O Instituto Brasileiro de Defesa da Proteção de Dados Pessoais, Compliance e Segurança da Informação (SIGILO) ajuizou uma Ação Civil Pública com pedido de indenização por perdas e danos morais e materiais contra o Governo do Estado do Paraná, CELEPAR Companhia de Tecnologia de Informação e Comunicação do Paraná, ALGAR TELECOM S.A. e a Autoridade Nacional de Proteção de Dados Pessoais (ANPD). A ação se fundamenta na Constituição Federal de 1988, na Lei Geral de Proteção de Dados (LGPD), no Código de Defesa do Consumidor e no Marco Civil da Internet.
O Incidente de Vazamento de Dados
O cerne da ação é um “gigante vazamento de dados” que ocorreu em 24 de setembro de 2022. Segundo o Instituto SIGILO, mais de 324.818 mil mensagens SMS foram disparadas em massa, incitando votos para o então presidente da República, tendo como origem o governo do PARANÁ e os dados atribuídos à ALGAR, por meio de serviços contratados pela CELEPAR.
A CELEPAR reportou o incidente em um Boletim de Ocorrência, conforme notícia da Gazeta do Povo. A ALGAR, por sua vez, iniciou uma investigação interna e constatou que o vazamento foi realizado por um funcionário da empresa6. A conta utilizada para o envio das mensagens foi identificada como “presidente_Bolsonaro_mais_uma_vez”, e os disparos ocorreram nos dias 21 e 24 de setembro de 20227.
O Instituto SIGILO alega que o incidente permitiu acesso indevido a dados pessoais de cidadãos do Paraná, incluindo endereço residencial, dados de compra, CPF e cartão de crédito, fora das finalidades propostas. A ALGAR teria identificado a origem dos disparos pró-Bolsonaro, que teriam sido enviados por meio de números de serviços digitais do Estado. Após essa confirmação, o Tribunal Superior Eleitoral (TSE) estipulou um prazo de 24 horas para que ALGAR e CELEPAR prestassem informações sobre o caso, porém, nada foi divulgado ou resultou na identificação da origem e dos motivos do vazamento.
Influência no Pleito Eleitoral e Consequências
O documento ressalta que, embora não se afirme que os envios em massa de SMS foram decisivos, eles influenciaram muitos votos a favor da reeleição do então presidente e do governador do Paraná. O Instituto SIGILO argumenta que a manipulação de dados dos cidadãos, fora dos limites da LGPD, Lei de Acesso à Informação e Marco Civil da Internet, é um fato gravíssimo que pode influenciar decisões, desequilibrar pleitos eleitorais e o rumo da sociedade, afetando a livre convicção política dos cidadãos.
O Instituto SIGILO expressa preocupação com a repetição de tais práticas, a falta de garantias das rés sobre a impossibilidade de novos incidentes, a extensão dos dados acessados pelos invasores e se os dados foram eliminados dos sistemas da ALGAR.
Respostas das Empresas e Omissão da ANPD
A ALGAR Telecom admitiu o vazamento de parte da base de dados, mas repudiou a conduta e informou que está adotando medidas para identificar os envolvidos e comunicar as autoridades competentes. A empresa reiterou seu compromisso com os valores democráticos, a segurança da informação e a proteção dos dados de seus clientes, funcionários e da própria empresa, reforçando que não teve participação no ocorrido.
A CELEPAR também admitiu o vazamento, mas afirmou não ser responsável pelos serviços contratados em nome do Estado do Paraná. A empresa explicou que agiu para interromper o envio das mensagens e comunicou o fato às autoridades, e que, após análise de registros internos, não houve acesso à plataforma da ALGAR Soluções em TIC S/A a partir da rede da Celepar nas datas e horas dos disparos.
Contudo, o Instituto SIGILO argumenta que, mesmo sem admitir a falha, a CELEPAR é responsável pelos dados que forneceu à ALGAR, e que o contato com os titulares fora das finalidades do contrato configura uso indevido de dados, gerando a responsabilização de todos os agentes de tratamento.
O Instituto SIGILO destaca que, até o momento, as empresas e o governo do Estado do Paraná não apresentaram explicações sobre como os dados foram acessados, quais dados foram levados, os mecanismos de segurança aplicados e as medidas de mitigação de riscos. Além disso, o Instituto SIGILO afirma que as empresas não possuem um Encarregado de Dados Pessoais (EPD) nomeado e designado em seus sites, conforme exigido pela LGPD.
A ação também aponta uma “gravíssima omissão” da ANPD, que, segundo o documento, não autuou ou se manifestou sobre o vazamento, o que colocaria os titulares de dados em situação de hipervulnerabilidade. O Instituto SIGILO argumenta que a ANPD possui como atribuição fundamental a fiscalização da LGPD e que sua inoperância diante de uma violação sem precedentes é inconcebível.
Pedidos do Instituto SIGILO
Diante dos fatos, o Instituto SIGILO requer, liminarmente:
Que as rés comuniquem a todos os titulares paranaenses com dados expostos sobre o incidente, por meio de cartas com aviso de recebimento (AR), sob pena de multa diária de R$ 10.000,00.
Que as rés divulguem, em 48 horas, em suas redes e mídias de comunicação, os incidentes de segurança da informação ocorridos e os planos para solucionar os riscos aos seus titulares, conforme o art. 48 da LGPD, sob pena de multa diária de R$ 10.000,00.
A aplicação de indenização por danos materiais, morais e sociais.
A imposição liminar à ANPD para que realize uma auditoria sobre o vazamento e comunique a todos os titulares sobre o ocorrido, sob pena de multa diária de R$ 10.000,00.
Nos pedidos principais, requer o Instituto SIGILO a condenação definitiva das empresas e do governo do Paraná ao pagamento de R$ 15.000,00 (quinze mil reais) a cada titular que teve o seu dado vazado, bem como a fixação dos danos sociais causados em R$ 500.000.000,00 (quinhentos milhões de reais).
A ação enfatiza que o vazamento de dados é “catastrófico” e que a falha na segurança da informação pode ocasionar inúmeras fraudes, eleitorais ou não. O documento também cita o caso da Equifax nos Estados Unidos, onde um vazamento de dados resultou em um acordo de cerca de 700 milhões de dólares.
