A LEI GERAL DE PROTEÇÃO DE DADOS TERÁ OU NÃO SUA VIGÊNCIA SUSPENSA?

O PL 5762/2019 QUE VISA SOBRESTAR O INICIO DE VIGÊNCIA DA LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS:

Em 29 de outubro de 2019, a Internet completou 50 anos, isto é, há meio século foi transmitido um pacote de dados entre computadores de duas universidades distintas na Califórnia (EUA). Era auge da guerra fria e a novidade, produto de pesquisas feitas por acadêmicos sob os auspícios de uma agência militar do governo daquele país, que criou uma rede denominada Arpanet. Anos depois, em 1973, Vinton Cerf e Robert Khan criaram o protocolo TCP/IP, que seria a base do transporte de informações na rede.

Hoje mais de 55% da população no mundo está conectada, mais de 4 bilhões de pessoas, cerca de 45% dos habitantes da terra valem-se das redes sociais. Só o facebok, tem 2,4 bilhões de usuários. O Google para que se tenha uma ideia, alcança 2,4 bilhões de internautas que se utilizam do sistema operacional Android e 2 bilhões nas sua plataforma de  vídeo do Youtube.

Quem pode imaginar alcançaríamos esses números elevadíssimos? Certamente ninguém!

Poderíamos imaginar um dia que a cada minuto 188 milhões de e-mail’s são enviados? Que mais de 40 milhões de mensagens de WhatsApp são trocadas por minuto? Que mais de 1 milhão de pessoas se conectam ao Facebook por minuto? Certamente que não!

Com o passar dos anos, os avanços foram se revelando de grande importância no dia a dia das pessoas. Na década de 1980, a introdução de novas tecnologias relacionadas à Internet no mercado, marcou a fase de difusão de computadores pessoais e portáteis, de roteadores (equipamentos que permitiam a conexão em diferentes redes e de telefones celulares, nas décadas posteriores, tornar-se-iam essenciais para a ampliação da rede. Já os anos 90 vieram para consolidar a internet nos modelos que conhecemos inclusive nos dias atuais. A World Wide Web (Rede Mundial de Computadores), nasce em 1991, amparada por um protocolo de transferência de hipertexto (HTTP), a linguagem de marcação de hipertextos (HTML) e na organização de conteúdos em páginas, visíveis por meio de um programa chamado de navegador e acessível por um endereço.

E assim ela foi se ampliando em diversas nações, com diferentes modelos de conteúdos, de bens e serviços, inserindo-se neste contexto o comércio eletrônico. Já no final da década de 1998, nasce a ferramenta de busca denominada Google, e no início dos anos 2000, vários serviços de informação começam da ser popularizados, dentre os quais, as redes sociais como o Linkedin (2003), e o Facebook (2004).

Em 2005, vem a criação do YouTube, que viria a se tornar a maior plataforma de publicação e consumo de vídeos do planeta. Em 2010 vem a difusão ampla da internet e a ampliação da sua base de usuários, alcançando um universo de bilhões de pessoas e graças aos smartphones, nascem novas forma de conectividade e por via de consequência, o acesso a serviços, cujo instrumento é modificado, saindo dos sites e adentrando no dia a dia dos usuários, os aplicativos, também conhecidos como APP’s.

Por certo ainda se tem muito por evoluir e tornar a internet se vista como uma comunidade, uma forma de interação entre pessoas, com respeito, com regras de conduta e tantas outras posturas que disciplinariam as relações entre aqueles que trafegam por esse amplo universo.

Aqui no Brasil, dentre as questões que visam de certa forma, disciplinar as relações, os convívios entre todos que circulam e atual no ambiente virtual, que se valem da tecnologia como o meio para dinamizar todas as suas ações e posturas no dia, encontramos a recente tentativa de suspender o início de vigência da LGPDP, a Lei Geral de Proteção de Dados Pessoais.

Todos nós sabemos que a aprovação da lei em 2018, representou-nos um importante marco para assegurar garantias à privacidade e para a proteção de dados dos cidadãos no país. Em linhas gerais, o texto legislativo, traz em suas premissas o escopo de proteger as informações pessoais dos internautas em nosso país. Mas não é só! A LGPDP também contribui para incentivar a competitividade das empresas nacionais no exterior na medida em que lhes impõe, operar em condições equivalentes ou até mesmo mais rigorosas do que as praticadas nos mercados mais exigentes do mundo.

No meu sentir, os benefícios advindos da LGPDP são insuscetíveis de questionamentos, todavia, existem aos olhos de muitos, problemas no tocante a sua implementação prática, pois o texto legal está a impor como TERMO INICIAL DE VIGÊNCIA, o mês de agosto de 2020, mais precisamente no dia 15, e, alguns sustentam que a pouco mais de dez meses de entrada em vigor da Lei Geral de Proteção de Dados Pessoais, poucas foram as empresas brasileiras que deram início ao processo de adaptação aos dispositivos da Lei. E que esse baixo número é decorrência da dificuldade de investimentos em tecnologia para que possam se adequar aos termos, mesmo porque, a crise econômica que assola o país, não permite que as pequenas e médias empresas possam se adequar, na medida em que, nem mesmo as grandes corporações estão totalmente preparadas para dar o tratamento aos dados, nos termos previstos na legislação.

Em decorrência dessa preocupação do mercado, nasceu a primeira proposta formal para adiar a entrada da Lei Geral de Proteção de Dados Pessoais (LGPDP). De autoria do deputado Carlos Bezerra (MDB/MT), o PL 5762/2019 já está em tramitação e busca alterar a Lei nº 13.709, de forma que a norma só passe a vigorar no dia 15 de agosto de 2022 — ou seja, as empresas brasileiras teriam mais dois anos para se adequar ao regulamento.

Os argumentos adotados pelo deputado seguem a linha de que, embora a LGPDP seja importante para proteger as informações pessoais e garantir a privacidade dos internautas, ainda são poucas as companhias capazes de se adequar às normas do texto. Para dar ênfase à afirmação, o deputado cita a pesquisa Brazil IT Snapshot, recentemente divulgado pela Logicalis, que entrevistou executivos de 143 empresas nacionais.

“De acordo com o estudo, apenas 17% das instituições consultadas dispõem de iniciativas concretas ou já implementadas em relação à matéria. Além disso, 24% tiveram contato com o tema somente por meio de apresentações, e apenas 24% “têm orçamento específico para colocar em prática ações que garantam a proteção de dados de acordo com as exigências legais’”, aponta o texto.

“Ressalte-se, por oportuno, que 71% das entidades pesquisadas são de grande porte, dentre as quais 33% possuem faturamento anual superior a R$ 1 bilhão – portanto, empresas que, em regra, dispõem de assessoria jurídica e recursos financeiros suficientes para investir em ações de adequação às novas obrigações estabelecidas em lei. Nesse contexto, se nem mesmo as grandes corporações já estão preparadas para lidar com os desafios introduzidos pela LGPD, para as pequenas empresas o quadro certamente inspira ainda mais preocupação”, continua.

Por fim, o deputado critica a “morosidade do Poder Público”, que ainda não instalou a Autoridade Nacional de Proteção de Dados (ANPD). “Ainda que a Autoridade seja instalada com a maior brevidade possível — cenário que não nos parece provável, decerto não haverá tempo hábil até agosto de 2020 para que todas as propostas de regulamentação sobre a matéria sejam discutidas pela sociedade e aprovadas pelo órgão”, finaliza.

O PL 5762/2019 encontra-se em tramitação ordinária e foi despachado à Comissão de Constituição e Justiça e de Cidadania para apreciação do Plenário.

Louvável de um lado a iniciativa, porém lamentável de outro, na medida em que, a Lei Federal n.: 13.709, de 14 de agosto de 2018, já previa expressamente um interregno de 02 (dois) anos para que todos pudessem se adaptar e se preparar, para adequarem suas atividades e zelarem pelo tratamento de dados nas suas diferentes modalidades.

Da mesma forma que nos defrontamos com uma situação peculiar, que também de certa forma peculiar, pois até o presente momento não cuidou o Poder Executivo de providenciar a instalação da Autoridade Nacional de Proteção de Dados – ANPD, que será o órgão responsável para editar e disciplinar os regulamentos e procedimentos sobre a proteção e preservação de dados pessoais e da privacidade, que servirão de referência para balizar as ações das empresas para fins de adequação à LGPDP.

A critica do deputado, guarda certa procedência, pois mesmo que a Autoridade seja instalada, as discussões pela sociedade e a aprovação pelo órgão, não poderão ser aprovadas em tempo hábil até o início de vigência da lei, ou seja, 15 de agosto de 2020.

Agora só nos resta aguardar a tramitação do PL, para que, ao final, seja definido qual será o caminho a se seguir. ´

Particularmente, entendo que seria prudente sobrestar a vigência, não por 24 meses, mas sim, por 12 meses, e, enquanto isto, os legisladores dialogarem com o Poder Executivo, com os responsáveis pela área de tecnologia, para que fossem viabilizadas ações destinadas a aprovação da Autoridade Nacional de Proteção de Dados, e, para que fossem abertas as discussões o quanto antes, pois se de um lado, o tempo não para, de outro a internet evolui rapidamente, o numero de pessoas conectadas crescem cada vez mais e a circulação e o tráfego de dados se amplia velozmente.

Gilberto Marques Bruno

Advogado e Professor

Sócio Fundador de Marques Bruno Advogados Associados

(OAB/SP n.: 6.707)

Conselheiro da Associação Comercial de São Paulo

(ACSP)

Conselheiro da Associação dos Advogados de São Paulo

(AATSP)

Acesso a e-mails internos da empresa caracteriza violação de sigilo de correspondência

O ACESSO A CONTEÚDO DE E-MAIL’S DE UMA EMPRESA PODE CONFIGURAR VIOLAÇÃO DE SIGILO DE CORRESPONDÊNCIA? Recente decisão da Segunda Turma do Tribunal Superior do Trabalho entendeu insuscetível de validade e de utilização como meio de prova, conteúdo de correspondências eletrônicas de uma empresa de transporte de valores e segurança, que teriam sido obtidos sem autorização judicial por dois empregados que tiveram a rescisão do contrato de trabalho por justo motivo reconhecida em juízo. O entendimento da Corte Suprema Trabalhista, exarado nos autos do Processo: RR-44900-19.2012.5.17.0012, seguiu no sentido de que, o acesso às mensagens, quando obtido de forma anônima, configura e caracteriza quebra do sigilo de correspondência. Em sede de defesa, a reclamada formulou requerimento junto ao Juízo Federal da 12ª. Vara do Trabalho de Vitória (ES), que declarasse por sentença a rescisão do contrato de trabalho por justo motivo, por falta grave, ao esteio do disposto na Consolidação das Leis do Trabalho, de dois empregados que possuíam estabilidade provisória por ocuparem cargos de dirigentes sindicais.  Dentre as condutas imputadas aos reclamantes naqueles autos, se encontravam, fraudes nos controles de frequência, uso indevido de equipamento celular da empresa para tratar de questões de ordem particular, desvio e abandono de rota dos veículos da empresa para tomar sorvetes, desmonte parcial do veiculo, objetivando a localização de equipamento de filmagem e gravação instalado e permissão de acesso de terceiros ao interior do veículo. Os ex-funcionários por seu turno, ingressaram com reconvenção, pleiteando indenização por dano moral, alegando que a empresa os teria rebaixado de função, suprimido horas extraordinárias e por ter-lhes aplicado advertências.  Os dois pedidos foram julgados improcedentes. De um lado, segundo o entendimento do juízo sentenciante, nenhum dos fatos sustentados pela reclamada, era suficiente para configurar falta grave que tivesse o condão de justificar a aplicação de justo motivo para o rompimento do pacto laboral por parte do empregador em relação aos dois dirigentes sindicais. De outro, as alegações dos empregados na reconvenção, não caracterizavam a hipótese de direito à percepção de indenização por dano extrapatrimonial. Em sede de recurso ordinário, o Tribunal Regional do Trabalho da 17ª. Região, declarou a extinção dos contratos de trabalho por justo motivo. Para a Corte Regional, há perda de confiança “quando o empregado faz devassa no veículo da empresa, a fim de localizar câmeras de segurança, considerando-se tratar de empresa de transporte de valores”. Embora tenha reconhecido a justa causa, o TRT manteve a vigência do contrato de trabalho até o trânsito em julgado da decisão com suspensão da prestação de serviço, sem prejuízo dos salários dos empregados. Os ex-funcionários interpuseram recurso de revista, e ao depois, requereram a juntada de correspondências eletrônicas (internas da empresa), as quais teriam sido depositadas na caixa de correio do sindicato em um pen drive. Valeram-se de argumento no sentido de que as mensagens conteriam conversas em que membros da diretoria da empresa, teriam concluído que não existiam elementos suficientes para a aplicação da rescisão por justo motivo, o que ensejaria a conclusão contrária do entendimento adotado pelo Tribunal Regional do Trabalho. Também valeram-se de argumentação no sentido de que foram vítimas de perseguição, de escuta ilegal, de massacre psicológico e atitude antissindical (posturas que vedam o livre exercício da atividade sindical). Em sua manifestação, a empresa sustentou que as provas levadas aos autos, teriam sido colhidas de forma ilegal, pois os ex-colaboradores, não eram interlocutores das correspondências eletrônicas trocadas entre dois de seus advogados, postulando pela desconsideração e retirada imediata do material, com sustentáculo nos dispositivos que preservam o direito ao sigilo profissional e que se encontram previstos no Estatuto da Advocacia e da Ordem dos Advogados do Brasil (Lei Federal n.: 8.906/1994). A relatora do recurso de revista, ministra Delaíde Miranda Arantes, respaldou o seu entendimento sob a ótica da inviolabilidade de dados, asseverando que a Carta Constitucional, assegura o sigilo de correspondência, de dados e das comunicações telefônicas (artigo 5º, inciso XII), excetuadas as hipóteses em que houver autorização judicial. Consignou ainda, que a Lei das Telecomunicações (Lei Federal n.: 9.472/1997), segundo o inciso V do seu artigo 3º., assegura ao usuário “o direito à inviolabilidade e ao segredo de sua comunicação, salvo nas hipóteses e condições constitucional e legalmente previstas”. E para concluir o seu entendimento, registrou que o Marco Civil da Internet (Lei Federal n.: 12.965/2014), no seu artigo 7º, que cuida dos princípios, garantias, direitos e deveres para o uso da internet no Brasil, “assegura a inviolabilidade dos dados armazenados em dispositivo privado ou transmitidos pela rede mundial de computadores”. Em seu voto, asseverou que: ...“No caso, resta claramente evidenciado que houve acesso aos e-mails mesmo sem prévia autorização judicial, em violação ao sigilo de correspondência”, afirmou a relatora. “Os próprios empregados admitem que os e-mails são de propriedade da empresa e que foram obtidos de forma anônima. Trata-se, a toda evidência, de prova contaminada, ilegítima e ilegal, impossível de ser usada para a formação do convencimento do julgador.”... À unanimidade, a Turma rejeitou o pedido de juntada das correspondências eletrônicas e não analisou o mérito do recurso interposto pelos ex-empregados. Já o recurso de revista da ex-empregadora, teve provimento e afastou a determinação de pagamento dos salários, reformando assim a decisão do pretório regional. Prevalecendo assim entendimento no sentido de que deve ser assegurado o sigilo de correspondência, bem como o direito à inviolabilidade e ao segredo de sua comunicação, excetuadas as hipóteses legalmente previstas, e, colhidas mediante autorização judicial. Dessa forma, caso a obtenção dos conteúdos das correspondências eletrônicas, sejam obtidos sem autorização judicial, confirgurar-se-á violação de sigilo de correspondência e seu conteúdo não terá força probatória. Gilberto Marques Bruno Advogado e Professor Sócio Fundador de Marques Bruno Advogados Associados (OAB/SP n.; 6.707) Conselheiro da Associação Comercial de São Paulo (ACSP) Conselheiro da Associação dos Advogados Trabalhistas de São Paulo (AATSP)

NOVAS MUDANÇAS NO PJe INSTALADO NA JUSTIÇA DO TRABALHO

NOVAS MODIFICAÇÕES NO PJe DA JUSTIÇA DO TRABALHO SE AVIZINHAM E ADVOCACIA DEVE FICAR ATENTA:

Como se sabe, em 2017, o Conselho Superior da Justiça do Trabalho, editou a Resolução n. 185, em data de 24 de março, para dispor sobre a padronização do uso, governança, infraestrutura e gestão do Sistema Processo Judicial Eletrônico (PJe), instalado na Justiça do Trabalho. O texto normativo, impõe a necessidade de estar a Advocacia atenta aos seus dispositivos, pois, por meio deles, é que se opera a tramitação do Processo Judicial Eletrônico (PJe). Questões alusivas à distribuição e cadastramento de iniciais, de contestações, reconvenções, atribuições de sigilos, juntada de documentos, de arquivos de mídia, áudios, vídeos, fotografias, pedidos de degravações de depoimentos, acesso a depoimentos gravados em áudio ou vídeo, nominação de documentos e etc. Desde a implantação do sistema. Muitas modificações foram acontecendo e como elas, a Advocacia, a Magistratura e os servidores que atuam no dia a dia da Justiça do Trabalho, estão sendo compelidos a se adaptarem aos novos tempos, os quais, diga-se de passagem, já não são tão novos, na medida em que a Lei Federal n. 11.419, que dispõe sobre a informatização do processo judicial, publicada em 19 de dezembro de 2006, já caminha para o seu décimo terceiro aniversário de existência.

É certo que a tecnologia avança com celeridade e por isto, de lá para cá, o sistema do Processo Judicial Eletrônico (PJe) instalado na Justiça do Trabalho, já sofreu várias modificações, demandando assim, a todos os operadores do Direito, a necessidade de constantes atualizações, não só em razão do direito propriamente dito, mas fundamentalmente das questões alusivas a tecnologia, pois essas, estão poderão influenciar diretamente no contexto da apresentação de documentos e até mesmo do conjunto probatório juntado aos autos, por qualquer uma das partes.

Sob essa ótica, em maio desse ano, o Conselho Superior da Justiça do Trabalho (CSJT), editou e aprovou 02 (duas) novas resoluções, quais sejam: a Resolução nº 242 – CSJT, que dispõe sobre a Política de Governança do Sistema Processo Judicial Eletrônico (PJe) instalado na Justiça do Trabalho e a Resolução nº 241 - CSJT que altera a Resolução CSJT nº185, de 24 de março de 2017, que dispõe sobre a padronização do uso, governança, infraestrutura e gestão do Sistema Processo Judicial Eletrônico (PJe) instalado na Justiça do Trabalho, ambas datadas de 31 de maio de 2019.

A edição das novas resoluções leva em consideração a necessidade de regulamentar e aperfeiçoar o funcionamento do sistema PJe instalado na Justiça do Trabalho, bem como a importância da definição de diretrizes nacionais na área de tecnologia da informação da Justiça do Trabalho de primeiro e segundo graus.

A Resolução nº 242/2019, dispõe sobre a Política de Governança do sistema Processo Judicial Eletrônico (PJe) na Justiça do Trabalho e tem por objetivo, assegurar e garantir que as modificações e melhorias no sistema sejam feitas de maneira planejada e coordenada, estabelecendo assim as diretrizes que devem ser seguidas pelos tribunais que queiram desenvolver novas funcionalidades, módulos ou satélites do PJe.

Já a Resolução nº 241/2019, por seu turno, está a modificar vários dispositivos da Resolução CSJT nº 185, que dispõe sobre a padronização do uso, governança, infraestrutura e gestão do Sistema Processo Judicial Eletrônico (PJe) instalado na Justiça do Trabalho.

Tais modificações alteram e influenciam diretamente o dia a dia do exercício profissional da Advocacia no sistema do PJe, principalmente no que pertine aos seguintes aspectos: (a)  cálculos judiciais, (b) gravação de audiências, (c) cadastro de assuntos, (d) peticionamentos avulsos, (e) preenchimento do campo descrição e (f) exclusão de documentos.

     Em breve síntese as principais modificações são as seguintes:

1)                 PETICIONAMENTO AVULSO (art. 5º, § 9º) - O peticionamento avulso deve ser utilizado somente por advogados que não tenham poderes nos autos para representar qualquer das partes, na forma do art. 107, inciso I, do CPC.

2)                DESCRIÇÃO (art. 13, § 2º) - O campo 'descrição' deve ser automaticamente preenchido pelo sistema com o mesmo nome do 'tipo de documento', mas é passível de edição pelo usuário. Quando o tipo de petição for “manifestação” ou quando o tipo de documento for “documento diverso”, o preenchimento do campo “descrição” deverá ser efetuado pelo usuário.

3)                EXCLUSÃO DE PETIÇÕES E DOCUMENTOS (art. 15) – as petições e os documentos que sejam enviados em desacordo com as normas previstas na Resolução Resolução CSJT nº 185/2019, poderão ser excluídos por expressa determinação do magistrado, com o registro respectivo, assinalando-se, se for o caso, novo prazo para apresentação da peça processual. Em se tratando de petição inicial, será observada a regra prevista no art. 321 e parágrafo único do CPC (prazo de 15 dias). Nesse particular, registre-se que o artigo 16º. da Resolução foi revogado. Esse dispositivo determinava que não ficassem visíveis os documentos juntados em desacordo com as regras estabelecidas.

4)                CADASTRAMENTO DE PESSOAS JURÍDICAS DE DIREITO PRIVADO (art. 17, § 4º) - O sistema deverá permitir o cadastramento de pessoas jurídicas de direito privado com status similar a “Procuradoria” no PJe, conforme regulamentação da Corregedoria-Geral da Justiça do Trabalho. Com a inclusão dessa modificação, passa a ser possível o envio de intimações via sistema e, ainda, possibilita que diversos advogados fiquem vinculados a um mesmo painel de acompanhamento de processos nos quais a pessoa jurídica seja parte.

5)                ASSINATURA DIGITAL (art. 18, parágrafo único) - Notificações iniciais e intimações poderão ser assinadas digitalmente pelo próprio sistema.

6)                CADASTRO DE ASSUNTOS (art. 19, § 2º) – Será de responsabilidade exclusiva do autor, cadastrar corretamente, todos os assuntos abordados na petição inicial, bem como indicar de forma correta e precisa a atividade econômica e a exercida pelo autor, conforme as opções disponibilizadas pelo próprio sistema.

7)                JUNTADA DE CÁLCULOS (art. 22, § 6º) - A partir de 1º de janeiro de 2020, quaisquer cálculos deverão obrigatoriamente ser juntados por meio do PJe-Calc, sendo vedado o uso de PDF ou HTML para essa finalidade.

8)               DEPOIMENTOS EM ÁUDIO E VÍDEO (art. 23, § 4º) - Os depoimentos gravados em áudio e vídeo deverão ser disponibilizados às partes, sem necessidade de transcrição. Nesses casos, caberá ao solicitante, fornecer a mídia Em caso de solicitação de fornecimento de cópia, a mídia deverá ser apresentada pelo próprio interessado.

9)                DEGRAVAÇÃO (art. 23, § 5º) - O magistrado poderá determinar aos servidores que estejam afetos a seu gabinete ou à secretaria que procedam à degravação.

10)           EXCLUSÃO DE DOCUMENTOS NÃO ASSINADOS OU PROTOCOLADOS (art. 35) - Todos os documentos inseridos no PJe que não forem assinados ou protocolados no prazo de 60 (sessenta) dias a partir de sua criação serão excluídos do Sistema.

Existem outras alterações que devem ser observadas pelos Advogados e Advogadas que se utilizam do sistema do Processo Judicial Eletrônico (PJe) instalado na Justiça do Trabalho, e, para tanto deixo a sugestão no sentido de procurem ler a Resolução nº 241/2019, que foi objeto de publicação no DEJT nº 2738 de 6 de junho de 2019, p.27.

Por fim, consigno que são alterações que tem por escopo, duas premissas, a necessidade de racionalização da utilização dos recursos orçamentários pelos Tribunais Regionais do Trabalho, bem como a necessidade de aperfeiçoamento do funcionamento do Sistema Processo Judicial Eletrônico instalado na Justiça do Trabalho. Excetuada a juntada de cálculos que deverá ser feita por meio do PJe-Calc, a partir de 01 de janeiro de 2020, as demais disposições e /ou alterações previstas na Resolução nº 241/2019, já devem ser observadas, pois o texto legal entrou em vigor na data da sua publicação.

Gilberto Marques Bruno

Advogado e Professor

Sócio Fundador de Marques Bruno Advogados Associados

(OAB/SP n.; 6.707)

Conselheiro da Associação Comercial de São Paulo (ACSP)

Conselheiro da Associação dos Advogados Trabalhistas de São Paulo (AATSP)

A responsabilidade objetiva das instituições financeiras em casos de fraudes em operações bancárias

FRAUDE EM SISTEMA ELETRÔNICO DE INSTITUIÇÃO FINANCEIRA É PASSÍVEL DE RESPONSABILIZAÇÃO E RESSARCIMENTO DE CORRENTISTA POR SE TRATAR DE RISCO INERENTE AO NEGÓCIO:

Em recente decisão proferida pela 9ª. Câmara Cível do Tribunal de Justiça do Rio Grande do Sul, os desembargadores gaúchos, entenderam por bem manter a condenação de uma instituição financeira ao ressarcimento de danos materiais a titulo de ressarcimento de uma cliente vítima de golpe.

Uma empresa de comunicação visual aforou ação sob o argumento de falha na segurança dos serviços de banco, depois de ter sua conta corrente invadida por criminosos virtuais, que conseguiram transferir a quantia de R$ 11.598,90 (onze mil, quinhentos e noventa e oito reais e noventa centavos).

Segundo as razões lançadas na inicial, uma pessoa que teria se identificado como preposta da instituição financeira telefonou e solicitou que a cliente acessasse sua conta por meio do computador com a finalidade de atualizar o sistema. Também registrou que não teria sido solicitado nenhum dado específico da conta ou da própria correntista (no caso a empresa) e nem tão pouco senhas de acesso. A única solicitação feita foi no sentido de que a autora confirmasse o código de oito dígitos que estaria sendo enviado por SMS para o seu telefone, por questões de segurança, o que evidentemente foi feito, diante da aparente licitude da operação.

Após a confirmação do código enviado por SMS, foram realizadas 06 (seis) operações fraudulentas, por meio de transferências eletrônicas disponíveis (TED’s), que partiram de outros computadores, para contas desconhecidas da autora da ação. E o mais interessante, foi o fato de que o próprio setor de segurança da instituição financeira teria detectado a fraude e no mesmo dia em que ocorreram as transferências, fez contato com a autora da ação para questionar a movimentação atípica e fazer o alerta do uso indevido da conta. O pedido da ação foi de condenação por danos morais e materiais, todavia, o juízo de primeiro grau, só fixou a condenação no sentido de que fossem ressarcidos os danos materiais, sem atribuir indenização na esfera extrapatrimonial. Em sede de apelação, a instituição financeira, sustentou que a autora da ação teria fornecido os dados da sua conta e que não teria demonstrado nos autos, os danos sofridos.

Em sede de julgamento, o relator do Acórdão, desembargador Eugênio Facchini Neto, afirmou que em se tratando de alegação de falhas no sistema operacional, em casos de home ou internet banking, cumpre à instituição financeira demonstrar que foi o próprio cliente que realizou as operações impugnadas ou questionadas e que não houve violação ou fraude em seu sistema. De acordo com o relator, o banco não se desincumbiu desse ônus. Igualmente asseverou que independentemente do fato ter feito o alerta para o cliente, ainda assim, sua conduta não teria o condão de eximir sua responsabilidade pelo evento danoso.

No seu voto, o desembargador relatou que hackers “clonaram” a página eletrônica do banco na rede mundial de computadores e, após obterem o acesso à sua rede de clientes, passaram a telefonar para pedir que eles procedessem a “atualização do sistema” em seus equipamentos domésticos. Sendo que nesses momentos, os criminosos captavam os dados e invadiam as contas. A instituição financeira não negou que a sua página eletrônica teria sido “clonada”, limitando-se apenas em sua tese, a afirmar que "a autora não logrou provar que a fraude cibernética tenha ocorrido no âmbito interno do banco", atribuindo-a a possível "vírus existente no computador da demandante". Ainda em seu voto, o relator registrou que o ônus probatório nesse caso, seria da instituição financeira no sentido de demonstrar e comprovar que não houve fraude no seu sistema interno, não sendo plausível que a autora da ação, fosse imposta essa incumbência. Em seu voto deixa claro o magistrado que:

..."Ou seja, por mais sofisticada que seja a fraude praticada por crackers (indivíduos que detém conhecimento suficiente para invadir sistemas, quebrar travas e senhas, roubar dados, etc) ou hackers, essas inserem-se nos riscos do empreendimento, sendo obrigação dos bancos garantir a segurança das operações realizadas em suas plataformas digitais disponibilizadas na internet, e não dos correntistas e consumidores em geral."... (texto no original – grifos e destaques nossos)

Salientando ainda, que o banco já tinha conhecimento desse tipo de fraude, sites clonados, bem como o modo de agir dos hackers e estelionatários. Ele afirmou que, por isso, já deveria ter questionado a autora antes de ter enviado código de segurança. Para o desembargador relator, uma simples ligação da gerência, ou do setor que apura fraudes tecnológicas, serviria para esclarecer os fatos. Serviria para esclarecer que o banco não estava solicitando qualquer atualização de sistema e que o código não seria necessário. Arrematando que: ..."Logo, não pode repassar para o cliente/consumidor os riscos de seu negócio, pois certamente teria muito mais condições técnicas de evitar esse tipo de fraude do que a autora."...

Ainda em sede de voto, ao cuidar da matéria de fundo, o magistrado fez menção ainda sobre a orientação do Superior Tribunal de Justiça, firmada na Súmula 479:

..."As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias."...

Por fim, o relator manteve os termos da condenação nos sentido de que a instituição bancária responda pelos danos materiais no valor do que foi retirado da conta indevidamente, ou seja, a quantia de R$ 11.598,90 (onze mil, quinhentos e noventa e oito reais e noventa centavos), sendo que os demais integrantes do órgão julgador seguiram o posicionamento do desembargador relator.

N’outras palavras, caminhou bem o desembargador na medida em que se posicionou no sentido de que, cabe às instituições financeiras o dever o de garantir a segurança das suas operações realizadas em suas plataformas digitais, ônus esse que não pode ser imputado aos correntistas e consumidores em geral. Da mesma maneira que os riscos inerentes à sua atividade, não poderia sob qualquer hipótese ou pretexto, ser repassado aos seus clientes/consumidores, já que, enquanto parte mais forte na relação, as instituições financeiras possuem muito mais condições técnicas de evitar que esse tipo de fraude venha a ocorrer. Não fossem tais aspectos, os quais, evidentemente já seriam suficientes para fixar os parâmetros da responsabilidade das instituições financeiras, ao esteio da orientação constante na Súmula n.: 479 do colendo Superior Tribunal de Justiça, danos gerados por fortuito interno, relativos a delitos e fraudes cometidas por terceiros no âmbito das operações bancárias, ensejam a responsabilidade objetiva das instituições financeiras. Logo, o caso em espécie, ao adequar-se simetricamente ao preceito sumular do Tribunal da Cidadania, impõe sem maiores questionamentos que a instituição financeira é responsável sim, em se tratando desse tipo de fraude, sendo lhe vedada a hipótese de repassar os ônus do risco do negócio para o seu cliente/consumidor.

Prevalece aqui o entendimento do Código de Defesa do Consumidor, quer seja, no tocante ao ônus da prova e a impossibilidade de inversão, bem como, do fato de ser o correntista da instituição financeira, a parte mais fraca na relação de consumo. Fica o registro.

Gilberto Marques Bruno

Advogado e Professor

Sócio fundador de Marques Bruno Advogados Associados

(OAB/SP n.: 6.707)

Provedor de internet tem obrigação de fornecer IP de usuário que invadiu e-mail

DEVER DOS PROVEDORES DE ACESSO EM ARMAZENAR DADOS DE USUÁRIOS E DE FORNECER O NÚMERO DO PROTOCOLO DE INTERNET SEGUNDO O STJ:

Muito se discute sobre o dever dos provedores de acesso a internet, de armazenarem dados dos seus usuários e até mesmo de fornecê-los, sob alegações de que estaria o fornecimento a caracterizar ato de violação de privacidade ou intimidade, o que é objeto de vedação pela Carta Constitucional brasileira. Particularmente, entendo que os dados não devem ser sonegados impondo-se assim, o dever do provedor de acesso em fornecê-los, notadamente para os seus próprios usuários em situações possam gerar a ocorrência de atos criminosos.

Recentemente, com sustentáculo em precedentes do próprio Tribunal da Cidadania, no sentido de que os provedores de acesso à Internet são responsáveis pela preservação dos dados cadastrais dos seus usuários, antes mesmo do início de vigência do Marco Civil da Internet (de 2014), a Terceira Turma do Superior Tribunal de Justiça rejeitou recurso especial  n.: 1785092, que foi interposto por provedor de acesso que fora condenado a fornecer informações sobre um usuário que no ano de 2009, invadiu o endereço eletrônico de um usuário e disparou mensagens ofensivas aos destinatários.

Em seus argumentos, o provedor alegou que teria iniciado o armazenamento dos dados vinte e três dias após a ocorrência dos fatos narrados na medida judicial contra si aforada, todavia, o colegiado entendeu que o dever de registro e armazenamento dessas informações já encontrava proteção legal no Código Civil de 2002.

A autora da ação de obrigação de fazer em suas razões disse que o “invasor” redigiu mensagens cujos conteúdos com ofensas e ameaças, foram enviados para outras pessoas a partir do seu endereço eletrônico (e-mail). O juízo de primeira instancia, determinou à empresa de telefonia, o fornecimento das informações para identificação do “invasor”, impondo a incidência de multa diária quantificada à razão de R$ 5.000,00 (cinco mil reais). O Tribunal de Justiça do Estado de São Paulo, reformou parcialmente a sentença, franqueando prazo de 48 horas para o adimplemento da obrigação e para reduzir a multa diária para R$ 1.000,00 (um mil reais).

Em sede de especial, a companhia telefônica aduziu razões no sentido de que, antes do ano de 2009, não armazenava informações de conexões à internet efetuadas a partir de redes móveis. Também argumentou que no lapso temporal da suposta invasão do endereço eletrônico, o IP (protocolo de internet), tinha atribuição dinâmica, o que vale dizer era um número único de registro, utilizado por vários usuários.

Conforme posicionamento da ministra Nancy Andrighi, a relatora do feito apontou que Superior Tribunal de Justiça, possui entendimento no sentido de que as prestadoras de serviços de internet, sujeitam-se ao dever legal de registro de suas atividades durante o prescricional de eventual ação de reparação civil, conforme disciplinado pelo artigo 1.194 do Código Civil brasileiro. Segundo o seu entendimento, os provedores têm o dever de armazenamento, e esses dados, devem ser suficientes para a identificação do usuário. Disse a ministra:

...“Dessa forma, com base nesses fundamentos, pode-se concluir que o provedor de acesso já possuía o dever de armazenar os dados cadastrais e os respectivos logs de seus usuários, para que estes pudessem ser identificados posteriormente, mesmo antes da publicação da Lei 12.965/2014, que instituiu o Marco Civil da Internet”...

Sobre o argumento de que o protocolo de internet dinâmico impediria a identificação do usuário, a relatora do feito mencionou precedentes da Terceira Turma, no sentido de que o número do IP foi projetado para ser único, de modo que, em cada acesso, ele corresponde a um único dispositivo conectado à rede.  E de forma precisa asseverou que:

...“Assim, mesmo com a utilização do IP dinâmico, ao se determinar o local e a hora de acesso, é possível a identificação do usuário.”...

Em outras palavras, ao discorrer sobre a alegação segundo a qual, por utilizar método de alocação de números IP de forma dinâmica, seria impossível determinar qual o usuário do serviço de conexão à internet em um determinado espaço e tempo, deixou claro que o Tribunal da Cidadania, já havia se pronunciado sobre o tema por ocasião do julgamento do REsp 1622483/SP (Terceira Turma, DJe 18/05/2018). Na ocasião, o relator ministro Sanseverino afirmou que:

...” Quanto a esse aspecto, o provedor recorrente sustentou que o IP seria dinâmico, ou seja, que não haveria um número único para cada usuário. Sustentou, também, que o armazenamento dos 'logs' dos usuários seria inviável (demasiadamente oneroso), em função do grande número de conexões que são continuamente realizadas. O Tribunal de origem superou essas questões técnicas sob o fundamento de que o armazenamento de tais dados seria "providência inerente ao risco do próprio negócio desenvolvido pelo provedor" (fl. 658). Quanto a esse ponto, o recurso especial encontra óbice na Súmula 7/STJ. Cabe esclarecer, contudo, que o IP dinâmico é aquele não atribuído privativamente a um único dispositivo (IP fixo), mas compartilhado por diversos usuários do provedor de acesso. No IP dinâmico, o usuário recebe um número de IP diferente a cada conexão. Com essa medida, otimiza-se a utilização dos números de IP, pois o IP que ficaria ocioso é aproveitado por outro usuário. De todo modo, seja dinâmico, seja fixo, o número de IP é projetado para ser unívoco, de modo que, num dado momento, a cada IP corresponde um único dispositivo conectado à rede. De outra parte, quanto aos custos do armazenamento dos logs dos usuários, correto o entendimento do Tribunal no sentido de que se trata de "providência inerente ao risco do próprio negócio", devendo a empresa suportar esse custo. A alegação de impossibilidade fática, portanto, não obsta o pedido de identificação do usuário. (Grifou-se)

E ao esteio do seu entendimento, salientou que mesmo com a utilização do IP dinâmico, ao se determinar o local e a hora de acesso, é possível a identificação do usuário, e, que inclusive, naquela oportunidade mencionou-se um julgado em que foi permitida a identificação do usuário, in verbis:

...”PENAL. PROCESSUAL PENAL. HABEAS CORPUS SUBSTITUTIVO DE RECURSO ESPECIAL, ORDINÁRIO OU DE REVISÃO CRIMINAL. NÃO CABIMENTO. DIVULGAÇÃO DE PORNOGRAFIA INFANTIL. INTERCEPTAÇÃO TELEMÁTICA. INCOMPETÊNCIA DO JUIZ QUE DECRETOU A MEDIDA CAUTELAR. NÃO RECONHECIMENTO. 1. Ressalvada pessoal compreensão diversa, uniformizou o Superior Tribunal de Justiça ser inadequado o writ em substituição a recursos especial e ordinário, ou de revisão criminal, admitindo-se, de ofício, a concessão da ordem ante a constatação de ilegalidade flagrante, abuso de poder ou teratologia. 2. Nos termos de precedente da Excelsa Corte, Quando a interceptação telefônica constituir medida cautelar preventiva, ainda no curso das investigações criminais, a mesma norma de competência há de ser entendida e aplicada com temperamentos, para não resultar em absurdos patentes.(HC 81260, Relator(a): Min. SEPÚLVEDA PERTENCE, Tribunal Pleno, julgado em 14/11/2001, DJ 19-04-2002 PP-00048 EMENT VOL-02065-03 PP-00570). 3. Na espécie, a operação deflagrada pela Polícia Federal visava identificar, em todo o território nacional, os indivíduos que estavam publicando material pedófilo na internet, motivo pelo qual entendeu-se que o Juízo da Capital Federal era o competente para a quebra do sigilo telemático. Em decorrência da referida medida foram descobertos os dados cadastrais dos usuários dos IP's investigados e a partir de então é que foram instaurados inquéritos policiais e as consequentes ações penais nos respectivos Estados. 4. Habeas corpus não conhecido.”... (HC 263.311/SP, Rel. Ministro NEFI CORDEIRO, SEXTA TURMA, julgado em 16/06/2016, DJe 28/06/2016)

Fulminando assim, as pretensões da companhia de telefônica de se eximir da responsabilidade e do dever de armazenamento de dados, mesmo porque, o armazenamento ainda que se revele em um custo e nem se alegue elevado, pertence ao negócio e aos riscos a ele inerentes, e, cumpre a empresa arcar com esse ônus.

Em sede de conclusão, da analise ainda que sucinta do voto da ministra Nancy Andrighi, tenho que o dever do provedor de acesso à internet de armazenar os dados, já encontrava previsão legal, antes mesmo do início de vigência do Marco Civil da Internet. Da mesma forma que tecnicamente, o fato de ser o protocolo de internet dinâmico, ou seja, aquele em que o usuário recebe um número diferente a cada conexão, não pode ser considerado uma forma de exclusão de responsabilidade para o armazenamento dos dados, notadamente pelo fato de que o número de IP (seja dinâmico, seja físico), é projetado para ser unívoco, na medida em que, em determinado momento, cada IP corresponderá em um único dispositivo conectado à rede, permitindo-se por via de consequência, identificar o dispositivo ao qual se encontra conectado e naturalmente o seu usuário, cujos dados deverão estar armazenados junto aos registros do prestador de serviços de conexão.

Portanto, no meu sentir, devem os provedores de acesso à internet, preservar os dados de seus usuários e se for o caso, fornecer os dados decorrentes de conexões aos usuários que por ventura sejam vitimas de atos fraudulentos com o caso que foi levado ao Tribunal da Cidadania, e, que a ilustre ministra Nancy Andrighi, com pertinácia exarou entendimento no sentido de que os dados devem ser armazenados e, particularmente, vou mais além, deverão ser fornecidos aos seus usuários em casos que possam evidenciar a ocorrência de crimes. Esse é o meu ponto de vista.

Gilberto Marques Bruno

Advogado e Professor

Sócio fundador de Marques Bruno Advogados Associados

(OAB/SP n.: 6.707)