13 de março de 2024
13 de março de 2024

Tribunal eleva o nível das reivindicações de violação de dados - Farley v Paymaster

Ashley Morgan
Ashley Morgan

Uma sentença no processo Farley v Paymaster estabeleceu que, se uma violação de dados resultar no envio de informações pessoais para os destinatários errados, os requerentes precisarão demonstrar que esses destinatários devem ter aberto a carta para ter uma boa reivindicação.

Farley v Paymaster

Mais de 450 policiais atuais e antigos da Sussex Police entraram com uma ação contra seu administrador de pensões. Isso ocorreu depois que o administrador enviou extratos de pensão para endereços desatualizados.

Os extratos de pensão continham detalhes pessoais, incluindo endereços e informações financeiras, como salários.

Os policiais apresentaram pedidos de indenização por uso indevido de informações privadas (MPI) e violações das normas de proteção de dados. Os pedidos de indenização foram baseados em danos não materiais, tais como:

  • ansiedade
  • alarme
  • angústia
  • constrangimento

Os danos teriam sido sofridos devido à perda de controle sobre seus dados, ou porque seus dados poderiam ter sido transmitidos a terceiros desconhecidos, expondo-os ao risco de fraude.

Ação positiva

O juiz do caso Farley v Paymaster concluiu que as reivindicações de MPI exigem que uma ação positiva tenha sido tomada. Isso pode não ser intencional, mas o simples fato de ter tomado medidas inadequadas para proteger as informações não seria suficiente.

Nesse caso, se os extratos de pensão tivessem sido abertos e lidos por terceiros, isso equivaleria à publicação ou divulgação das informações pessoais pelo administrador da pensão, o que seria um uso indevido passível de ação. Se isso não tivesse acontecido, então a reivindicação seria de que as informações pessoais tivessem sido colocadas "em risco" ou "em perigo". O evento seria essencialmente um "quase acidente", que não é passível de ação por ato ilícito na Inglaterra.

O fato de os extratos de pensão terem ou não sido abertos e lidos também foi fundamental para a reivindicação de proteção de dados. Isso ocorreu porque uma parte não pode reivindicar a mera "perda de controle", conforme estabelecido em Lloyd v Google.

Os requerentes precisariam de provas de que a carta de declaração de pensão foi aberta e lida para demonstrar a prova do dano.

Ônus da prova

Os requerentes só conseguiram apontar 14 casos em que os extratos de pensão foram abertos. Nesses casos, a maioria foi aberta por membros da família que ainda moravam nos endereços antigos.

Em outros casos, o tribunal não estava preparado para inferir que a postagem havia sido lida por um terceiro apenas porque havia sido enviada para o endereço errado. Fazer isso inverteria o ônus da prova.

Isso significa que todas as reivindicações foram indeferidas por meio de julgamento sumário. Isso exclui as 14 reivindicações que foram autorizadas a prosseguir devido às sérias preocupações do juiz sobre como elas poderiam ser resolvidas proporcionalmente, já que o nível das indenizações era de cerca de £1000-2000 por pessoa.

O tribunal também considerou se as reivindicações de proteção de dados estão sujeitas a um teste de "seriedade". Em casos anteriores, foi considerado que os requerentes precisam estabelecer um nível mínimo de seriedade para obter êxito em uma reivindicação de MPI, mas o ponto não foi decidido em relação às reivindicações de proteção de dados.

Como o juiz do caso Farley v Paymaster estava preparado para rejeitar a reivindicação com base em outros fundamentos, esse não era um ponto que ele precisava decidir, portanto, ele se recusou a fazê-lo. Seria preferível decidir a questão após um julgamento completo, com o benefício das provas.

"Rejeito a alegação de que esses Requerentes podem apresentar uma reivindicação com base no fato de que, até serem devolvidas, suas informações/dados pessoais estavam "em perigo" ou "em risco". A lei geral de responsabilidade civil não permite, em geral, a recuperação pela apreensão de que um ato ilícito possa ter sido cometido; uma pessoa que atravessa uma estrada não pode recuperar danos (seja por angústia ou de outra forma) por quase ser atingida por um caminhão que passa ou por uma carta difamatória que nunca foi realmente recebida pelo destinatário pretendido. Para ter direito a qualquer reparação, o requerente deve demonstrar que foi vítima de um ato ilícito. Um quase acidente, mesmo que cause sofrimento significativo, não é suficiente."

O Excelentíssimo Senhor Juiz Nicklin 

Impacto futuro de Farley v Postmaster

"O impacto direto dessa decisão é limitado, pois está relacionado à postagem física mal direcionada, em vez do cenário muito mais comum das comunicações digitais.

Se o princípio fosse estendido às comunicações digitais, uma violação inadvertida de dados em uma escala muito maior só seria passível de ação se os reclamantes pudessem provar que os e-mails foram abertos por terceiros desconhecidos.

Isso poderia reduzir drasticamente a capacidade de apresentar reivindicações de violação de dados decorrentes de falhas graves das obrigações legais que as empresas devem aos indivíduos cujos dados processam." - Ashley Morgan, Diretor de Conhecimento da Pogust Goodhead

Mais opiniões

VER TUDO
Tom Goodhead: Combatendo o crescimento do extrativismo predatório
Tom Goodhead juntou-se a especialistas e vítimas de crimes ambientais no Brasil na Universidade de Harvard para discutir as indústrias extrativas.
Leia mais
Navegando no tratamento médico para disforia de gênero em jovens: Insights da Cass Review Abril de 2024
O Relatório Final da Cass foi publicado em abril de 2024, mais de três anos e meio depois e dois anos após a publicação do Relatório Provisório. O objetivo...
Leia mais
O direito e a economia do gerenciamento de riscos legais climáticos e de ESG
Embora as estratégias ambientais e de governança não sejam novidade, o campo do gerenciamento de riscos legais de ESG está crescendo exponencialmente.
Leia mais