Por Flávio Caetano de Paula Maimone
Vazou dados ou informações sensíveis? Não se trata apenas de um sistema da empresa que sofreu um ataque hacker, mas de um sistema que pode ter sido mal projetado ou mal desenhado. Imagine um prédio construído sem extintores ou saídas de emergência; se houver um incêndio, a responsabilidade não é apenas do fogo, mas de quem projetou a estrutura.
No mundo digital, a LGPD, pelos Artigos 46 e 49, estabelece que os sistemas devem ser estruturados com medidas técnicas aptas a proteger os dados desde a sua concepção (Privacy by Design, Security by Design). Quando uma empresa utiliza um software que não possui instrumentos adequados, que permitem, por exemplo, senhas frágeis ou que não rastreiem transações atípicas (como exigido pelo novo MED 2.0 do Pix), ela pode entregar um produto com vício de qualidade por insegurança.
Da falha técnica do sistema ao acidente de consumo
Para o Direito do Consumidor (CDC), a segurança é um requisito de validade do serviço e também do produto. Quando o design de um sistema é falho, ocorre o que chamamos de fato do produto ou do serviço:
- O Defeito de Concepção: A falha não é um erro momentâneo, mas uma deficiência intrínseca ao software (Artigo 49 da LGPD exige a segurança do sistema).
- A Quebra da Expectativa Legítima: O consumidor, ao utilizar um banco ou e-commerce, tem a legítima expectativa de que seus dados estão protegidos por padrões atuais de mercado.
- A Responsabilidade Objetiva: Se o design era inseguro, se não houve treinamentos, se não houve testes de vulnerabilidade (pentest), a empresa responde pelos danos (prejuízos decorrentes de vazamentos, fraudes, extorsões) independentemente de ter tido “intenção” de errar. O risco é do negócio.
O exemplo prático: O caso das “Contas Laranja”
Um exemplo claro de design inseguro é a facilidade de abertura de contas por fraudadores. Se o sistema de um banco não utiliza biometria avançada ou não cruza dados para impedir contas falsas, ele possui um design inseguro. Se essa conta for usada para lavar dinheiro de um golpe contra você, o banco receptor pode ser responsabilizado porque sua “estrutura” falhou em prevenir o ilícito.
Se houve prejuízos para consumidores, não basta à empresa provar que foi “vítima de um hacker”. A empresa precisa provar que seu sistema era seguro, que promoveu treinamento, fez pentest, etc. Para o consumidor, isso significa maior proteção. Para as empresas, significa que a governança em cybersecurity deixou de ser um tema de TI para se tornar um tema de sobrevivência jurídica.
Sua empresa possui protocolos de segurança alinhados aos Artigos 46 e 49 da LGPD? Ou você, consumidor, foi vítima de uma falha sistêmica? A prevenção é o melhor design.
Flávio Henrique Caetano de Paula Maimone
Advogado especialista em Direito do Consumidor, sócio do Escritório de advocacia e consultoria Caetano de Paula & Spigai | Sócio fundador da @varbusinessbeyond consultoria e mentoria em LGPD. Doutorando e Mestre em Direito Negocial com ênfase em Responsabilidade Civil na Universidade Estadual de Londrina (UEL). Diretor do Instituto Brasileiro de Política e Direito do Consumidor (BRASILCON). Associado Titular do IBERC (Instituto Brasileiro de Estudos de Responsabilidade Civil).
Professor convidado de Pós Graduação em Direito Empresarial da UEL. Autor do livro “Responsabilidade civil na LGPD: efetividade na proteção de dados pessoais”. Colunista do Jornal O LONDRINE̅NSE.
Instagram: @flaviohcpaula
Leia mais sobre Direito do Consumidor
(*) O conteúdo das colunas não reflete, necessariamente, a opinião do O LONDRINE̅NSE.
