INSS é condenado a indenizar segurada por vazamento de dados

A Justiça condenou o Instituto Nacional do Seguro Social (INSS) a pagar uma indenização de R$ 2,5 mil em danos morais a uma moradora de Marília, em São Paulo, pelo repasse indevido de seus dados a bancos. Suas informações, segundo consta no processo revelado pelo UOL, foram usadas por instituições financeiras para a oferta de serviços e empréstimos por meio de várias ligações de telemarketing.

De acordo com a decisão do Tribunal Regional Federal da 3ª Região (TRF-3), o INSS e a Dataprev (Empresa de Tecnologia e Informações da Previdência) vazaram dados da segurada sem o devido consentimento e descumpriram as regras da Lei Geral de Proteção de Dados (LGPD), legislação que obriga empresas e governos a resguardar a privacidade de informações pessoais.

A decisão ainda cabe recurso. No processo, ambos os órgãos públicos disseram que a situação apresentada pela mulher é casual e que não podem ser responsabilizados pelos contatos por bancos.

Mas, segundo a juíza relatora do caso, Janaína Gomes, "caberia ao INSS implementar medidas administrativas tendentes a evitar a violação dos dados pessoais sob sua tutela, o que, como se sabe, não vem ocorrendo, haja vista o fácil acesso às informações sigilosas dos beneficiários pelas instituições financeiras".

A decisão de condenar o órgão está embasada no artigo 42 da LGPD, que obriga que o controlador ou operador das informações a indenizar a pessoa prejudicada.

Segundo Jean Marc Sasson, da área de Regulação e Novas tecnologias do Lima Feigelson Advogados, uma penalidade assim poderia ser evitada se os titulares de dados pessoais fossem informados em relação a utilização dos seus dados para finalidade distinta da informada inicialmente, ou se fosse solicitado novo consentimento, sendo essa a base legal de utilização.

— Quando da classificação da utilização dos dados pessoais, as hipóteses legais para uso de cada dado pessoal deverão ser devidamente alocadas e, as finalidades previamente definidas, informadas de forma clara e específica ao titular dos dados pessoais. Caso surja nova finalidade, a Política de Privacidade e/ou Termos de Uso deverão ser atualizadas, além de solicitado novo consentimento do titular caso necessário, de forma a possibilitar ao titular oposição a nova finalidade informada — explica.

O caso

A juíza-relatora do caso elenca uma série de provas apresentadas pela mulher sobre a perturbação de sossego por parte das empresas.

Em 7 de junho de 2021, o benefício de pensão por morte pago pelo INSS foi concedido à mulher. Poucos dias depois, diferentes instituições financeiras passaram a entrar em contato por ligações de telemarketing e mensagens via SMS e WhatsApp com ofertas diárias de serviços.

Em 11 gravações de contatos telefônicos recebidos pela mulher, são citados bancos, instituições financeiras de crédito e operadores de cartão de crédito. Todas as ofertas são de empréstimo consignado ou cartão de crédito.

Em um dos áudios, a pessoa que faz a ligação se identifica como correspondente bancária autorizada de um banco, e que está entrando em contato referente à concessão da pensão por morte liberada, ofertando um valor para crédito consignado.

Em outro áudio, a mulher chega a mencionar que a sua pensão é de apenas R$ 1 mil, mas a pessoa no outro lado da linha diz que no sistema consta "um pouco mais".

Já numa terceira gravação, a profissional do outro lado da linha tenta convencer a mulher informando "taxa de juros reduzida, com crédito liberado no mesmo dia para aposentado ou pensionista do INSS."

Além das ligações, a mulher apresentou "numerosas mensagens recebidas via SMS" a partir de 17 de junho, apenas dez dias depois da concessão do benefício. Em uma delas, diz que o contato se dá "por conta do recebimento do seu novo benefício".

Por WhatsApp, os contatos iniciaram 15 dias depois, em 30 de junho. Numa das mensagens, a empresa diz que é da central de atendimento do INSS, com oferta de crédito consignado "exclusivo para o seu benefício do INSS".

Para a juíza, a situação com a beneficiária demonstra, por parte do INSS, "uma ausência de controle e segurança em seu banco de dados, afrontando o direito à privacidade dos seus beneficiários".

"Por fim, tal incessante transtorno ocorreu por volta de 15 dias, ao menos, é o que está demonstrado nos autos, e em um momento difícil em sua vida, haja vista a perda recente do marido e o tratamento médico a que estava sendo submetida", acrescenta.

"O dano moral restou caracterizado. As abordagens sofridas pela autora em muito superaram a normalidade. Ademais, o fato de dados sobre sua vida patrimonial terem sido compartilhados irregularmente também lesam sua própria segurança", finaliza.

'Como conseguem os dados?'

Para o advogado Guilherme Portanova, da Federação das Associações de Aposentados do Estado do Rio de Janeiro (Faaperj) a sentença é rara, mas foi acertada.

— Esses vazamentos saem do próprio INSS, clientes que têm seu benefício concedido, sabem antes do advogado do processo, pois o banco liga oferecendo empréstimo sem ele nem saber que ganhou o benefício. Isso sempre existiu e nunca vai mudar pois, como disse, beneficia os bancos e empresas de consignados — adverte Portanova.

Para a advogada Adriane Bramante, presidente do Instituto Brasileiro de Direito Previdenciário (IBDP), mais ações no sentido de barrar o vazamento de dados e o assédio de instituições deveriam acontecer.

— Está insuportável o assédio das financeiras atrás dos aposentados e pensionistas. O acesso é total. Eles sabem os dados pessoais e ligam insistentemente — avalia Adriane.

— É importante que o segurado bloqueie o empréstimo consignado no sistema do Meu INSS para evitar dissabor ou surpresas indesejáveis — acrescenta.

Adriane explica que a aposentadoria vem bloqueada, mas após 90 dias pode ser desbloqueada para empréstimos. O segurado então tem que ir no sistema e pedir para bloquear novamente.

A advogada Jeanne Vargas, do escritório Vargas Farias Advocacia questiona:

— Como essas instituições tiveram acesso às informações pessoais? Como souberam da concessão antes do beneficiário?

— Quando o INSS concede um benefício, primeiro o segurado é comunicado da concessão e depois é gerada a carta de concessão. Nesta carta é informado o banco ou instituição financeira conveniada onde será o local de pagamento. O primeiro pagamento em regra é feito no banco escolhido pelo INSS para depois, caso o beneficiário queira, levar o benefício para o banco de sua escolha — explica Jeanne.

Segundo ela, é assustadora a quantidade de instituições financeiras, além daquela que fará o primeiro pagamento, que descobrem que aquela pessoa passará a receber um benefício do INSS. Isso, acrescenta, tem gerado inclusive a liberação de inúmeros empréstimos sem a concordância do beneficiário, cabendo nestes casos avaliar uma ação judicial indenizatória contra a instituição financeira que liberou o empréstimo fraudulento e até mesmo contra o INSS e o Dataprev por vazamento de informações pessoais sem o consentimento do beneficiário.

— A pessoa que não tem interesse no empréstimo consignado pode, assim que souber da concessão do benefício, bloquear o empréstimo no site Meu INSS, diminuindo assim as chances de passar por uma fraude e ser descontado mensalmente de um empréstimo não autorizado. No menu principal, o segurado do INSS busca pelo serviço "bloqueio/desbloqueio de benefício para empréstimo" — orienta Jeanne.

Guardar prova dos contatos

— A condenação do INSS, nesse caso, mostra-se acertada. Isso porque, o INSS, através de seu banco de dados é responsável pelas informações e dados dos segurados, sejam aposentados ou pensionistas — avalia o advogado Rodolfo Ramer, mestre em Direito Previdenciário pela PUC/SP, e sócio Ramer Advogados.

— Para que essas pessoas se protejam é importante que assim que seu benefício for concedido, elas imediatamente peçam o bloqueio para empréstimo e se ainda assim forem incomodadas com ligações, SMS, devem guardar provas desses contatos, para que busquem, caso entendam correto, uma indenização na Justiça, a fim de que o INSS respeite a LGPD, em especial o artigo 42 — afirma Ramer.

E finaliza: — Considerando que o INSS é o responsável pelo tratamento dos dados e é o guardião das informações, deve, com base na Lei, manter a privacidade das pessoas, sob pena de ser punido, como no caso. Assim, como orientação é importante que se guarde, todas as tentativas de contato, os próprios contatos, se possível grave a conversa realizada, para que no caso de uma ação judicial o juiz tenha elementos para decidir com segurança sobre o dano moral sofrido.