Questões de Segurança, Boas Práticas e Fiscalização (Direito Digital)

Ana teve seus dados não sensíveis vazados após uma falha de segurança no sistema de uma loja online em que realizou uma compra. Preocupada, ela procurou a Defensoria Pública para orientação. Considerando a jurisprudência do STJ e a Lei Geral de Proteção de Dados (LGPD), assinale a alternativa correta.

A loja online somente se responsabiliza por danos materiais comprovadamente decorrentes do vazamento dos dados, não havendo que se falar em indenização por danos morais em caso de vazamento de dados não sensíveis.

A responsabilidade da loja online depende da comprovação de culpa pela falha de segurança, sendo necessário demonstrar que agiu com negligência, imprudência ou imperícia na proteção dos dados.

O vazamento de dados não sensíveis não enseja a aplicação da LGPD, pois a lei se destina à proteção de dados sensíveis, como informações sobre saúde, religião e orientação sexual.

A loja online, mesmo diante de ataque hacker, não tem o dever de indenizar Ana por danos morais, pois ela deve comprovar ter sofrido danos materiais decorrentes do vazamento de seus dados.

A loja online possui responsabilidade proativa pela segurança dos dados dos seus clientes e deve adotar medidas de proteção adequadas para evitar vazamentos, independentemente da causa, garantindo os direitos dos titulares dos dados sensíveis e não sensíveis.

Sob a Lei Geral de Proteção de Dados Pessoais (LGPD), assinale a alternativa que apresenta o procedimento que deve ser realizado quando há um vazamento de dados que possa acarretar risco ou dano relevante aos titulares.

Notificar o titular dos dados sobre o vazamento imediatamente

Avaliar internamente o impacto do vazamento antes de qualquer notificação

Comunicar à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados sem demora

Limitar-se a comunicar o vazamento apenas aos órgãos reguladores, sem notificar os titulares

A Lei nº 13.709, de 14 de agosto de 2018, denominada Lei Geral de Proteção de Dados (LGPD), dispõe sobre o tratamento de dados pessoais com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. A respeito dessa lei, analise as afirmativas a seguir e dê valores Verdadeiro (V) ou Falso (F).
( ) A supremacia do interesse público é um dos fundamentos que disciplina a proteção de dados pessoais.
( ) A Lei Geral de Proteção de Dados se aplica ao tratamento de dados pessoais realizado por pessoa natural para fins exclusivamente particulares e não econômicos.
( ) Para os fins da Lei Geral de Proteção de Dados, considera-se controlador a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
( ) O juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa.
( ) Os agentes de tratamento só não serão responsabilizados quando provarem, entre outros, que não realizaram o tratamento de dados pessoais que lhes é atribuído.
Assinale a alternativa que apresenta a sequência correta de cima para baixo.

A sociedade empresária Alfa, que vende eletrodomésticos, coletou dados pessoais dos consumidores dos seus produtos, com a alegação de que formaria cadastro. Embora não tivesse autorização desses consumidores, Alfa contratou a sociedade empresária Beta para que, com fins econômicos, procedesse à avaliação e à classificação desses dados, de modo a transmiti-los, em momento futuro, às demais sociedades empresárias que integravam o mesmo grupo econômico de Alfa. Em razão do ocorrido, uma associação de proteção aos consumidores informou que solicitaria à autoridade nacional a punição de Alfa e Beta, que, até então, jamais tinham infringido a Lei Geral de Proteção de Dados Pessoais.

À luz dessa narrativa, é correto afirmar que:

apenas a sociedade empresária classificada como agente de tratamento de dados pode ser responsabilizada da forma alvitrada, sendo cabível a sanção de suspensão do exercício da atividade de tratamento de dados pessoais a que se refere a infração pelo período máximo legal, não sendo cabível a aplicação de outras sanções administrativas;

tanto a controladora como a operadora podem ser responsabilizadas da forma alvitrada, sendo cabíveis as sanções de eliminação dos dados pessoais e suspensão parcial do funcionamento do banco de dados, a que se referem a infração, pelo período máximo legal, bem como a aplicação das sanções da Lei nº 8.078/1990;

apenas a sociedade empresária classificada como controladora pode ser responsabilizada da forma alvitrada, sendo cabível a sanção de proibição total ou parcial do exercício de atividades relacionadas a tratamento de dados, não sendo possível a aplicação das sanções da Lei nº 8.078/1990;

tanto a controladora como a operadora podem ser responsabilizadas da forma alvitrada, não sendo cabível a sanção de suspensão parcial do funcionamento do banco de dados, a que se refere a infração, sendo possível a aplicação das sanções da Lei nº 8.078/1990;

tanto a controladora como a operadora podem ser responsabilizadas da forma alvitrada, sendo cabíveis apenas as sanções de advertência e multa, sem prejuízo das demais sanções administrativas, cíveis e penais cabíveis na espécie.

Considere as seguintes sanções administrativas:

I. advertência.

II. multa simples.

III. multa diária.

IV. publicização da infração após devidamente apurada e confirmada a sua ocorrência.

V. bloqueio dos dados pessoais a que se refere a infração até a sua regularização.

VI. eliminação dos dados pessoais a que se refere a infração.

VII. suspensão parcial do funcionamento do banco de dados a que se refere a infração.

VIII. suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração.

IX. proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Nos termos da Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018, no que concerne às sanções administrativas a que se sujeitam os agentes de tratamento de dados, é correto afirmar que

a condição econômica do infrator não é parâmetro nem critério para a aplicação das sanções constantes dos itens II e III.

as sanções constantes dos itens VII e VIII estão limitadas pelo período máximo de seis meses, improrrogável.

as multas simples e diárias estão limitadas no total, a cinquenta milhões de reais, consideradas todas as infrações.

as sanções previstas nos itens II, III, IV, V e VI somente podem ser aplicadas após já ter sido imposta ao menos uma das sanções de que tratam os itens VII, VIII e IX.

as sanções previstas nos itens I, IV, V, VI, VII, VIII e IX poderão ser aplicadas às entidades e aos órgãos públicos.