Há muito, a humanidade reconhece quatro domínios elementares de conflito: terra, mar, ar e espaço sideral. Nas últimas décadas, porém, o ciberespaço emergiu como o “quinto domínio”. Esse novo campo de batalha tem ganhado destaque na mídia, especialmente com a guerra cibernética que acompanha a crise regional entre Israel e Irã e o ataque contra sistemas de aviso de emergência de Israel, coincidindo com o lançamento de mísseis pelo Hamas.
Em um cenário de crescente preocupação com a segurança digital, o caso C-340/21, decidido recentemente pelo Tribunal de Justiça da União Europeia (TJUE), oferece insights interessantes sobre a interpretação e aplicação do GDPR (Regulamento Geral de Proteção de Dados Europeu), especialmente no que diz respeito à responsabilidade dos controladores e à possibilidade de configuração de dano moral com base em receio do uso indevido de dados pessoais pelos titulares após a ocorrência de um incidente.
Por outro lado, é importante entender por que nem todas as interpretações contidas na decisão devem ser utilizadas como parâmetro no Brasil, o que, de certo modo, desafia a aplicação na íntegra do Efeito Bruxelas, conceito desenvolvido pela professora Anu Bradford.
Em julho de 2019, a Agência Fiscal Nacional da Bulgária (NAP), encarregada de identificar, assegurar e recuperar dívidas públicas, sofreu um ataque cibernético que resultou na publicação online de informações confidenciais de mais de seis milhões de indivíduos. O incidente não só expôs a vulnerabilidade dos sistemas, mas também desencadeou uma série de ações judiciais, com centenas de indivíduos em busca de compensação por danos morais em razão do temor de utilização indevida de seus dados pessoais.
Em um caso específico, após a rejeição do pedido pelo Tribunal Administrativo da Bulgária, o autor recorreu da decisão perante o Supremo Tribunal Administrativo do país, que encaminhou o caso ao Tribunal de Justiça da União Europeia (TJUE) com questões envolvendo os artigos 5, 24, 32 e 82 do GDPR.
Na decisão, uma das conclusões elogiáveis que o TJUE chegou foi que a ocorrência de acesso ou divulgação não autorizada de dados, por si só, não significa que as medidas de segurança implementadas pelo controlador não foram adequadas.
De acordo com o TJUE, a adequação das medidas técnicas e organizacionais implementadas pelo controlador deve ser avaliada de forma concreta, levando em conta os riscos associados ao tratamento dos dados, ou seja, se a natureza, conteúdo e implementação das medidas são apropriados para os riscos envolvidos no tratamento dos dados pessoais em questão.
Trata-se de uma interpretação que, sem dúvida, promove uma abordagem mais equilibrada e justa, focada na avaliação da diligência e da proporcionalidade das medidas adotadas, ao invés de penalizar os agentes simplesmente pela ocorrência de incidentes. De certo modo, a decisão acaba influenciando os controladores a implementarem medidas de segurança robustas, promovendo uma cultura de melhoria contínua e responsabilidade realista no campo da proteção de dados, com a esperança concreta de que isso seja levando em consideração em sua defesa.
O TJUE também esclareceu que, em uma ação indenizatória, o ônus de provar a adequação das medidas de segurança implementadas recai sobre o controlador, cabendo, portanto, ao agente de tratamento demonstrar que as medidas adotadas foram suficientes para proteger os dados pessoais, em linha com a regulamentação europeia. Assim, no contexto de uma ação judicial, o titular deve provar que houve a violação ao GDPR e a existência de dano, bem como o nexo causal entre eles, sem recair sobre ele o ônus de prova sobre a inadequação das medidas de segurança adotadas pelo controlador.
Além disso, o TJUE pontuou que a redação do artigo 82 (3) do GDPR não deve ser interpretada para isentar o controlador de responsabilidade por danos quando o prejuízo foi causado por terceiro. Para ser isento, o controlador deve demonstrar que o ato que causou o dano não lhe é atribuível. Essa interpretação reforça que as circunstâncias em que o controlador pode alegar ausência de responsabilidade nos termos do artigo 82 devem ser rigorosamente limitadas àquelas em que ele pode provar que não há nexo causal entre sua suposta violação do GDPR e o dano sofrido pela pessoa física.
Outro ponto relevante, porém questionável à luz da jurisprudência brasileira, é que o medo experimentado por um titular em relação à possível utilização indevida de seus dados por terceiros, como resultado de uma violação do GDPR, pode constituir dano moral.
Essa interpretação do TJUE encontra fundamento no Considerando 85, que inclui a mera perda de controle sobre os dados como uma situação de violação de dados. Esse entendimento também já foi afirmado pelo TJUE no caso C-300/21 – Österreichische Post AG quando o tribunal pontuou que o conceito de dano do artigo 82 (3) do GDPR deve ser interpretado de forma ampla.
O TJUE esclareceu, no entanto, que os tribunais nacionais europeus devem garantir que o receio sobre o uso indevido dos dados não seja infundado e esteja relacionado às circunstâncias específicas do titular em questão. Isso destaca a importância não apenas da proteção dos dados em abstrato, mas leva em conta os impactos psicológicos que as violações de dados podem ter sobre os indivíduos afetados.
Essa última interpretação vai na contramão do que tem sido (corretamente) decidido no Brasil. O Superior Tribunal de Justiça (STJ), no julgamento do AREsp 2.130.619, ressaltou que o mero vazamento de dados pessoais comuns – ou seja, aqueles dados que não são sensíveis – não implica automaticamente em dano moral indenizável, a menos que haja comprovação de prejuízo efetivo decorrente do vazamento, como fraude ou outro tipo de utilização indevida.
Essa distinção reflete a necessidade de que, no Brasil, as alegações de dano moral em casos de violação de dados sejam fundamentadas em elementos concretos que evidenciem o impacto negativo efetivo sobre o titular dos dados. Assim, enquanto o mero medo ou a preocupação com o uso indevido dos dados podem ser considerados no debate jurídico europeu, no Brasil, a análise tende a ser mais criteriosa, levando em conta as circunstâncias específicas.
O caso serve como lembrete de que é fundamental que as lições do direito comparado sejam interpretadas vis-à-vis a realidade jurídica, cultural e socioeconômica brasileira. Isso exige um equilíbrio delicado, já que importar sem critério as interpretações do GDPR, no fluxo do conhecido “Efeito Bruxelas” é arriscado e deletério para o nosso país.
O tema ‘incidentes de segurança’ está em alta no Brasil não só pelo número elevado de ocorrências no país, – que de acordo com a NESCOUT, sofreu no primeiro semestre de 2023 cerca de 328.326 ataques cibernéticos, o equivalente a 41,78% de todos os ataques na América Latina –, mas especialmente após a publicação recente da Resolução CD/ANPD 15/2024, que aprovou o Regulamento de Comunicação de Incidentes de Segurança.
Com efeito, os agentes de tratamento podem não apenas se proteger contra possíveis ataques, mas também evitar compensações financeiras significativas aos titulares afetados e proporcionar uma defesa robusta contra litígios onerosos, reforçando a importância de uma postura proativa e diligente na gestão de dados pessoais, bem como da documentação de forma robusta técnicas e medidas de segurança adotadas.