O INSS foi condenado pelo TRF-3 em pagar uma indenização de R$ 2,5 mil a título de danos morais por compartilhamento indevido de dados pessoais.
Sumário
Introdução
O INSS (Instituto Nacional do Seguro Social) foi condenado pelo Tribunal Regional Federal da 3ª Região – TRF-3, no último dia 15, por compartilhar indevidamente os dados pessoais de uma segurada de São Paulo.
Este caso possui duas particularidades: a primeira diz respeito a violação no compartilhamento ilegal dos dados pessoais, contrariando o previsto no artigo 26, §1º da LGPD, bem como a configuração de um acesso indevido por parte de instituições financeiras (empresas privadas) o que pode ser compreendido como um incidente de segurança.
Toda a demanda jurídica e o processo judicial foram movidos pela segurada que se sentiu lesada neste caso, o que também demonstra que cada vez mais os titulares de dados estão adquirindo uma maturidade muito maior a respeito da LGPD – Lei Geral de Proteção de Dados.
O tratamento indevido de dados pessoais
A LGPD define em seu artigo 5º, inciso X que o tratamento de dados diz respeito a toda operação realizada com dados pessoais como, por exemplo, a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
No caso do INSS houve compartilhamento ilegal dos dados pessoais de uma segurada, portanto temos aqui um tratamento de dados indevido, tendo em vista que o compartilhamento é uma operação realizada com os dados pessoais.
Sempre que os dados pessoais são tratados ou processados de forma indevida, contrariando as disposições da LGPD temos um tratamento de dados ilegal, que além de desrespeitar a legislação também pode impactar negativamente a vida, os direitos e as liberdades individuais dos titulares de dados, mesmo que não envolvidos diretamente.
Em razão disso, é possível que o próprio titular busque se ressarcir destes danos na esfera cível por meio do manejo de uma ação judicial para danos morais, bem como a responsabilização administrativa por parte da ANPD – Autoridade Nacional de Proteção de Dados, que possui a competência exclusiva para aplicar as sanções previstas na LGPD, que constam a partir do seu artigo 52.
A condenação do INSS por compartilhamento ilegal de dados pessoais
A 12ª turma recursal do Tribunal Regional Federal da 3ª Região – TRF-3 confirmou, no último dia 15, a condenação do INSS (Instituto Nacional do Seguro Social) em pagar a quantia de R$ 2,5 mil (dois mil e quinhentos reais) a título de indenização para uma segurada que teve os seus dados pessoais compartilhados de forma indevida.
No caso em questão, a iniciativa para o processo judicial partiu da própria segurada que se sentiu lesada com as importunações das instituições financeiras e, em razão disso, a condenação teve como principal fundamento jurídico o disposto na Lei de Proteção de Dados, a LGPD.
A segurada, que figura como autora na demanda judicial, relatou que depois de obter a pensão por morte no ano passado (2021) junto ao INSS passou a receber, de forma prejudicial, ligações, mensagens no Whatsapp e SMS de instituições financeiras oferecendo crédito em razão da sua condição de segurada.
De imediato o INSS alegou que houve ausência de conduta por não ter ocorrido falha na guarda das informações e, consequentemente, não houve também nexo de causalidade entre o dano sofrido pela segurada e o ato do órgão.
Entretanto, de forma contrária ao alegado pelo INSS, a relatora entendeu que ficou sim caracterizado o compartilhamento dos dados pessoais da segurada com as instituições financeiras, o que também significa que houve descumprimento do artigo 26, §1º da LGPD.
Este artigo 26, §1º da LGPD dispõe que é vedado ao Poder Público transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso. Além disso, o artigo 27, caput determina que a comunicação ou o uso compartilhado de dados pessoais de pessoa jurídica de direito público a pessoa de direito privado será informado à ANPD e dependerá de consentimento do titular.
Precisamos lembrar que o INSS possui natureza jurídica de autarquia, ou seja, trata-se de pessoa jurídica de direito público e por isso deve respeitar as disposições dos artigos acima mencionados na LGPD.
Neste caso não houve a comunicação do compartilhamento a Autoridade Nacional, tampouco tivemos a coleta específica de consentimento pelo titular – a segurada.
Assim sendo, o INSS descumpriu o artigo 26, §1º que proíbe o órgão público de transferir às entidades privadas dados pessoais que tenha acesso.
Como as instituições financeiras representam entidades privadas e houve o acesso indevido dos dados pessoais, podemos caracterizar este acesso como uma espécie de incidente de segurança, tendo em vista que a ANPD define um incidente de segurança como qualquer operação de tratamento de dados que seja realizada sem os meios técnicos necessários, de forma inadequada ou ilícita.
Não à toa que estamos vendo diversos lugares divulgando esta notícia utilizando o termo de “vazamento” de dados, que também representa uma espécie de incidente de segurança.
Como houve o manejo de uma ação judicial por parte da segurada que foi lesada, tivemos a condenação do INSS no presente caso ao pagamento da quantia de R$ 2,5 mil a título de indenização por danos morais sofrido, tendo em vista que as comunicações das instituições financeiras ultrapassaram o limite da normalidade, bem como a situação delicada vivenciada pela autora – o falecimento do seu marido.
Assim, ficou evidenciado o desrespeito do direito à privacidade, bem como a ausência de controle dos dados pessoais da segurada perante o INSS, razão esta que serviu para confirmar a condenação da autarquia.
Os direitos dos titulares de dados
A segurada protocolou ação judicial na esfera cível em razão do incômodo sofrido pelas instituições financeiras que, incessantemente, ofereciam crédito em razão da sua situação de pensionista.
Porém, para além do que prevê a legislação cível como o Código Civil, temos também na LGPD diversos direitos destinados para os titulares de dados.
O artigo 18 da LGPD prevê 9 (nove) direitos expressos dos titulares de dados pessoais, como: a confirmação sobre a existência de tratamento, o acesso aos dados pessoais, a correção dos seus dados, a anonimização, o bloqueio ou a eliminação dos dados desnecessários, a portabilidade, a oposição ao tratamento realizado, a revogação e a eliminação dos dados tratados em razão do consentimento e as informações pertinentes acerca do tratamento dos seus dados pessoais.
Além desses direitos, o titular possui todos os princípios e as bases legais em seu favor, tendo em vista que a interpretação da LGPD é sempre em prol do titular dos dados e da sua autodeterminação informativa.
De forma complementar, o titular tem a possibilidade de realizar denúncia diretamente pelo site da ANPD, principalmente quando se sentir lesado, constrangido e não houver o respeito e a proteção dos seus dados pessoais. Esta denúncia é realizada no site oficial da ANPD, através do canal de denúncias e trata-se de um procedimento gratuito e facilitado.
Quando o titular realiza uma denúncia diretamente no site da ANPD, a autoridade instaura procedimento administrativo para apurar e investigar o controlador que foi denunciado, tendo em vista que as sanções previstas na LGPD só podem ser aplicadas após procedimento administrativo que assegure o direito do contraditório. Havendo a confirmação da denúncia realizada pelo titular, a empresa passa então a ser responsabilizada pela ANPD.
Assim, o titular de dados possui diversas formas de proteger os seus dados pessoais e a sua privacidade de acordo com a LGPD, o que não significa exclusão dos direitos previstos em outras normas jurídicas como o Código Civil e os direitos de personalidade.
Disposições Finais
O caso da condenação do INSS demonstra muitas coisas na prática para a área de proteção de dados: a primeira é que já temos decisões condenatórias baseadas nas disposições da LGPD; a segunda é que os órgãos públicos não possuem isenção ao tratamento ilegal dos dados pessoais; e a terceira é que os titulares estão possuindo cada vez mais maturidade sobre o assunto da privacidade e da proteção dos dados.
Mais uma vez se mostra primordial realizar um tratamento de dados que respeite as determinações da LGPD, bem como todos os direitos dos titulares e que, principalmente, promova a autodeterminação informativa de cada um.
Casos como esse só evidenciam o óbvio: a LGPD veio para ficar e a proteção de dados é assunto sério, por isso, não negligencie a sua adequação e tampouco menospreze o entendimento dos seus consumidores e titulares a respeito de seus dados pessoais.
━━━
Este conteúdo foi útil para você? Então não esqueça de clicar no ❤.
Ainda ficou com alguma dúvida? Entre em contato conosco através do e-mail: contato@taiscastro.adv.br.
Taís Castro - Advogada e Consultora em Proteção de Dados.
Kommentare