Ministério Público Federal pede indenização de R$970 milhões por uso ilegal dos dados de usuários de serviços públicos.
Em decorrência de incidente de segurança, o Ministério Público Federal (MPF) ingressou com ação civil pública contra duas empresas do Estado do Paraná — Algar Soluções em TIC e CELEPAR, por utilizarem base de dados pessoais de serviços públicos naquele estado.
Com isso ocorreu o envio de 324.818 mensagens de texto, via SMS, a milhares de cidadãos com conteúdo político, tendo por remetente o canal oficial de comunicação do governo do Paraná.
De acordo com o Ministério Público Federal (MPF), os dados dos usuários foram tratados em total incompatibilidade com as bases legais permitidas pela legislação, expondo indevidamente o conteúdo da base informacional do estado do Paraná.
Ao se manifestar sobre o incidente de segurança, a CELEPAR declarou que o envio das mensagens SMS foi realizado pela empresa ALGAR TELECOM que, por sua, vez, confirmou “a ocorrência de um acesso indevido à parte da sua base de dados, ocasionando o disparo em massa de mensagens via SMS não autorizado pela empresa”.
Embora uma empresa atribua a responsabilidade pelo incidente de segurança a outro agente de tratamento, a regra é que ambas as organizações devem responder solidariamente pelos danos causados aos titulares dos dados pessoais.
Para se eximirem da responsabilidade que lhes é atribuída, devem comprovar os fatos impeditivos do artigo 43 da Lei 13.479/2108, o que no caso específico, é de difícil comprovação.
COM ISSO, O QUE PODEMOS APRENDER:
Mesmo diante de cláusulas contratuais com expressa previsão de que os dados pessoais são sigilosos e não podem ser divulgados ou fornecidos a terceiros e;
Que as partes devem garantir em seu ambiente total segurança e privacidade das informações, sob pena de aplicação de multas severas para as empresas que descumprirem suas obrigações;
Incidentes de segurança podem ocorrer, seja por falhas humanas ou por falhas na implementação de medidas de segurança aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais.
“Não é por acaso que a segurança, assim como a prevenção e responsabilização dos agentes que intervenham nas operações de tratamento dos dados pessoais estão entre os princípios fundamentais da Lei Geral de Proteção de Dados.”
Logo, se a sua empresa/organização está buscando uma solução para se adequar à Lei Geral de Proteção de Dados, certifique-se de que:
- Os profissionais possuam amplo conhecimento na área de segurança da informação, tecnologia da informação e legislação;
- Tenham experiências em projetos de adequação nos mais variados segmentos de negócios;
- Possuam expertise e conhecimento sobre as melhores e mais atualizadas ferramentas para garantir medidas efetivas na prevenção e mitigação de lesões à esfera jurídica dos titulares dos dados e aos ativos digitais de sua organização/empresa.
“Por mais que contratos e documentos jurídicos sejam aliados indispensáveis ao processo de adequação à LGPD, por si só não garantem o nível adequado de segurança da informação exigido por diversas organizações e empresas”.
Portanto, é importante que as empresas busquem por consultorias que tenham como prioridade a implementação de metodologias customizadas, que visem garantir a segurança das informações do ambiente corporativo e utilizem as boas práticas técnico-legais.