Em acórdão, Tribunal de Justiça de São Paulo abre precedente, face ao descumprimento dos preceitos previstos na LGPD, quanto ao cabimento indenizatório por danos morais.
Para o Desembargador Alfredo Attié, “o dano moral, ainda mais sob uma perspectiva constitucionalizada do direito civil, somente se configura quando houver lesão à dignidade humana e seus substratos: liberdade, igualdade, solidariedade e integridade psicofísica”.
Assim, afirma que “não se trata mais, como antigamente, de aplicação das regras da responsabilidade subjetiva ou objetiva…”.
Com efeito, deve-se diferenciar risco e impacto, pois, enquanto aquele está diretamente ligado a probabilidade de um evento, este, nos seus desdobramentos e repercussões.
Neste sentido, minimizar ou mitigar o risco é a atividade desenvolvida na busca de possíveis vulnerabilidades e suas ameaças, neutralizando prováveis eventos antes mesmo do seu acontecimento, ocorre no curso do processo de adequação a LGPD, com escora nas medidas técnicas e de segurança para proteger os dados de pessoas naturais, como determina o art. 46 da Lei.
De outro turno, reduzir o impacto é o trabalho realizado para abrandar os efeitos oriundos de incidentes ou dos riscos não previstos, não identificados ou não tratados, ou seja, é a medida que o controlador deve adotar após, por exemplo, um vazamento de dados, como descrito no art. 48.
Enfatizando as palavras do Desembargador Attié, se faz “necessária a demonstração da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, a eficácias dessas medidas”, que aponta, sem equívocos, para a condição por ele disposta, agir de forma ativa (atuar na mitigação do risco) e proativa (reduzir o impacto).
Diante deste cenário, visando impedir a responsabilização, devem as empresas, de todos os portes, desenvolver medidas e controles eficazes para o correto tratamento dos dados pessoais, com escora nas melhores práticas em segurança da informação, adotando, especialmente, questões como: avaliação do risco e do nível de maturidade, elaboração de uma política de segurança da informação interna, controle de acesso a todos os ativos, classificação da informação, controle de backup, aderir um modelo criptográfico, desenvolver um plano de continuidade do negócio e um modelo para tratamento de incidentes.
Inúmeros são os casos de ataques cibernéticos e vazamentos de dados baseados nas diversas motivações por parte de criminosos. Da mesma forma, são crescentes ações que tramitam no judiciário brasileiro. O que se conclui: não existe empresa que não possa ser vítima de um ataque ou provocada pelo titular de dados em ações indenizatórias.