Las víctimas de fugas de datos deberán presentar las pérdidas que sufrieron en los juicios contra empresas por daños morales. El precedente fue creado por decisión del STJ (Tribunal Superior de Justicia) sobre LGPD (Ley General de Protección de Datos).
Hasta entonces, los abogados usaban el Código de Protección al Consumidor para argumentar que correspondía a las empresas probar que no hubo daño.
En juicio realizado el día 7, el STJ entendió que la fuga de datos personales no supone daño moral de la empresa a la víctima. La segunda sala del tribunal rechazó por unanimidad el pedido de indemnización de Maria Edite de Souza, una anciana que había filtrado datos contractuales con la concesionaria de energía Eletropaulo.
Para Thiago Sombra, experto en ciberseguridad de la oficina de Mattos Filho, que brindó asistencia técnica a la defensa de Enel (la empresa italiana que controla Eletropaulo), la interpretación del tribunal superior impide la instalación de una «industria de indemnización», ya que los consumidores podría proponer acciones sin haber sufrido daño.
Una encuesta de Mattos Filho muestra que, entre 2020, cuando entró en vigor la LGPD, y 2022, el número de acciones en el área creció un 500%: de menos de 20 a 120.
Cuestionada, Enel dice que no hará comentarios sobre la demanda.
El representante de Maria Edite en la demanda contra Eletropaulo, el abogado Luis Eduardo Borges da Silva, dijo al informe que «en este caso específico hubo una flagrante afrenta al artículo 14 de la CDC». Esta sección de la ley determina que el proveedor, sea culpable o no, es responsable de reparar los daños al consumidor.
“La LGPD no se puede aplicar ni interpretar aisladamente”, dice Silva.
Un ciberdelincuente filtró el número de documento de identidad, la edad, los teléfonos, la dirección y el consumo de energía de María Edite. Eletropaulo presentó sus protocolos de protección de datos personales y argumentó que el delito digital lo cometió alguien ajeno a la relación comercial. Por lo tanto, no se podría aplicar el Código de Protección al Consumidor.
La defensa de la empresa alegó que una decisión sobre este asunto debe respetar, además de la CDC, los artículos de la LGPD sobre responsabilidad e indemnización por daños y perjuicios. Según la legislación, se presume la inocencia del operador y del responsable del tratamiento. El juez puede invertir la carga de la prueba si cree que el titular puede tener dificultades para reunir pruebas.
El ministro ponente, Francisco Falcão, estuvo de acuerdo con el argumento y tuvo la votación acompañado de sus dos compañeros. El tribunal superior entendió que María Edite había tenido la oportunidad de presentar pruebas concretas en primera instancia, cuando perdió la acción. La defensa de la mujer afirmó que había estado expuesta a riesgos de fraude con la filtración.
La decisión del STJ en el recurso especial revocó la condena del Tribunal de Justicia del Estado de São Paulo contra Eletropaulo. La empresa tendría que pagar R$ 5.000 a Maria Edite por haber filtrado datos personales de un anciano.
En la sentencia del recurso especial interpuesto por Eletropaulo, Falcão no está de acuerdo con el tribunal estatal. Dijo que los datos filtrados no eran confidenciales. La LGPD clasifica como información sensible la información sobre origen racial o étnico, convicción religiosa, opinión política, afiliación sindical u organización de carácter religioso, filosófico o político.
Para Sombra, de Mattos Filho, la decisión trae estabilidad jurídica a las empresas que procesan datos de clientes. El tema más recurrente en las acciones de la LGPD en 2021 y 2022 fue la responsabilidad civil en casos de incidentes de seguridad, como la fuga de datos. En 2021 también destacó la aplicación conjunta de la LGPD con la CDC.
En los casos en que hubo condena por violación de la LGPD, los magistrados fijaron multas entre R$ 2.000 y R$ 20.000 contra las empresas, según encuesta de Mattos Filho.
Los juzgados de São Paulo, Minas Gerais y Distrito Federal fueron los más activos en la zona; los sectores de prestación de servicios, infraestructuras y energético y financiero, los más implicados en las actuaciones.
Según el especialista de Mattos Filho, los recientes anuncios de la ANPD (Autoridad Nacional de Protección de Datos) pueden acelerar la adaptación de las empresas a la LGPD.
A fines de febrero, la agencia dio a conocer el Reglamento de Dosimetría y Aplicación de Sanciones Administrativas, con lineamientos para definir las indemnizaciones. Las multas pueden llegar a R$ 50 millones.
Las inspecciones de la ANPD comenzaron en 2020, cuando entró en vigor la LGPD, pero sin la dosimetría, el organismo no podía aplicar sanciones administrativas.
Noticia de Brasil
Fuente: uol.com.br