno_ProtecaoDadosPessoais.pdf>. Acesso em: 15 mai. 2018.

 

________. Decreto nº 8.771 de 11 de maio de 2016. Regulamenta a Lei no 12.965, de 23 de abril de 2014, para tratar das hipóteses admitidas de discriminação de pacotes de dados na internet e de degradação de tráfego, indicar procedimentos para guarda e proteção de dados por provedores de conexão e de aplicações, apontar medidas de transparência na requisição de dados cadastrais pela administração pública e estabelecer parâmetros para fiscalização e apuração de infrações. Brasília. 2016. Disponível em: < http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2016/decreto/D8771.htm>. Acesso em: 15 mai. 2018.

 

________. Lei nº 12.965, de 23 de abril de 2014. Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. Brasília, 2014. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm>. Acesso em: 29 jan. 2017.

 

CÂMARA DOS DEPUTADOS. Projeto de Lei nº 4.060 de 13 de junho de 2012. Dispõe sobre o tratamento de dados pessoais, e dá outras providências. Brasília, 2012. Disponível em: <http://www.camara.gov.br/proposicoesWeb/fichadetramitacao?idProposicao=548066&ord=1>. Acesso em: 15 mai. 2018.

 

_________________________. Projeto de Lei nº 5.276 de 13 de maio de 2016. Dispõe sobre o tratamento de dados pessoais para a garantia do livre desenvolvimento da personalidade e da dignidade da pessoa natural. Brasília, 2016. Disponível em: <http://www.camara.gov.br/proposicoesWeb/fichadetramitacao?idProposicao=2084378>. Acesso em: 15 mai. 2018.

 

CASTELLS, Manuel. A sociedade em rede. 8. ed. São Paulo: Paz e Terra, 2005.

 

CATE, Fred H.; CULLEN, Peter; MAYER-SCHÖNBERGER, Viktor. Data Protection Principles for the 21st Century: Revising the 1980 OECD Guidelines. March 2014. Disponível em: <https://www.oii.ox.ac.uk/archive/downloads/publications/Data_Protection_Principles_for_the_21st_Century.pdf>. Acesso em: 15 mai. 2018.

 

CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE INCIDENTES DE SEGURANÇA NO BRASIL. Cartilha de Segurança para Internet. Disponível em: <https://cartilha.cert.br/>. Acesso em: 15 mai. 2018.

 

COMITÊ GESTOR DA INTERNET NO BRASIL. Diretrizes, recomendações e especificações técnicas para a aplicação da lei sobre Internet no Brasil. 2018. Disponível em: http://cgi.br/media/docs/publicacoes/4/GT%20Marco%20Civil%20e%20as%20responsabilidades%20do%20CGI.br.pdf. Acesso em: 15 mai. 2018.

 

_________________________________________. Nota pública do CGI sobre a urgência de uma lei geral de proteção de dados para o Brasil. Disponível em: <https://www.cgi.br/esclarecimentos/ver/nota-publica-do-cgi-br-sobre-a-urgencia-de-uma-lei-geral-de-protecao-de-dados-pessoais-para-o-brasil.pdf>. Acesso em: 15 mai. 2018.

 

DONEDA, Danilo. A proteção dos dados pessoais como um direito fundamental. Espaço Jurídico, Joaçaba, v. 12, n. 2, jul./dez. 2011, p. 91-108. Disponível em: <https://dialnet.unirioja.es/descarga/articulo/4555153.pdf>. Acesso em: 15 mai. 2018.

 

E-BIT. Relatório Webshoppers E-bit 2018. Disponível em: <https://www.ebit.com.br/webshoppers>. Acesso em: 15 mai. 2018.

 

G1. Netshoes no Brasil confirma que sofreu ataque cibernético e dados de clientes foram revelados. 2018. Disponível em: <https://g1.globo.com/economia/noticia/netshoes-no-brasil-confirma-que-sofreu-ataque-cibernetico-e-dados-de-clientes-foram-revelados.ghtml>. Acesso em: 15 mai. 2018.

 

__. Uber admite que omitiu ataque hacker que roubou dados de 57 milhões de usuários em 2016. 2017. Disponível em: < https://g1.globo.com/economia/tecnologia/noticia/uber-admite-ter-sido-alvo-de-ataque-hacker-que-roubou-dados-de-57-milhoes-de-usuarios-em-2016.ghtml>. Acesso em: 15 mai. 2018.

 

__. Uber pede 15 dias para explicar ao MP vazamento de dados de 196 mil brasileiros. 2018. Disponível em: <https://g1.globo.com/df/distrito-federal/noticia/uber-pede-15-dias-para-explicar-ao-mp-vazamento-de-dados-de-196-mil-brasileiros.ghtml>. Acesso em: 15 mai. 2018.

 

__. Uber admite que omitiu ataque hacker que roubou dados de 57 milhões de usuários em 2016. 2017. Disponível em: < https://g1.globo.com/economia/tecnologia/noticia/uber-admite-ter-sido-alvo-de-ataque-hacker-que-roubou-dados-de-57-milhoes-de-usuarios-em-2016.ghtml>. Acesso em: 15 mai. 2018.

 

INSTITUTO PONEMON. Expondo as Lacunas da Cibersegurança: Brasil. Junho de 2014. Disponível em: <http://www.websense.com/assets/reports/report-ponemon-2014-part1-summary-brazil-pt.pdf>. Acesso em: 15 mai. 2018.

 

LEONARDI, Marcel. Tutela e privacidade na Internet. São Paulo: Saraiva, 2011.

 

LÉVY, Pierre. Cibercultura. Trad. Carlos Irineu da Costa. São Paulo: Editora 34, 1999.

 

MARQUES, Claudia Lima. Confiança no comércio eletrônico e a proteção do consumidor: (um estudo dos negócios jurídicos de consumo no comércio eletrônico). São Paulo: Revista dos Tribunais, 2004.

 

MARTINS, Guilherme Guimarães. Contratos Eletrônicos de Consumo. 3. ed. São Paulo: Atlas, 2016.

 

MENDES, Laura Schertel. O diálogo entre o Marco Civil da Internet e o Código de Defesa do Consumidor. Revista de Direito do Consumidor, São Paulo, vol. 106, jul./ago. 2016.

 

MINISTÉRIO PÚBLICO DO DISTRITO FEDERAL E TERRITÓRIOS. MPDFT recomenda providências a Netshoes após vazamento de quase 2 milhões de dados de clientes. Disponível em: <http://www.mpdft.mp.br/portal/index.php/comunicacao-menu/noticias/noticias-2018/9775-mpdft-recomenda-providencias-a-netshoes-apos-vazamento-de-quase-2-milhoes-de-dados-de-clientes>. Acesso em: 15 mai. 2018.

 

__________________________________________________________. Uber termina de notificar usuários brasileiros afetados por vazamento de dados. 2018. Disponível em: <http://www.mpdft.mp.br/portal/index.php/comunicacao-menu/sala-de-imprensa/noticias/noticias-2018/10012-uber-termina-de-notificar-usuarios-brasileiros-afetados-por-vazamento-de-dados>. Acesso em: 15 mai. 2018.

 

__________________________________________________________. MPDFT cobra esclarecimentos da Uber sobre impacto de vazamentos de dados pessoais para usuários brasileiros. 2018. Disponível em: < http://www.mpdft.mp.br/portal/index.php/comunicacao-menu/sala-de-imprensa/noticias/noticias-2018/9781-mpdft-cobra-esclarecimentos-da-uber-sobre-impacto-de-vazamentos-de-dados-pessoais-para-usuarios-brasileiros>. Acesso em: 15 mai. 2018.

 

__________________________________________________________. Sobre a Comissão de Proteção de Dados Pessoais. 2018. <http://www.mpdft.mp.br/portal/index.php/conhecampdft-menu/nucleos-e-grupos/comissao-de-protecao-dos-dados-pessoais/sobre>. Acesso em: 15 mai. 2018.

 

O GLOBO. Vazamento de dados da Uber em 2016 afetou 196 mil brasileiros. Disponível em: <https://oglobo.globo.com/economia/vazamento-de-dados-da-uber-em-2016-afetou-196-mil-brasileiros-22584512>. Acesso em: 15 mai. 2018.

 

OLIVEIRA, Mariana. Associação pede indenização de R$ 10 mi ao Facebook por vazamento de dados. Consultor Jurídico, 2018. Disponível em: <https://www.conjur.com.br/2018-abr-20/associacao-indenizacao-facebook-vazamento-dados>. Acesso em: 15 mai. 2018.

 

PAESANI, Liliana Minardi. Direito e Internet: liberdade de informação, privacidade e responsabilidade civil. 6. ed. São Paulo: Atlas, 2013.

 

PAYÃO, Felipe. Netshoes é invadida e meio milhão de dados de clientes são vazados. Tecmundo, 2017. Disponível em: <https://www.tecmundo.com.br/seguranca/125038-netshoes-invadida-meio-milhao-dados-clientes-vazam-internet.htm>. Acesso em: 15 mai. 2018.

 

_______, Felipe. Vazamento da Netshoes continua e totaliza dados de 2,5 milhões de clientes. Tecmundo, 2018. Disponível em: <https://www.tecmundo.com.br/seguranca/129428-vazamento-netshoes-continua-totaliza-dados-2-5-milhoes-clientes.htm>. Acesso em: 15 mai. 2018.

 

PINHEIRO, Patrícia Peck. Direito Digital. 4. ed. São Paulo: Saraiva, 2010.

 

RONCOLATO, Murilo. Por que as empresas brasileiras não avisam quando são invadidas por hackers. Nexo Jornal, 2016. Disponível em: <https://www.nexojornal.com.br/expresso/2016/01/24/Por-que-as-empresas-brasileiras-n%C3%A3o-avisam-quando-s%C3%A3o-invadidas-por-hackers>. Acesso em: 15 mai. 2018.

 

SCHERKERKEWITZ, Iso Chaitz. Direito e Internet. São Paulo: Revista dos Tribunais, 2014.

 

SENADO FEDERAL. Projeto de Lei do Senado n° 330 de 13 de agosto de 2013. Dispõe sobre a proteção, o tratamento e o uso dos dados pessoais, e dá outras providências. Brasília, 2013. Disponível em: <https://www25.senado.leg.br/web/atividade/materias/-/materia/113947>. Acesso em: 15 mai. 2018.

 

UNIÃO EUROPEIA. Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados). Jornal Oficial da União Europeia, ano 59, 4 de maio de 2016. Disponível em: <http://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=OJ:L:2016:119:FULL&from=PT>. Acesso em: 15 mai. 2018.

 

UNYSYS. Unisys Security Insights: Global Summary: A Consumer Viewpoint – 2015. Disponível em: <https://assets.unisys.com/Documents/Microsites/UnisysSecurityInsights/USI_150227i_Globalreport.pdf>. Acesso em: 15 mai. 2018.

 

VEJA. Uber pagou homem para manter segredo sobre vazamento de dados. 2017. Disponível em: <https://veja.abril.com.br/economia/uber-pagou-homem-para-manter-segredo-sobre-vazamento-de-dados/>. Acesso em: 15 mai. 2018.

 

VERBICARO, Dennis; MARTINS, Ana Paula Pereira. A contratação eletrônica de aplicativos virtuais no Brasil e a nova dimensão da privacidade do consumidor. Revista do Direito do Consumidor, São Paulo, vol. 116, ano 27, p. 369-391, mar.-abr. 2018.

 

___________, Dennis. A construção de um novo modelo de cidadania participativa do consumidor a partir da política nacional das relações de consumo. Revista de Direito do Consumidor, São Paulo, ano 26, vol.110, março-abril/2017.

 

___________, Dennis. Consumer new civil-instrumental identity based on the brazilian consumer policy. In: MARQUES, Cláudia Lima, PEARSON, Gail, RAMOS, Fabiana (Editors). Consumer Protection: current challenges and perspectives. Orquestra, Porto Alegre, 2017, p.123-139.

           

 



[1] COMITÊ GESTOR DA INTERNET NO BRASIL. Nota pública do CGI sobre a urgência de uma lei geral de proteção de dados para o Brasil. Disponível em: <https://www.cgi.br/esclarecimentos/ver/nota-publica-do-cgi-br-sobre-a-urgencia-de-uma-lei-geral-de-protecao-de-dados-pessoais-para-o-brasil.pdf>. Acesso em: 15 mai. 2018.
[2] Conforme Relatório Webshoppers E-bit 2018, mais de 55 milhões de consumidores fizeram ao menos uma compra virtual no ano de 2017, em comparação com os 31 milhões de usuários registrados no ano de 2013 (E-BIT, 2018, p. 12). 
[3] A Internet pode ser conceituada enquanto uma “rede de computadores ligados entre si, perfazendo-se a conexão e comunicação por meio de um conjunto de protocolos, denominados TCP/IP (Transmission Control Protocol/Internet Protocol)” (MARTINS, 2016, p. 24), ou ainda, segundo o Relatório “Diretrizes, recomendações e especificações técnicas para a aplicação da lei sobre Internet no Brasil”, de autoria do Comitê Gestor da Internet no Brasil (CGI), “o sistema estruturado em escala mundial para uso público e irrestrito, constituído por uma coleção de “redes” definidas como Sistemas Autônomos que se relacionam por meio da arquitetura de protocolos TCP/IP” (CGI, 2018, p. 5). Estes Sistemas Autônomos determinam como trafegar e distribuir os pacotes de dados durante as transmissões em rede (CGI, 2018, p. 6)
[4] A respeito da perspectiva internacional, ver: CATE, Fred H.; CULLEN, Peter; MAYER-SCHÖNBERGER, Viktor. Data Protection Principles for the 21st Century: Revising the 1980 OECD Guidelines. March 2014. Disponível em: <https://www.oii.ox.ac.uk/archive/downloads/publications/Data_Protection_Principles_for_the_21st_Century.pdf>. Acesso em: 15 mai. 2018.
[5] Atualmente, o Projeto com tramitação mais avançada é o PLS nº 330/2013, uma vez que já recebeu parecer favorável de duas Comissões. O PL nº 5276/2016 sequer foi votado pelas Comissões da Casa Legislativa, tendo sido apensado ao PL nº 4060/2012, cuja demora na publicação de Parecer pela Comissão Especial responsável pela discussão da matéria é ainda mais gravosa em razão do ano de sua proposição e das alterações tecnológicas e legislativas às quais o texto inicial terá de se adequar.
[6] Ainda no que concerne à consciência da importância da segurança da informação por empresas e fornecedores, destacam-se estudos empíricos desenvolvidos por institutos de tecnologia, cujos resultados demonstram a necessidade da regulamentação da tutela de dados pessoais e de educação tecnológica de consumidores e fornecedores. Mencionam-se, para fins de maior esclarecimento sobre o assunto, os estudos do Instituto Ponemon (2014), que trata das principais dificuldades e incertezas dos profissionais de segurança de TI entrevistados, bem como o relatório Unisys (2015), que aborda a insegurança e a desconfiança do consumidor virtual a respeito da proteção de seus dados pessoais – com ênfase na alarmante situação do Brasil, cuja expectativa de ataques vindouros e perda de dados pelos consumidores entrevistados era a terceira maior do mundo.
[7] Pinheiro (2011, p. 307) menciona o furto de dados como incidente comum no ambiente digital, juntamente com a contaminação por malwares, uso indevido de senhas e cartões de crédito, estelionato digital, falsidade ideológica, ofensas à honra e à dignidade, violações aos direitos intelectuais, dentre outros.
[8] Nesse sentido, o Tribunal de Justiça do Rio Grande do Sul:  APELAÇÃO CÍVEL. RESPONSABILIDADE CIVIL. AÇÃO INDENIZATÓRIA POR DANOS MORAIS E MATERIAIS. NEGLIGÊNCIA DOS AUTORES CONFIGURADA. PRESSUPOSTOS DA RESPONSABILIDADE CIVIL. ATO ILÍCITO NÃO DEMONSTRADO. DANO MORAL E MATERIAL NÃO CONFIGURADOS. SENTENÇA DE IMPROCEDÊNCIA MANTIDA. É incontroversa a invasão de um vírus no computador dos requerentes, tendo um “hacker” modificado a senha de acesso dos recorrentes nos cadastros do réu. Compulsando os autos, verifica-se que o requerido não teve participação na invasão de vírus no computador dos autores, que deixaram de tomar as medidas acautelatórias e de segurança, permitindo a entrada de vírus em sua máquina. Negligência demonstrada. Não se podia esperar outra atitude da ré que não fosse o bloqueio da conta dos autores, com o intuito de evitar fraudes. A medida tomada pela requerida foi correta, não havendo como responsabilizá-la. Ausente um dos pressupostos da responsabilidade, não há falar em dever de indenizar por parte da ré. APELO DESPROVIDO. (Apelação Cível Nº 70030254841, Quinta Câmara Cível, Tribunal de Justiça do RS, Relator: Romeu Marques Ribeiro Filho, Julgado em 17/03/2010)
[9] Como exemplo notório de peculiaridade na obtenção de dados de clientes de serviços online, merecem menção os escândalos relacionados à coleta ilegal de dados dos usuários de Facebook pela consultoria comportamental Cambridge Analytica. A empresa não só se utilizou de meio dissimulado para a obtenção de dados, primeiramente introduzido como uma ferramenta online para fins acadêmicos, como também lançou mão da coleta e tratamento de dados de “amigos” das pessoas que participaram do quiz em questão, que nada tinham a ver com o questionário e seriam, portanto, bystanders do vazamento de dados dos usuários da rede social, sem que esta tenha notificado as autoridades e agências reguladoras competentes ou mesmo se assegurado de que os dados fossem excluídos da CA e de empresas parceiras. Ver: FÁBIO, André Cabette. A audiência de Zuckerberg no Congresso americano, em 5 pontos. Nexo Jornal, 2018. Disponível em: https://www.nexojornal.com.br/expresso/2018/04/11/A-audi%C3%AAncia-de-Zuckerberg-no-Congresso-americano-em-5-pontos. Acesso em: 15 mai. 2018.

Ressalte-se, a título de informação, a existência de ação civil pública em andamento, de autoria da associação SOS Consumidor, contra o Facebook, em prol de mais de 443 mil brasileiros afetados pelo vazamento em comento, considerado pela entidade como um verdadeiro acidente de consumo, contrapondo-se à errônea tese da não aplicabilidade do CDC pelo caráter “gratuito” dos serviços prestados pela rede social. Ver: OLIVEIRA, Mariana. Associação pede indenização de R$ 10 mi ao Facebook por vazamento de dados. Consultor Jurídico, 2018. Disponível em: https://www.conjur.com.br/2018-abr-20/associacao-indenizacao-facebook-vazamento-dados. Acesso em: 15 mai. 2018.
[10] Ver: VERBICARO, Dennis; MARTINS, Ana Paula Pereira. A contratação eletrônica de aplicativos virtuais no Brasil e a nova dimensão da privacidade do consumidor. Revista do Direito do Consumidor, vol. 116, ano 27, p. 369-391. São Paulo: Revista dos Tribunais, mar.-abr. 2018.
[11] Estes princípios estão expressamente dispostos no art. 25, parágrafo único, do PLS nº 330/2013. O caput do mesmo artigo faz referência a regulamento específico para os critérios mínimos de segurança dos dados pessoais, fazendo eco a crítica esboçada por Mendes (2016, p. 57) à generalidade da atual legislação vigente sobre o assunto.
[12] Conforme a Cartilha de Segurança para Internet, disponibilizada pelo Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT), phishing consiste no “tipo de fraude por meio da qual um golpista tenta obter dados pessoais e financeiros de um usuário, pela utilização combinada de meios técnicos e engenharia social”. Ver: https://cartilha.cert.br/golpes/. Acesso em: 15 mai. 2018.

MAIS CONTEÚDO