Rodrigo Gasparini Franco *
rodgafranco@gmail.com
O recente mega vazamento de dados que expôs cerca de 16 bilhões de senhas de usuários de grandes plataformas como Apple, Google e Facebook reacendeu o debate sobre a responsabilidade das empresas que armazenam e processam informações pessoais na internet. O episódio, considerado um dos maiores da história digital, trouxe à tona não apenas a vulnerabilidade dos sistemas, mas também a necessidade de rigor na aplicação da Lei Geral de Proteção de Dados (LGPD) e do Marco Civil da Internet no Brasil.
Segundo informações divulgadas pelos portais de notícias, o vazamento envolveu credenciais de acesso de bilhões de usuários, afetando diretamente a privacidade e a segurança de pessoas em todo o mundo. O impacto é ainda mais grave quando se considera que muitas dessas senhas pertencem a contas de serviços essenciais, como e-mails, redes sociais e plataformas de armazenamento em nuvem, o que pode facilitar golpes, fraudes e outros crimes cibernéticos.
No contexto brasileiro, a LGPD estabelece princípios claros sobre o tratamento de dados pessoais, impondo às empresas o dever de adotar medidas técnicas e administrativas capazes de proteger as informações dos titulares contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. O Marco Civil da Internet, por sua vez, reforça a necessidade de guarda e proteção dos dados, além de prever a responsabilização dos provedores em caso de falhas de segurança.
A jurisprudência recente tem caminhado no sentido de responsabilizar civilmente as plataformas por danos decorrentes de vazamentos. O Superior Tribunal de Justiça decidiu que empresas que coletam e armazenam dados pessoais podem ser responsabilizadas diretamente por eventuais prejuízos causados aos usuários, mesmo que não haja comprovação de culpa direta, bastando a demonstração do nexo entre o vazamento e o dano sofrido. Essa orientação foi reforçada por decisões como a do Tribunal de Justiça de Minas Gerais, que condenou a Meta, controladora do Facebook, a indenizar usuários afetados por falhas na proteção de seus dados.
Essas decisões judiciais evidenciam uma mudança significativa de paradigma, pois a responsabilidade das empresas vai muito além da simples adoção de políticas de privacidade ou da disponibilização de termos de uso. Agora, exige-se das plataformas uma postura ativa e transparente na gestão de riscos e na comunicação de incidentes de segurança. A LGPD, por sua vez, reforça essa exigência ao determinar a obrigatoriedade de notificação à Autoridade Nacional de Proteção de Dados e aos titulares sempre que ocorrerem incidentes que possam gerar risco ou dano relevante. Dessa forma, diante de um vazamento, não basta às empresas alegar que adotaram medidas mínimas de segurança ou que foram vítimas de ataques sofisticados; é necessário comprovar, de maneira concreta e documentada, a implementação de todas as salvaguardas previstas em lei. Além das indenizações individuais aos usuários afetados, as plataformas também estão sujeitas a sanções administrativas, que incluem multas de até 2% do faturamento anual, bloqueio ou eliminação dos dados pessoais envolvidos e, em casos mais graves, até mesmo a suspensão parcial de suas atividades.
O mega vazamento evidencia que, diante do volume e da sensibilidade dos dados tratados, a segurança da informação deve ser prioridade absoluta para as plataformas digitais. A confiança dos usuários está diretamente ligada à capacidade das empresas de proteger seus dados, e a falha nesse dever pode resultar não apenas em sanções administrativas e judiciais, mas também em danos irreparáveis à reputação das marcas.
Em um cenário de crescente digitalização, a responsabilização das empresas por incidentes de segurança é fundamental para garantir a efetividade dos direitos dos titulares e estimular a adoção de melhores práticas de governança de dados. O episódio serve de alerta para que servidores e plataformas invistam continuamente em tecnologia, treinamento e processos de resposta a incidentes, sob pena de arcar com as consequências legais e sociais de sua omissão.
* Advogado e consultor empresarial de Ribeirão Preto, mestre em Direito Internacional e Europeu pela Erasmus Universiteit (Holanda) e especialista em Direito Asiático pela Universidade Jiao Tong (Xangai)