Denis Martins
Uma empresa de seguros que permitiu o vazamento de dados de seus clientes terá de indenizar um morador de Limeira. A decisão é do juiz Marcelo Ielo Amaro, em sentença assinada na última quinta-feira (20). Para o magistrado, a ré falhou em adotar as medidas de segurança previstas na Lei Geral de Proteção de Dados (Lei 13.709/18).
O autor da ação e a empresa de seguros firmaram um contrato de seguro de vida e, por conta disso, os dados pessoais do cliente ficaram armazenados no sistema da ré. Porém, a empresa foi alvo de um incidente de cibersegurança na seção de propostas para contratação de seguro de vida e ocorreu vazamento de dados. As informações pessoais do morador de Limeira estavam no meio. A empresa, então, comunicou o cliente sobre a ocorrência.
Além do vazamento das informações, outras consequências ocorreram. O proprietário dos dados passou a sofrer diversas tentativas de fraudes porque estelionatários, utilizando-se dos seus dados, se passaram por ele e tentaram adquirir veículos e obter créditos de financiamentos. Posteriormente, concessionárias e agências bancárias ligaram para ele com o objetivo de confirmar negócios. Todos essas afirmações foram provadas por meio de documentos anexados nos autos. O autor da ação requereu a condenação da ré por danos morais, responsabilizando-a pelo vazamento de seus dados.
Citada, a empresa rebateu e tentou contestar sua culpa pelo incidente. A defesa imputou culpa exclusiva a terceiro que manipulou a vulnerabilidade do sistema e acessou propostas e dados do autor. “Não obstante não haver ela dado causa ao incidente de segurança, assim que tivera conhecimento dele, tratou de tomar as medidas cabíveis para solucionar o problema e restabelecer a segurança do sistema, noticiando a órgão competente fiscalizador e ao autor, inclusive, conferindo ao mesmo acesso gratuito ao Serasa pelo prazo de 24 meses a fim de poder verificar qualquer eventual inserção de apontamento em seu nome”, mencionou a advogada.
A seguradora afirmou também que o cliente não teve danos, questionou as tentativas de fraudes – alegou que houve uso de CNH falsa com dados que não constavam em seu sistema – e pediu a improcedência da ação.
TESTEMUNHA
Diante da controvérsia a respeito da culpa, a defesa arrolou uma testemunha que integra a equipe de segurança de informações da empresa. Ela descreveu que, no dia da invasão, um e-mail genérico sem identificação de remetente foi recebido e noticiava a violação no sistema de segurança com acesso a propostas e dados de clientes.
Ciente disso, a empresa acionou o plano padrão para apuração e tomada de soluções, com comunicação ao CEO da empresa, comitês de gestão de crise composto por pessoas do jurídico e da segurança, comunicando ao final os órgãos reguladores, como a Superintendência de Seguros Privados (SUSEP) e Autoridade Nacional de Proteção de Dados (ANPD).
Depois, foi descoberta a existência de uma vulnerabilidade na interface da web do sistema, a qual teria sido indevidamente explorada por um suposto cliente que se conectou usando acesso logado. Nessa área, explorando a referida vulnerabilidade, ele acessou dados de outros clientes. Após apuração e solução, a empresa não sofreu nenhuma penalidade dos órgãos de fiscalização.
JULGAMENTO
Para Amaro, a empresa falhou em garantir a segurança dos dados do cliente. “Constata-se nitidamente caracterizada a falha na prestação dos serviços pela ré, a propósito reconhecida e confessada, ao ter seu sistema invadido e com isso se permitiu o vazamento de dados pessoais do cliente, ora autor – frisa-se, falha confessada, inclusive, comunicada por ela própria ao autor, observando, ainda, ter a mesma identificado através de seus funcionários exatamente como se dera a invasão e através de qual vulnerabilidade encontrada em seu sistema pelo invasor. A propósito, restou reconhecido pela ré sua obrigação na tomada de providências, iniciando trâmite padrão para apuração dos fatos, através de investigação interna, solução do problema e mitigação do risco, conforme trâmite detalhadamente descrito pela testemunha, funcionária da autora, o que não foi infirmado pelo autor. Não há dúvida que por falha da ré, deixando, portanto, de adotar as medidas de segurança previstas no art. 46 da Lei 13.709/18 [artigo 44, parágrafo único], se deu a violação da segurança dos dados do autor mantidos em seu sistema, de forma responder pelos danos causados, mesmo que tomadas as medidas subsequentes previstas do artigo 48 também da referida Lei”, decidiu.
A empresa de seguros foi condenada a indenizar o limeirense em R$ 10 mil a título de indenização por danos morais. Cabe recurso.
Fonte: Diário de Justiça, 22 de outubro de 2022