Jurisprudências e Notícias

1ª Instância

Com base no art. 5º, LXXIX, da CF/88.

Objeto da Lide: Defensoria Pública do Estado de São Paulo, IDEC - INSTITUTO BRASILEIRO DE DEFESA DO CONSUMIDOR, INTERVOZES – COLETIVO BRASIL DE COMUNICAÇÃO SOCIAL e ARTIGO 19 BRASIL, ajuizaram ACP para impedir a execução do sistema de captação e tratamento de dados biométricos dos usuários de metrô de SP para sua utilização em sistemas de reconhecimento facial, em face da Companhia do Metropolitano de São Paulo - Sociedade de Economia Mista.

Foi decidido pela concessão de liminar - obrigação de não fazer. 

Condenação: obrigação de não fazer.

Processo:

https://esaj.tjsp.jus.br/cpopg/show.do?processo.codigo=1H000LRDS0000&processo.foro=53&processo.numero=1010667-97.2022.8.26.0053

2 Instâncias superiores

Objeto da Lide: A empregada ajuizou reclamação trabalhista, em face do Hospital do Coração de Balneário Camboriu LTDA, requerendo a reversão de dispensa por justa causa por ter vazado prontuário médico do hospital empregador. A empregada tirou uma foto da tela do seu computador contendo o prontuário do primeiro paciente internado no hospital com a confirmação do vírus Covid-19, onde são mostrados todos os dados pessoais do paciente e encaminhou para terceiros via "whatsapp", foto esta que teria "viralizado" em diversos grupos do aplicativo.

Infração a LGPD.

Valor da causa: R$ 51.129,00.

Sentença manteve a dispensa por justa causa e rejeitou os pedidos feitos pela autora.

Recurso de Revista negado e mantida a decisão da sentença.

Agravo de Instrumento negado.

Processo: 

https://pje.tst.jus.br/consultaprocessual/detalhe-processo/0000463-60.2020.5.12.0040/3#e11d70c

Processo: http://www.mpf.mp.br/pgr/documentos/ARE1307386_RSRL_LF_CD.pdf

Notícia: 

http://www.mpf.mp.br/pgr/noticias-pgr/ferramentas-de-busca-que-permitem-acesso-a-acoes-criminais-e-trabalhistas-pela-consulta-de-dados-pessoais-fere-a-lgpd

Objeto da lide: Condenação por vazamento de dados sobre gravidez com base na LGPD.

A condenação de um laboratório pelo uso de dados sensíveis para oferecer seus serviços a uma gestante, que não havia autorizado o compartilhamento das informações. Segundo os autos, dias após sofrer um aborto espontâneo, uma mulher recebeu mensagens de WhatsApp de um laboratório com uma oferta de coleta e armazenamento de cordão umbilical. Ela alegou não ter fornecido seus dados pessoais, nem informações sobre a gravidez, para o laboratório. O entendimento do TJ-SP foi de que a gravidez é um dado sensível, como dispõe o art. 5º, II, da LGPD. O dispositivo classifica como dado pessoal sensível qualquer informação referente à saúde das pessoas. 

Processo:

Notícia: https://anppd.org/noticia/condenacao-por-vazamento-de-dados-sobre-gravidez-evidencia-impacto-da-lgpd-23-07-2022 

1ª Instância

Objeto da lide: Vazamento de dados originados de atestado médico de empregado em grupo de whatssap. Lei 13.709/2018 (LGPD), art. 5 e art. 11

A empregada ajuizou reclamação trabalhista contra empresa que trabalhava e dentre os vários pedidos, pleiteou o recebimento de indenização por danos morais pelo desrespeito  à  LGPD.  A referida empresa compartilhou  seu  atestado médico no grupo do aplicativo whatsapp dos funcionários do hospital, não protegendo dado individual e íntimo, obrigação advinda do art. 5º da LGPD. Assim, ante à ofensa à sua intimidade, pediu que a ré fosse condenada ao pagamento de danos morais. Visto que tal documento, trata-se de dado sensível que deveria  ter  sido  protegido  e  com  acesso  apenas  aos  profissionais  que  de  fato precisariam manipular essas informações, violando o direito à intimidade da obreira. De  par  com  todo  o  exposto,  restou  constatado  que  o  dano sofrido  na  esfera  íntima  da  autora  decorreu  de  ação  danosa  perpetrada  pela empregadora, pelo que resta deferido o pedido relativo à indenização moral, no valor de R$1.000,00, entendimento da juíza na sentença. 

Condenação: Indenização por danos morais no valor de 1.000 reais.

1ª Instância 

Objeto da lide: Incidente de Segurança, publicação de número de telefone de empregado para clientes, que continuavam contatando o empregado mesmo após o término do vínculo empregatício. Entendeu o juiz na sentença que os documentos comprovavam que diversos clientes realizaram  contato  com  a  autora por meio do seu telefone pessoal,  mesmo  após  a  extinção contratual, demonstrando a alegação da obreira de que a empregadora divulgou o telefone pessoal da reclamante para o público externo. O número  de  telefone  particular  se  insere  no conceito de dados pessoais a que alude o artigo 5º, I, da Lei nº 13.709/2018 (LGPD). Ao fornecer o referido dado pessoal aos clientes, a empregadora violou o direito à privacidade titularizado pela autora, permitindo que terceiros estabelecessem contato por meio do telefone particular da trabalhadora. Não há dúvidas de que a referida conduta acarretou abalo moral à reclamante, o que restou agravado pela manutenção da divulgação do número particular após a extinção do contrato. Assim, julgou procedente o pedido de condenação ao pagamento de indenização por dano moral em R$4.000,00 (quatro mil reais), levando em consideração a gravidade do fato e a  natureza  do  bem  jurídico  tutelado.

Condenação: Indenização por danos morais no valor de 4.000 reais.

1ª Instância

Objeto da lide: Quando o cliente se negava a fornecer o CPF para a venda e, por isso, não era inserido no sistema da empresa, a empresa condicionou que os empregados deveriam inserir seus próprios CPFs.

Uso indevido dos dados pessoais dos colaboradores. Art. 7º, I Lei nº 13.709/2018 - LGPD.

Uma mulher ajuizou reclamação trabalhista contra a empresa que trabalhava e dentre os pedidos, pediu indenização por danos morais a empresa Fast Shop S/A, visto que, quando o consumidor se negava a informar o CPF no ato da compra, era orientação geral da empresa que se utilizasse o CPF de outro vendedor para concretizar a negociação. Afirma, assim, que seu CPF chegou a ser usado diversas vezes sem seu consentimento. A prova testemunhal demonstrou a efetiva ocorrência, no âmbito da empresa, da prática alegada pela trabalhadora. Com efeito, comprovou-se que o seu número de CPF, assim como de outros vendedores, era frequentemente utilizado para concretizar vendas no sistema da Fast Shop.

Ao dispor do número de documento pessoal da empregada, sem o consentimento da obreira, para preenchimento de dado necessário à concretização de vendas no sistema, a empresa feriu direito personalíssimo da autora e violou as garantias previstas na LGPD. Como é cediço, caracterização dos danos morais ocorre mediante simples violação direcionada ao acervo jurídico extrapatrimonial do ofendido, isso é, mediante violação direcionada a seus direitos de personalidade. Assim, não há que se perquirir a respeito de desdobramentos psíquicos, abalos morais, desgastes emocionais, uma vez que todas essas decorrências se manifestam no caso.

Condenação: No que se refere ao quantum indenizatório, sua fixação deve ser no valor de R$2.000,00 (dois mil reais) a título de danos morais a autora.

Objeto da lide: O Facebook foi condenado, ao pagamento de multa no valor de R$ 6,6 milhões devido ao vazamento de dados de usuários brasileiros. A decisão é da Secretaria Nacional do Consumidor (SENACON), órgão vinculado ao Ministério da Justiça e Segurança Pública.

Em 2018, dados de usuários da rede social foram repassados à Cambridge Analytica – consultoria britânica de marketing político contratada para a campanha eleitoral do ex-presidente dos Estados Unidos, Donald Trump. Estima-se que, na época, os dados de mais de 87 milhões de pessoas em todo o mundo, incluindo 443 mil brasileiros, tenham sido compartilhados para recebimento de conteúdos relacionados a Trump.

Ainda naquele ano, a investigação concluiu que o compartilhamento ilegal de dados se dava por meio da instalação de um aplicativo de teste de personalidade, o “This Is Your Digital Life”. Por apresentar falhas ao informar sobre as configurações de privacidade, a SENACON entendeu que o Facebook cometia prática abusiva com os usuários e, por isso, aplicou a multa de R$ 6,6 milhões.

Apesar de, em julho de 2022, a própria SENACON ter anulado a condenação para garantir a ampla defesa do Facebook, a empresa continuou a afirmar que não houve quaisquer indícios de que dados dos brasileiros tenham sido transferidos à Cambridge Analytica e que, portanto, não haveria que se falar em mau uso ou exposição indevida desses dados.

As alegações não foram aceitas pela SENACON, que voltou a estabelecer a multa de R$ 6,6 milhões.

Condenação: multa de 6,6 milhões.

Supremo Tribunal Federal (STF) - Decisão sobre a ADI 6649 e ADPF 695

Objeto da Lide: Por maioria dos votos, o Supremo Tribunal Federal (STF) decidiu que órgãos e entidades da administração pública federal podem compartilhar dados pessoais entre si, com a observância de alguns critérios. A decisão ocorreu na sessão plenária em 15/09/2022 na análise conjunta da Ação Direta de Inconstitucionalidade (ADI 6649) e da Arguição de Descumprimento de Preceito Fundamental (ADPF 695).

As ações foram ajuizadas, respectivamente, pelo Conselho Federal da Ordem dos Advogados do Brasil e pelo Partido Socialista Brasileiro, que alegavam que o Decreto Federal 10.046/2019, que dispõe sobre a governança desse compartilhamento de dados, geraria uma espécie de vigilância massiva e representaria controle inconstitucional do Estado, entre outras alegações.

O voto condutor do julgamento foi o do relator, ministro Gilmar Mendes, no sentido da possibilidade de compartilhamento, desde que observados alguns parâmetros. Segundo ele, a permissão de acesso a dados pressupõe propósitos legítimos, específicos e explícitos para seu tratamento e deve ser limitada a informações indispensáveis ao atendimento do interesse público.

No seu entendimento, o compartilhamento deve ser limitado ao mínimo necessário, para atender a finalidade informada. Também deve cumprir integralmente os requisitos, as garantias e os procedimentos estabelecidos na Lei Geral de Proteção de Dados (LGPD – Lei 13.709/2018) compatíveis com o setor público. Entre eles, citou mecanismos rigorosos de controle de acesso ao Cadastro Base do Cidadão, publicidade do compartilhamento ou do acesso a banco de dados pessoais e fornecimento de informações claras e atualizadas sobre previsão legal, finalidade e práticas utilizadas.

Para o Plenário, a necessidade de inclusão de novos dados pessoais na base integradora, como a escolha das bases temáticas que comporão o cadastro, deve ter justificativa formal, prévia e detalhada. Cabe ao Comitê Central instituir medidas de segurança compatíveis com os princípios de proteção da LGPD, em especial a criação de sistema eletrônico de registro de acesso, a fim de responsabilização em caso de abuso.

O Tribunal decidiu, ainda, que o compartilhamento de informações pessoais em atividades de inteligência deve observar legislação específica e parâmetros fixados no julgamento da ADI 6529 (que limitou o compartilhamento de dados do Sisbin) e atender ao interesse público, entre outros.

Em relação à responsabilidade civil nos casos em que órgãos públicos utilizarem dados de forma contrária aos parâmetros legais e constitucionais, o STF concluiu que o Estado poderá acionar servidores e agentes políticos responsáveis por atos ilícitos, visando ao ressarcimento de eventuais danos.

De acordo com o Tribunal, a transgressão intencional (dolosa) do dever de publicidade fora das hipóteses constitucionais de sigilo resultará na responsabilização do agente estatal por ato de improbidade administrativa, com possibilidade de aplicação de sanções disciplinares previstas nos estatutos dos servidores públicos federais, municipais e estaduais.

A decisão da Corte preserva a atual estrutura orgânica do Comitê Central de Governança de Dados pelo prazo de 60 dias, a partir da publicação da ata do julgamento. A medida garante à Presidência da República prazo hábil para a superação do modelo vigente, a fim de fortalecer os mecanismos de proteção de dados pessoais.

Notícia: https://portal.stf.jus.br/noticias/verNoticiaDetalhe.asp?idConteudo=494227&ori=1 

Processo: https://portal.stf.jus.br/processos/detalhe.asp?incidente=6079238  

Cerca de 137,3 mil chaves Pix de clientes da Abastece Ai Clube Automobilista Payment Ltda. (Abastece Aí) tiveram dados vazados, informou hoje (16) o Banco Central (BC). Esse foi o quarto vazamento de dados desde o lançamento do sistema instantâneo de pagamentos, em novembro de 2020.

Como um cliente pode ter mais de uma chave Pix, o BC informou que o total de pessoas (físicas e jurídicas) afetadas chega a 137.122. Cada pessoa física pode ter até cinco chaves para cada conta e cada pessoa jurídica pode ter até 20.

Segundo o BC, o vazamento ocorreu em dados cadastrais, que não afetam a movimentação de dinheiro. Dados protegidos pelo sigilo bancário, como saldos, senhas e extratos, não foram expostos.

O incidente ocorreu entre 1º de julho e 14 de setembro e expôs os seguintes dados: nome do usuário, Cadastro de Pessoas Físicas (CPF), instituição de relacionamento, agência, número e tipo da conta, data de criação da chave Pix. Todas as pessoas que tiveram informações expostas serão avisadas por meio do aplicativo da Acesso ou do internet banking da instituição.

O Banco Central ressaltou que esses serão os únicos meios de aviso para a exposição das chaves Pix e pediu para os clientes desconsiderarem comunicações como chamadas telefônicas, SMS e avisos por aplicativos de mensagens e por e-mail.

A exposição de dados não significa necessariamente que todas as informações tenham vazado, mas que ficaram visíveis para terceiros durante algum tempo e podem ter sido capturadas. O BC informou que o caso será investigado e que sanções poderão ser aplicadas, como multa, suspensão ou até a exclusão da Abastece Aí do sistema do Pix.

A Nota Técnica nº 68/2022 foi publicada depois que a ANPD solicitou esclarecimentos para a Receita Federal sobre a Portaria RFB nº 167/2022, publicada em abril, que autoriza o Serviço Federal de Processamento de Dados (Serpro), empresa pública vinculada ao Ministério da Economia, a disponibilizar para terceiros, acesso a dados e informações sob gestão da Receita Federal do Brasil (RFB) com a finalidade de complementar políticas públicas voltadas ao fornecimento de informações à sociedade por meio de soluções tecnológicas complementares às oferecidas pela Receita Federal.

Após analisar as respostas e os relatórios de impacto enviados pela Receita Federal, a autoridade concluiu por meio da Nota Técnica nº 68/2022, que ficou claro que o objeto da Portaria é apenas fornecer os instrumentos necessários para o acesso a dados que já estavam públicos por força de normativos e de políticas públicas, como informações sobre CPF, CNPJ e certidão negativa de débitos. Os dados listados na Portaria RFB nº 167/2022 já estavam disponíveis para consulta no site da Receita Federal, por força de diversos dispositivos legais (Lei nº 6.015/1973, Lei nº 8.934/1994, Decreto nº 6.289/2007, substituído pelo Decreto nº 10.063/2019, o Decreto nº 9.723/2019, o Decreto nº 10.900/2021 e o Decreto nº 10.977/2022).

Dessa forma, entendeu a ANPD, que não há incompatibilidade com a LGPD, do tratamento dos dados apresentados na Portaria, pois tratam-se de dados pessoais que estão inseridos em políticas públicas e que possuem finalidade definida, em conformidade com o art. 7º, III, da LGPD, que trata das hipóteses legais para uso de dados pessoais para execução de políticas públicas.