Desembolso pode chegar a R$ 4 bilhões. Entenda os pormenores da sentença

O Facebook foi condenado pela justiça do Maranhão (TJMA) a indenizar 8 milhões de brasileiros por vazamento de dados. Somando os valores, o Facebook poderá desembolsar R$ 4 bilhões e ainda terá de pagar R$ 72 milhões por danos morais coletivos, que irá para o Fundo de Direitos Difusos do Maranhão.

Principais pontos que levaram à condenação do Facebook:

1. O Facebook não notificou os usuários afetados;
2. Não indicou as medidas técnicas e de segurança adotadas para a proteção de dados;
3. Não apontou os riscos relacionados ao incidente; e
4. Não informou as medidas a serem adotadas para reverter ou mitigar os prejuízos decorrentes do vazamento de dados.

De acordo com o magistrado, a Lei Geral de Proteção de Dados (LGPD) protege o usuário e estabelece regras para as empresas que recolhem dados dos seus consumidores:

A responsabilidade de reparar os danos causados no exercício da atividade de tratamento de dados, surge com a violação às normas jurídicas. Desse modo, compreende-se a proteção de dados como um microssistema com normas previstas em diversas leis, sendo a LGPD seu principal fundamento.

Outro ponto interessante da sentença foi a posição do magistrado quanto à alegação do Facebook de destacar que não houve violação, tratamento ilícito dos dados, uma vez que essa informação já estava classificada como dados disponíveis e acessíveis publicamente (vide artigo 7º, § 4º LGPD). O magistrado rebateu afirmando que ainda que os dados sejam públicos, a raspagem não autorizada de dados representa clara falha de segurança, dizendo o seguinte:

Ressalto, por oportuno, que a informação manifestamente pública não autoriza a sua utilização de maneira ampla e irrestrita( …)

Afirmando que o réu (Facebook) agiu em desconformidade com a LGPD quando permitiu a extração de dados de milhões de usuários de suas plataformas por ferramentas automatizadas, não importando se o tratamento ilícito tenha sido cometido por terceiro, pois competia ao Facebook a garantia da proteção dos dados pessoais dos seus usuários, citando o art. 44 da LGPD.

Ainda, na sua decisão mencionou o princípio do Privacy by Design, dizendo o seguinte:

Ademais, a LGPD expressou de forma límpida que as medidas de segurança deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução (§ 2º, art. 46), o que torna insuficiente para resultar em improcedência da ação, a alegação do réu de que não permitiu o acesso indevido, pois, por outro lado, não adotou medidas efetivas para bloquear tais acessos.

Obviamente, é uma decisão de primeira instância e deverá ser confirmada por instâncias superiores, mas já é um forte indicador de que se o Facebook apresentasse os pontos citados, como notificar os usuários com o próprio reconhecimento da violação, a decisão poderia ser aplicada de uma forma mais branda, porque todos os pontos mencionados pelo magistrado como falhas e faltas graves cometidas pelo réu, poderiam ser evitados através de um bom programa de adequação à LGPD.

Para saber mais detalhes da sentença, acesse o site do CONJUR.

Quer saber mais sobre LGPD? Acesse nosso hub de conteúdos e assegure a proteção de dados pessoais na sua empresa.