Notícias e Jurisprudências

1ª Instância

Com base no art. 5º, LXXIX, da CF/88.

Objeto da Lide: Defensoria Pública do Estado de São Paulo, IDEC - INSTITUTO BRASILEIRO DE DEFESA DO CONSUMIDOR, INTERVOZES – COLETIVO BRASIL DE COMUNICAÇÃO SOCIAL e ARTIGO 19 BRASIL, ajuizaram ACP para impedir a execução do sistema de captação e tratamento de dados biométricos dos usuários de metrô de SP para sua utilização em sistemas de reconhecimento facial, em face da Companhia do Metropolitano de São Paulo - Sociedade de Economia Mista.

Foi decidido pela concessão de liminar - obrigação de não fazer. 

Condenação: obrigação de não fazer.

Processo:

https://esaj.tjsp.jus.br/cpopg/show.do?processo.codigo=1H000LRDS0000&processo.foro=53&processo.numero=1010667-97.2022.8.26.0053

2ª Instâncias superiores

Objeto da Lide: A empregada ajuizou reclamação trabalhista, em face do Hospital do Coração de Balneário Camboriu LTDA, requerendo a reversão de dispensa por justa causa por ter vazado prontuário médico do hospital empregador. A empregada tirou uma foto da tela do seu computador contendo o prontuário do primeiro paciente internado no hospital com a confirmação do vírus Covid-19, onde são mostrados todos os dados pessoais do paciente e encaminhou para terceiros via "whatsapp", foto esta que teria "viralizado" em diversos grupos do aplicativo.

Infração a LGPD.

Valor da causa: R$ 51.129,00.

Sentença manteve a dispensa por justa causa e rejeitou os pedidos feitos pela autora.

Recurso de Revista negado e mantida a decisão da sentença.

Agravo de Instrumento negado.

Processo: 

https://pje.tst.jus.br/consultaprocessual/detalhe-processo/0000463-60.2020.5.12.0040/3#e11d70c

Processo: http://www.mpf.mp.br/pgr/documentos/ARE1307386_RSRL_LF_CD.pdf

Notícia: 

http://www.mpf.mp.br/pgr/noticias-pgr/ferramentas-de-busca-que-permitem-acesso-a-acoes-criminais-e-trabalhistas-pela-consulta-de-dados-pessoais-fere-a-lgpd

Objeto da lide: Condenação por vazamento de dados sobre gravidez com base na LGPD.

A condenação de um laboratório pelo uso de dados sensíveis para oferecer seus serviços a uma gestante, que não havia autorizado o compartilhamento das informações. Segundo os autos, dias após sofrer um aborto espontâneo, uma mulher recebeu mensagens de WhatsApp de um laboratório com uma oferta de coleta e armazenamento de cordão umbilical. Ela alegou não ter fornecido seus dados pessoais, nem informações sobre a gravidez, para o laboratório. O entendimento do TJ-SP foi de que a gravidez é um dado sensível, como dispõe o art. 5º, II, da LGPD. O dispositivo classifica como dado pessoal sensível qualquer informação referente à saúde das pessoas. 

Notícia: https://anppd.org/noticia/condenacao-por-vazamento-de-dados-sobre-gravidez-evidencia-impacto-da-lgpd-23-07-2022 

1ª Instância

Objeto da lide: Vazamento de dados originados de atestado médico de empregado em grupo de whatsapp. Lei 13.709/2018 (LGPD), art. 5º e art. 11.

A empregada ajuizou reclamação trabalhista contra empresa que trabalhava e dentre os vários pedidos, pleiteou o recebimento de indenização por danos morais pelo desrespeito  à  LGPD.  A referida empresa compartilhou  seu  atestado médico no grupo do aplicativo whatsapp dos funcionários do hospital, não protegendo dado individual e íntimo, obrigação advinda do art. 5º da LGPD. Assim, ante à ofensa à sua intimidade, pediu que a ré fosse condenada ao pagamento de danos morais. Visto que tal documento, trata-se de dado sensível que deveria  ter  sido  protegido  e  com  acesso  apenas  aos  profissionais  que  de  fato precisariam manipular essas informações, violando o direito à intimidade da obreira. De  par  com  todo  o  exposto,  restou  constatado  que  o  dano sofrido  na  esfera  íntima  da  autora  decorreu  de  ação  danosa  perpetrada  pela empregadora, pelo que resta deferido o pedido relativo à indenização moral, no valor de R$1.000,00, entendimento da juíza na sentença. 

Condenação: Indenização por danos morais no valor de 1.000 reais.

1ª Instância 

Objeto da lide: Incidente de Segurança, publicação de número de telefone de empregado para clientes, que continuavam contatando o empregado mesmo após o término do vínculo empregatício. Entendeu o juiz na sentença que os documentos comprovavam que diversos clientes realizaram  contato  com  a  autora por meio do seu telefone pessoal,  mesmo  após  a  extinção contratual, demonstrando a alegação da obreira de que a empregadora divulgou o telefone pessoal da reclamante para o público externo. O número  de  telefone  particular  se  insere  no conceito de dados pessoais a que alude o artigo 5º, I, da Lei nº 13.709/2018 (LGPD). Ao fornecer o referido dado pessoal aos clientes, a empregadora violou o direito à privacidade titularizado pela autora, permitindo que terceiros estabelecessem contato por meio do telefone particular da trabalhadora. Não há dúvidas de que a referida conduta acarretou abalo moral à reclamante, o que restou agravado pela manutenção da divulgação do número particular após a extinção do contrato. Assim, julgou procedente o pedido de condenação ao pagamento de indenização por dano moral em R$4.000,00 (quatro mil reais), levando em consideração a gravidade do fato e a  natureza  do  bem  jurídico  tutelado.

Condenação: Indenização por danos morais no valor de 4.000 reais.

1ª Instância

Objeto da lide: Quando o cliente se negava a fornecer o CPF para a venda e, por isso, não era inserido no sistema da empresa, a empresa condicionou que os empregados deveriam inserir seus próprios CPFs. Uso indevido dos dados pessoais dos colaboradores. Art. 7º, I Lei nº 13.709/2018 - LGPD. Uma mulher ajuizou reclamação trabalhista contra a empresa que trabalhava e dentre os pedidos, pediu indenização por danos morais a empresa Fast Shop S/A, visto que, quando o consumidor se negava a informar o CPF no ato da compra, era orientação geral da empresa que se utilizasse o CPF de outro vendedor para concretizar a negociação. Afirma, assim, que seu CPF chegou a ser usado diversas vezes sem seu consentimento. A prova testemunhal demonstrou a efetiva ocorrência, no âmbito da empresa, da prática alegada pela trabalhadora. Com efeito, comprovou-se que o seu número de CPF, assim como de outros vendedores, era frequentemente utilizado para concretizar vendas no sistema da Fast Shop. Ao dispor do número de documento pessoal da empregada, sem o consentimento da obreira, para preenchimento de dado necessário à concretização de vendas no sistema, a empresa feriu direito personalíssimo da autora e violou as garantias previstas na LGPD. Como é cediço, caracterização dos danos morais ocorre mediante simples violação direcionada ao acervo jurídico extrapatrimonial do ofendido, isso é, mediante violação direcionada a seus direitos de personalidade. Assim, não há que se perquirir a respeito de desdobramentos psíquicos, abalos morais, desgastes emocionais, uma vez que todas essas decorrências se manifestam no caso. Condenação: R$2.000,00 (dois mil reais) a título de danos morais a autora.

Objeto da lide: O Facebook foi condenado, ao pagamento de multa no valor de R$ 6,6 milhões devido ao vazamento de dados de usuários brasileiros. A decisão é da Secretaria Nacional do Consumidor (SENACON), órgão vinculado ao Ministério da Justiça e Segurança Pública. Em 2018, dados de usuários da rede social foram repassados à Cambridge Analytica – consultoria britânica de marketing político contratada para a campanha eleitoral do ex-presidente dos Estados Unidos, Donald Trump. Estima-se que, na época, os dados de mais de 87 milhões de pessoas em todo o mundo, incluindo 443 mil brasileiros, tenham sido compartilhados para recebimento de conteúdos relacionados a Trump. Ainda naquele ano, a investigação concluiu que o compartilhamento ilegal de dados se dava por meio da instalação de um aplicativo de teste de personalidade, o “This Is Your Digital Life”. Por apresentar falhas ao informar sobre as configurações de privacidade, a SENACON entendeu que o Facebook cometia prática abusiva com os usuários e, por isso, aplicou a multa de R$ 6,6 milhões. Apesar de, em julho de 2022, a própria SENACON ter anulado a condenação para garantir a ampla defesa do Facebook, a empresa continuou a afirmar que não houve quaisquer indícios de que dados dos brasileiros tenham sido transferidos à Cambridge Analytica e que, portanto, não haveria que se falar em mau uso ou exposição indevida desses dados. As alegações não foram aceitas pela SENACON, que voltou a estabelecer a multa de R$ 6,6 milhões.

Supremo Tribunal Federal (STF) - Decisão sobre a ADI 6649 e ADPF 695

Objeto da Lide: Por maioria dos votos, STF decidiu que órgãos e entidades da administração pública federal podem compartilhar dados pessoais entre si, com a observância de alguns critérios. A decisão ocorreu na sessão plenária em 15/09/2022 na análise conjunta da ADI 6649 e da ADPF 695. As ações foram ajuizadas, respectivamente, pelo Conselho Federal da Ordem dos Advogados do Brasil e pelo Partido Socialista Brasileiro, que alegavam que o Decreto Federal 10.046/2019, que dispõe sobre a governança desse compartilhamento de dados, geraria uma espécie de vigilância massiva e representaria controle inconstitucional do Estado, entre outras alegações. O voto do relator, foi no sentido da possibilidade de compartilhamento, desde que observados alguns parâmetros. A permissão de acesso a dados pressupõe propósitos legítimos, específicos e explícitos para seu tratamento e deve ser limitada a informações indispensáveis ao atendimento do interesse público, o compartilhamento deve ser limitado ao mínimo necessário, para atender a finalidade informada. Também deve cumprir integralmente os requisitos, as garantias e os procedimentos estabelecidos na LGPD compatíveis com o setor público. Cabe ao Comitê Central instituir medidas de segurança compatíveis com os princípios da LGPD, em especial a criação de sistema eletrônico de registro de acesso, a fim de responsabilização em caso de abuso. A decisão da Corte preserva a atual estrutura orgânica do Comitê Central de Governança de Dados pelo prazo de 60 dias, a partir da publicação da ata do julgamento. A medida garante à Presidência da República prazo hábil para a superação do modelo vigente, a fim de fortalecer os mecanismos de proteção de dados pessoais.

Notícia: https://portal.stf.jus.br/noticias/verNoticiaDetalhe.asp?idConteudo=494227&ori=1 

Processo: https://portal.stf.jus.br/processos/detalhe.asp?incidente=6079238  

Cerca de 137,3 mil chaves Pix de clientes da Abastece tiveram dados vazados, informou o Banco Central. Esse foi o quarto vazamento de dados desde o lançamento do sistema em 2020. Como um cliente pode ter mais de uma chave Pix, o BC informou que o total de pessoas (físicas e jurídicas) afetadas chega a 137.122 mil. Cada pessoa física pode ter até cinco chaves para cada conta e cada pessoa jurídica pode ter até 20. Segundo o BC, o vazamento ocorreu em dados cadastrais, que não afetam a movimentação de dinheiro. Dados protegidos pelo sigilo bancário, como saldos, senhas e extratos, não foram expostos. O incidente ocorreu entre 1º de julho e 14 de setembro e expôs os seguintes dados: nome do usuário, Cadastro de Pessoas Físicas (CPF), instituição de relacionamento, agência, número e tipo da conta, data de criação da chave Pix. Todas as pessoas que tiveram informações expostas serão avisadas por meio do aplicativo da Acesso ou do internet banking da instituição. O Banco Central ressaltou que esses serão os únicos meios de aviso para a exposição das chaves Pix e pediu para os clientes desconsiderarem comunicações como chamadas telefônicas, SMS e avisos por aplicativos de mensagens e por e-mail. A exposição de dados não significa necessariamente que todas as informações tenham vazado, mas que ficaram visíveis para terceiros durante algum tempo e podem ter sido capturadas. O BC informou que o caso será investigado e que sanções poderão ser aplicadas, como multa, suspensão ou até a exclusão da Abastece Aí do sistema do Pix.

A Nota Técnica nº 68/2022 foi publicada depois que a ANPD solicitou esclarecimentos para a Receita Federal sobre a Portaria RFB nº 167/2022, publicada em abril, que autoriza o Serviço Federal de Processamento de Dados (Serpro), empresa pública vinculada ao Ministério da Economia, a disponibilizar para terceiros, acesso a dados e informações sob gestão da Receita Federal do Brasil (RFB) com a finalidade de complementar políticas públicas voltadas ao fornecimento de informações à sociedade por meio de soluções tecnológicas complementares às oferecidas pela Receita Federal. Após analisar as respostas e os relatórios de impacto enviados pela Receita Federal, a autoridade concluiu por meio da Nota Técnica nº 68/2022, que ficou claro que o objeto da Portaria é apenas fornecer os instrumentos necessários para o acesso a dados que já estavam públicos por força de normativos e de políticas públicas, como informações sobre CPF, CNPJ e certidão negativa de débitos. Os dados listados na Portaria RFB nº 167/2022 já estavam disponíveis para consulta no site da Receita Federal, por força de diversos dispositivos legais (Lei nº 6.015/1973, Lei nº 8.934/1994, Decreto nº 6.289/2007, substituído pelo Decreto nº 10.063/2019, o Decreto nº 9.723/2019, o Decreto nº 10.900/2021 e o Decreto nº 10.977/2022). Dessa forma, entendeu a ANPD, que não há incompatibilidade com a LGPD, do tratamento dos dados apresentados na Portaria, pois tratam-se de dados pessoais que estão inseridos em políticas públicas e que possuem finalidade definida, em conformidade com o art. 7º, III, da LGPD, que trata das hipóteses legais para uso de dados pessoais para execução de políticas públicas.

Notícia: https://www.gov.br/anpd/pt-br/assuntos/noticias-periodo-eleitoral/divulgada-hoje-a-nota-tecnica-que-conclui-a-analise-sobre-o-tratamento-de-dados-entre-receita-federal-e-serpro 

Nota: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/nt-68_2022_cgf_anpd.pdf 

O documento analisou o possível compartilhamento de dados pessoais entre as empresas. O extrato da nota foi publicado no Diário Oficial da União em 10/06/2022. A Autoridade também tomou conhecimento de reuniões entre a Secretaria de Governo Digital do Ministério da Economia e a empresa DrumWave. Dessa forma, a ANPD solicitou informações a respeito do acordo de cooperação e das reuniões realizadas. A DrumWave é uma empresa que funciona como uma espécie de cartório de dados digitais e monetiza o valor dos dados de empresas e pessoas. 

O Serpro e a SGD afirmaram que não há compartilhamento de dados pessoais nessa etapa de cooperação do Serpro com a empresa DrumWave. Portanto, a ANPD concluiu que sua atuação, nesse momento, é desnecessária.  Contudo, a Autoridade entende que caso o Serpro, em momento futuro, opte pelo compartilhamento de dados pessoais no âmbito do Acordo, deverá comunicar à Autoridade imediatamente.

Notícia: https://www.gov.br/anpd/pt-br/assuntos/noticias-periodo-eleitoral/publicada-nota-tecnica-que-analisa-acordo-de-cooperacao-entre-serpro-e-a-empresa-drumwave 

Nota: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/nota-tecnica-no-75-2022-cgf-anpd-serpro-e-drumwave.pdf