O Baguete, na tarde de ontem, deu o furo: uma falha no portal da Anatel permitia que, qualquer um, tivesse acesso aos de qualquer pessoa que tivesse cadastrado alguma reclamação no site -- incluindo aí o endereço completo, e-mail, número de CPF e os detalhes específicos do problema.
O buraco na segurança do site não apenas pode ter feito a alegria de spammers de todo o mundo: com as informações divulgadas, qualquer um podia acessar e alterar o conteúdo das reclamações feitas por outros usuários, uma vez que o login e a senha para fazê-lo era uma combinação de alguns dos dados cadastrais indevidamente divulgados.
Mas que tipo de conseqüências jurídicas pode ter um deslize desses? Diversas, envolvendo inclusive possibilidades que podem atender os interesses diretos dos usuários afetados pela falha: você, querido leitor.
No fim das contas, todo dano causado a alguém por outra pessoa deve ser reparado, normalmente com uma indenização, na forma regulamentada pela lei. É a famosa responsabilidade civil, instituto do Direito que determina a existência do dever de indenizar, ou não, em um caso concreto.
Assim, para que exista dever de indenizar, três são, basicamente, os requisitos que devem ser preenchidos: [1] a existência de uma determinada conduta por parte daquele contra quem se busca a indenização, [2] de dano, sofrido por quem a persegue, e [3] de nexo de causalidade entre um e outro.
É de se ver, inclusive, que em face da natureza jurídica da agência (é uma autarquia federal), não existe a necessidade, por força de regra constitucional, de que se prove (ou se analise) que ela agiu com culpa -- configurados os três requisitos, existirá o dever de indenizar independentemente de que se demonstre que a Anatel agiu negligentemente ou dolosamente (o que, normalmente, também seria um requisito de responsabilização).
O primeiro e o terceiro requisito, neste caso, são os mais claros: a conduta é óbvia (e consiste em falha na prestação de serviço público), assim como a sua ligação com eventual dano.
Mas qual seria o dano que o usuário sofreu? Podemos falar, simplificadamente, que existem dois "tipos" de dano: material e moral. O dano material é aquele que causa prejuízo patrimonial à pessoa, com a diminuição de seu sua renda ou de outro fator quantificável.
Seria o caso, por exemplo, se algum mal-intencionado, utilizando a base de dados da Anatel, contraísse dívidas em nome de terceiro – buscar a indenização contra a agência, neste caso, seria mais fácil do que processar o desconhecido estelionatário.
Difícil seria demonstrar o nexo causal: provar que os dados usados foram de fato obtidos através da falha de segurança seria uma tarefa quase impossível, o que dificultaria o sucesso de eventual ação judicial.
Resta o dano moral, que pode ser definido como o prejuízo que afeta o ânimo da pessoa. A privacidade, no final das contas, é um direito constitucional, e um atributo da personalidade -- o que significa, a princípio, que, caso ela seja ofendida, o prejudicado não precisa sequer comprovar que efetivamente chorou por dias em face do ocorrido (é o chamado dano moral in re ipsa, aquele que decorre da simples existência do fato, independentemente de que se comprove a efetiva ocorrência do abalo moral, que é presumido).
É a mesma lógica que leva à condenação para indenizar, por exemplo, uma ferida que deixe uma cicatriz: a aparência física também é um direito da personalidade, como a privacidade, e a sua deturpação deve ser indenizada.
De fato, o direito à privacidade é tão importante que a própria Anatel não vacilou em impor aos provedores de acesso e de “serviço de comunicação multimídia” o dever de por ela zelar, inclusive no momento da utilização dos dados pessoais do usuário (conforme expressamente previsto no art. 59 do anexo à resolução 272/01 [1]), e ao seu Conselho Consultivo a competência para opinar, perante o Ministério das Comunicações, sobre medidas de defesa da privacidade dos usuários (conforme o Regimento Interno do Conselho Consultivo [2]). Sinta-se livre para buscar, dentro do gênero “quem tem telhado de vidro...”, o seu ditado popular favorito e usar aqui.
Assim, e em tese, se poderia buscar a condenação da Anatel ao pagamento de indenização por danos morais, pela falha de segurança de sua base de dados, com este fundamento: a privacidade é direito da personalidade cuja violação gera dano moral in re ipsa.
É claro que o resultado final, tratando-se de Direito, nunca pode ser garantido. Não estamos falando de uma ciência exata, no final das contas, e não existe qualquer decisão anterior sobre uma eventual condenação por danos morais por vazamento de dados cadastrais para colocar a tese a prova -- não que eu tenha encontrado, pelo menos.
De qualquer forma, se você, usuário prejudicado, estiver disposto a tentar, fica a dica: procure um advogado ou o Juizado Especial Federal (por ser uma autarquia federal, um processo contra a Anatel não pode tramitar na Justiça Estadual) mais próximo de sua casa e boa sorte!
* Vicente F. Renner é advogado e está sempre de olho nas tramóias da Rede.
O Baguete, na tarde de ontem, deu o furo: uma falha no portal da Anatel permitia que, qualquer um, tivesse acesso aos de qualquer pessoa que tivesse cadastrado alguma reclamação no site -- incluindo aí o endereço completo, e-mail, número de CPF e os detalhes específicos do problema.
Links:
[1] http://www.anatel.gov.br/Portal/documentos/biblioteca/resolucao/2001/anexo_res_272_2001.pdf?numeroPublicacao=28436&assuntoPublicacao=Regulamento%20do%20Servi%E7o%20de%20Comunica%E7%E3o%20Multim%EDdia&caminhoRel=Cidadao-Internet-Apresenta%E7%E3o
[2] http://www.anatel.gov.br/Portal/documentos/conheca_anatel/apresentacao/regimento_interno_cc.pdf?numeroPublicacao=52579&assuntoPublicacao=Regimento%20interno%20do%20Conselho%20Consultivo&caminhoRel=Cidadao