Em recente decisão da 12ª Turma Recursal do Tribunal de Justiça de São Paulo, o INSS foi condenado ao pagamento de uma indenização por danos morais a uma pensionista, que tão logo se tornou beneficiária da pensão por morte, teria passado a ser insistentemente abordada por instituições financeiras com ofertas de empréstimos consignados.
Este tipo de situação não é incomum e decorre de uma praxe que ainda vigora e que se torna possível pelo mau uso dos dados pessoais. Daí a necessidade da educação e da conscientização em proteção de dados, algo novo para a sociedade brasileira enquanto disciplina jurídica e de estudo, mas cujo desconhecimento há muito tem dado espaço a ações nocivas às pessoas, com o constrangimento da sua privacidade, tranquilidade e liberdade.
Este artigo se baseia na notícia divulgada na imprensa e não na decisão judicial propriamente, à qual esta colunista não teve acesso.
Após a vigência da Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018) no Brasil, têm-se não apenas um dever de sigilo de toda informação que diga respeito a uma pessoa natural (dado pessoal), mas um arcabouço normativo complexo, que contém as hipóteses em que se pode coletar, armazenar e tratar dados pessoais, as condições e princípios a serem observados, os deveres a que estão obrigados os agentes de tratamento de dados, sejam privados ou públicos, e os direitos assegurados aos titulares dos dados pessoais.
O art. 46 da LGPD representa uma positivação dos princípios do privacy by design e da prevenção, e determina que os agentes de tratamento de dados devem “adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”, desde a concepção do produto ou serviço.
O INSS, enquanto responsável pelo tratamento de dados, mesmo quando realizado por outra entidade (pública ou privada) tem o dever de assegurar o acesso não autorizado aos dados e a sua proteção.
Numa ação que tramitou na Justiça Federal de Pernambuco , alegou o INSS ter instituído, em 2019, um Grupo de Trabalho Interinstitucional para apurar o suposto vazamento de informações pessoais, que concluiu que o compartilhamento de dados dos segurados não ocorre no âmbito do INSS, mas das instituições financeiras pagadoras, com quem compartilha os referidos dados para pagamento dos benefícios.
Nos termos da LGPD, todos os agentes envolvidos no processo de tratamento dos dados pessoais são solidariamente responsáveis pelos danos causados ao titular das informações.
No caso do INSS, uma vez que os dados são por ele custodiados, é ele o agente responsável (controlador) ainda que, no caso concreto, evidencie-se que as instituições financeiras detenham um grau tal de autonomia na tomada das principais decisões relativas ao tratamento dos dados dos segurados, que também figuram como controladoras. Nesta hipótese, têm-se a co-controladoria no tratamento dos dados, de modo que tem o titular a faculdade de acionar qualquer deles (INSS ou instituição financeira) ou ambos, na busca da reparação dos prejuízos que entende ter sofrido.
O compartilhamento dos dados dos segurados está sujeito às regras estritas da LGPD, como finalidade específica e vedação de utilização dos dados para outro fim, que não seja compatível com o original. Vale dizer, a utilização posterior dos dados não pode representar uma surpresa para o titular, como têm sido os casos de abordagem aliciadora para oferecimento de empréstimos, pela própria instituição pagadora ou por outra. Os dados foram compartilhados pelo INSS com o fim específico de efetuar o pagamento do benefício previdenciário, em cumprimento de obrigação institucional do ente público.
Um uso posterior deste dados precisa cumprir os requisitos de ter uma base legal, dos dados serem necessários e adequados para uma finalidade específica legítima, dentre outros, sendo ônus do agente de tratamento dos dados demonstrar o seu cumprimento previamente ao tratamento dos dados, sob pena de violação do direito fundamental à proteção de dados, já expressamente consagrado na Constituição Federal.
