Há um certo tipo de fraude que tem ganhado força ultimamente, consistente na criação de uma conta falsa em um aplicativo de troca de mensagens, através da utilização de nome e foto de terceiro. A partir daí, o golpista passa a enviar mensagens para familiares e conhecidos desse terceiro, afirmando que este teria trocado de número, para posteriormente solicitar a transferência de algum valor, sob as mais criativas justificativas.
A dinâmica deste golpe, ao contrário do que muitos podem pensar, não abrange qualquer complexidade tecnológica, tampouco acesso à respectiva agenda de contatos do terceiro ou às mensagens do respectivo aplicativo. Na verdade, o municiamento dos golpistas geralmente ocorre a partir da aquisição, por meio de fóruns anônimos na internet, de imensas listas de dados pessoais vazadas de órgãos públicos e/ou empresas, com informações pessoais básicas de milhões de pessoas, como nome completo, número de telefone e nomes dos pais. A partir de então, o fraudador simplesmente busca uma foto do terceiro, normalmente em redes sociais ou no próprio aplicativo de mensagens, e, de posse dos números de telefone dos familiares e conhecidos, obtidos pela mesma lista adquirida, passa a enviar as mensagens fraudulentas.
Não obstante a possibilidade de responsabilização da empresa e/ou órgão perante os órgãos regulatórios, o que se pretende analisar aqui é a relação individual entre o agente cujos dados pessoais tratados foram vazados (empresa e/ou órgão) e a vítima da fraude decorrente da utilização do produto do vazamento (dados pessoais).
Nesse sentido, cabe esclarecer inicialmente que o Código Civil Brasileiro prevê a necessidade do preenchimento de três requisitos básicos para a concessão de indenizações em geral: (i) a existência de um ato ilícito - doloso ou culposo -, (ii) a demonstração de um dano efetivo e (iii) o nexo de causalidade entre o ato ilícito e o dano. De forma complementar, o Código de Defesa do Consumidor prevê, para situações em que haja risco para a segurança - mesmo que apenas patrimonial - do consumidor, a responsabilidade objetiva do fornecedor, que relativiza a necessidade do dolo ou culpa, de modo que somente há necessidade de demonstração do ato - mesmo que sem dolo ou culpa -, dano e nexo causal.
Já a Lei Geral de Proteção de Dados (LGPD) estabelece que o tratamento de dados pessoais que cause danos ao titular - como na ocorrência de vazamentos - poderá ensejar a configuração da responsabilidade civil dos agentes de tratamento, desde que presentes: (i) a atividade de tratamento de dados pessoais, (ii) o dano e (iii) o nexo de causalidade entre um e outro. E a própria LGPD dispõe que as hipóteses de violação do direito do titular no âmbito das relações consumeristas permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente, o que torna inequívoca a necessidade de análise conjunta de ambas as legislações (CDC e LGPD) quando o tratamento de dados pessoais ocorre dentro do ambiente de consumo.
Pois bem, presumindo-se a ocorrência de um efetivo vazamento de dados pessoais tratados por algum fornecedor de bens e serviços, tanto a legislação consumerista, como de proteção a dados pessoais, preveem a responsabilidade do agente de tratamento por eventuais danos causados a terceiros, salvo nas hipóteses previstas em ambas, de exclusão de responsabilidade, o que deve ser verificado caso a caso.
O dano material sofrido pela vítima de eventual golpe será bastante evidente quando houver transferência de valores, podendo, em situações específicas, também ser moral, quando houver danos à imagem ou situação de profundo abalo psíquico, por exemplo.
No entanto, o nexo causal entre o ato e o dano, terceiro requisito para estabelecimento do dever de indenizar, parece ser quase impossível de ser demonstrado em situações concretas. Isso porque, sem que o titular saiba qual a origem do vazamento de seus dados pessoais, jamais poderá estabelecer relação de causa e consequência entre o uso indevido e o prejuízo sofrido. Neste ponto, seria indispensável ao postulante comprovar que a fraude da qual foi vítima foi realizada com a utilização de dados vazados de uma fonte específica, qual seja, a parte ré na ação indenizatória, o que muito provavelmente seria possível apenas com a apreensão do material usado pelo fraudador.
Finalmente, cabe esclarecer que, mesmo em relações regidas pela lei consumerista, não seria possível a concessão de eventual indenização simplesmente pela ocorrência de algum vazamento, caso não demonstrado o dano - que deve ser efetivo, jamais hipotético ou potencial -, indispensável inclusive para balizar o valor da reparação. Nestes casos, caberia tão somente a atuação do órgão regulatório competente.
Conclui-se, assim, que os vazamentos de dados pessoais, a partir de invasões a bancos de dados de instituições públicas e privadas, têm alimentado um grande mercado de fraudes, o qual se encontra em franca expansão, razão pela qual o seu combate é medida de interesse público. Diante desse cenário, no plano coletivo, está na ordem do dia o enraizamento de boas práticas no tratamento de dados por agentes públicos e privados, incluindo uma comunicação ágil quando da ocorrência de incidentes de segurança que possam acarretar riscos aos titulares, apta a permitir a adoção de medidas para evitar e/ou minorar tais riscos.
No plano individual, no entanto, mesmo que aplicadas as legislações protetivas do consumidor e de dados pessoais, eventual concessão de indenizações a tal título, dependerá, não apenas da demonstração do dano sofrido, mas também do nexo de causalidade com algum vazamento específico.
*Carolina da Rosa Roncatto e Júlia Gessner Strack, advogadas, são sócias de Silveiro Advogados
