Uber firma acordo de não-acusação penal por vazamento de dados

02 Set Uber firma acordo de não-acusação penal por vazamento de dados

Por Fabio Vieira e Gabriela Tchalian

Em outubro de 2016, a empresa de tecnologia Uber Technologies Inc. (“Uber”) sofreu um ataque hacker e teve dados pessoais de 57 (cinquenta e sete) milhões de usuários vazados. Do total, 50 (cinquenta) milhões dos afetados eram clientes e o restante eram motoristas.

Ocorre que o incidente foi revelado ao público e às autoridades pela companhia apenas em 21.11.2017.

Além disso, a Uber optou por pagar aos hackers US$ 100.000,00 (cem mil dólares), via criptomoedas, pelo silêncio e não utilização dos dados acessados.

Como resultado, os tribunais federais da Califórnia e São Francisco (Estados Unidos) ingressaram com respectivas ações coletivas contra a companhia.

Em tais processos, alegava-se que a Uber teria atuado com negligência, não seguindo os padrões de cuidado razoáveis e sem as salvaguardas administrativas e técnicas necessárias.

À época, o CEO da Uber, Sr. Dara Khosrowshahi, que ocupava o cargo há poucos meses, confirmou o fato por meio de nota e afirmou que o caso não “deveria ter acontecido”.

Não foi divulgada a nacionalidade específica de todos os usuários afetados. Entretanto, havia dados pessoais de mais de 150 (cento e cinquenta) mil brasileiros.

Os brasileiros foram notificados do vazamento através de e-mails enviados em 2018. Na mensagem, a Uber se desculpou aos usuários e informou que os dados vazados incluíam nome, e-mail, telefone celular e códigos internos de identificação, nenhum dos quais seria hoje classificado como dado pessoal sensível. Acrescentou que “especialistas externos não identificaram nenhum indício de download de históricos de locais de viagens, números de cartões de crédito, números de contas bancárias ou datas de nascimento”.

Há relatos de que alguns números de carteiras de habilitação também tenham sido vazados, embora essa categoria de dados não incluísse os usuários brasileiros.

Vale lembrar que a Lei Geral de Proteção de Dados (“LGPD”) entrou em vigor no Brasil apenas em 2020, mais de 3 (três) anos após o incidente. Ainda assim, a companhia foi investigada pela Comissão de Proteção dos Dados Pessoais do Ministério Público do Distrito Federal e Territórios (“Comissão”).

A investigação terminou em um acordo entre a Uber e a Comissão firmado em 4.4.2018. Embora não tenha sido integralmente divulgado na mídia, um dos termos do acordo era a comunicação aos titulares brasileiros que tiveram suas informações atingidas pelo vazamento. O envio do e-mail acima mencionado pela Uber satisfez a exigência.

O vazamento e a conduta subsequente da companhia levaram também ao pagamento de multas na França, Holanda e Reino Unido, além de todos os estados dos Estados Unidos.

No dia 22.7.2022, quase 6 (seis) anos após o vazamento, a Uber firmou acordo com os promotores estadunidenses, aceitando a responsabilidade por encobrir o vazamento.

Com o acordo, a Uber (i) admitiu não ter comunicado a Comissão Federal de Comércio (“FTC”); (ii) concordou em cooperar com a acusação contra seu ex-diretor de segurança, acusado em 2020 de ter ocultado o vazamento e pago os invasores pelo silêncio; e (iii) concordou em manter programa de privacidade firmado em 2018 com a FTC pelo prazo de 20 (vinte) anos.

Em troca, a Uber não será criminalmente acusada por acobertar o vazamento.

Apesar de ser uma das gigantes tecnológicas da atualidade e ter apresentado um serviço inovador, a companhia não deixou de sofrer abalo reputacional.

O caso da Uber lembra ainda a recente restrição imposta ao aplicativo de caronas Didi, o mais popular da modalidade na China.

O aplicativo Didi foi proibido de receber novos usuários por quase um ano por violações de proteção de dados, após ser avaliado pelo órgão de Administração de Espaço Cibernético da China, sob a alegação que estaria utilizando e coletando dados pessoais de usuários inapropriadamente.

Uma sanção semelhante – suspensão das atividades ou proibição de captar novos usuários – não seria impensável no Brasil caso uma violação como a da Uber se repetisse. Isso porque o artigo 52, XI e XII, da LGPD inclui como potenciais sanções a suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração por até 6 (seis) meses, prorrogável por igual período, e a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Este material tem caráter meramente informativo e não deve ser utilizado isoladamente para a tomada de decisões. Aconselhamento legal específico poderá ser prestado por um dos nossos advogados. Direitos autorais são reservados ao Kestener & Vieira Advogados.