No último dia 06 de outubro, a Twitch, plataforma da Amazon utilizada para transmissão de vídeos ao vivo, foi alvo de violação e vazamento de inúmeros dados armazenados. Os dados acessados foram publicados por um hacker em um fórum do 4Chan e, entre os materiais divulgados, estão o código-fonte da plataforma, quantias pagas aos streamers nos últimos meses, além de outras informações sigilosas.
Os vazamentos de dados, em diferentes níveis, passam a ser episódios cada vez mais frequentes no Brasil e se referem a um incidente de segurança em que informações sigilosas são divulgadas para o acesso do público ou de terceiros sem prévia autorização. Dessa forma, através da exposição não autorizada de informações privativas, o vazamento de dados coloca em risco titulares dos dados e empresas nas quais as informações são veiculadas.
A divulgação de dados não autorizada representa uma violação a princípios basilares fixados pela Lei nº 13.709 de agosto de 2018 (“Lei Geral de Proteção de Dados” ou “LGPD”), cuja criação teve como inspiração as normas da Regulação Geral de Proteção de Dados, que vigora na União Europeia desde 2016.
A LGPD tem como intuito delimitar as práticas que são esperadas pelos agentes responsáveis pelo tratamento de dados e fixa princípios que devem ser respeitados pelos controladores e operadores que tratam dados pessoais no meio virtual.
Nesse sentido, segundo a norma brasileira, que tem a maior parte de seu conteúdo vigente desde 2020, o tratamento de dados pessoais é considerado irregular a partir do momento em que não for fornecida a segurança esperada pelo titular da informação contida no banco de dados. Os agentes de tratamentos de dados pessoais devem seguir as instruções da LGPD e adotar medidas de segurança, técnicas e administrativas que possibilitem a proteção de informações privativas de acessos não autorizados.
A lei é clara ao determinar que o controlador ou operador de dados pessoais será responsabilizado por danos decorrentes da violação de segurança ou por deixar de tomar medidas de segurança esperadas pela lei. Importante frisar que, para a LGPD, entende-se como controlador aquele que decide sobre o tratamento de dados pessoais, e como operador, quem faz o tratamento destes dados em nome do controlador.
Então, no caso da Twitch, em que a própria empresa admitiu que vazamento de dados se deu por uma mudança em sua configuração que os deixou vulnerável, a plataforma estaria sujeita a arcar com eventuais indenizações por danos causados aos usuários que confiaram a segurança de seus dados pessoais a ela. Se a aplicação de indenização diante de vazamento de dados é certa ou não, como no caso da Twitch, ainda não se sabe.
Os Tribunais brasileiros ainda não chegaram a um consenso. Há casos em que era necessária a demonstração de dano por parte dos usuários para que a indenização fosse imposta, enquanto outros condenaram os sites que deram origem ao vazamento de informações somente pelo fato de que os dados pessoais estariam acessíveis por terceiros, dispensando a comprovação da ocorrência de dano.
Outra consequência que a Twitch ainda pode arcar são as chamadas sanções administrativas que a LGPD prevê. Elas fazem parte da lei que entrou em vigor em agosto deste ano e ainda pouco se sabe sobre o modo de aplicação pela Autoridade Nacional de Proteção de Dados (ANPD), a quem compete fiscalizar o cumprimento da LGPD.
Antes das sanções administrativas entrarem em vigor, a LGPD propunha medidas mais educativas do que punitivas, visando orientar as melhores práticas para a proteção de dados de usuários na internet. Porém agora, a ANPD pode aplicar, além de advertências, multas de até 2% sobre o faturamento do último ano, limitado a R$ 50 milhões de reais, por infrações cometidas pelos responsáveis pelos vazamentos de dados pessoais, ou por dia que os seus sistemas deixarem os dados desprotegidos.
Como infrações, entende-se a falta de cumprimento das orientações dadas pela LGPD que motivaram o vazamento de dados. Entre outras sanções administrativas, podemos mencionar a suspensão, de até 6 meses, ou a proibição, total ou parcial, de atividades relacionadas ao tratamento de dados pelo controlador ou operador de dados.
Caberá, então, à ANPD analisar a proporção de responsabilidade da Twitch no momento do vazamento de dados antes de, enfim, aplicar uma sanção administrativa, sobre a qual a plataforma ainda poderá recorrer administrativamente.
Como o caso da Twitch é o primeiro grande episódio de vazamento de dados desde que as sanções administrativas da lei entraram em vigor, ele tem tudo para alertar os demais sites e plataformas sobre a importância de seguir as diretrizes da LGPD, além de representar um grande desafio à plataforma, que poderá estar sujeita à aplicação de sanções capazes de comprometer seu funcionamento e sua capacidade financeira.
Giovanna Dias é advogada do CQS/FV Advogados.
Gustavo Campanili é estagiário do CQS/FV Advogados.