Stefano Máximo Lopes
30.11.2023
Desde a entrada em vigor da lei 13.709/2018, a Lei Geral de Proteção de Dados (LGPD), aumentou-se a incerteza em torno da responsabilidade das empresas em certificar-se da segurança dos dados aos quais têm acesso, e isso chegou aos tribunais.
Sabe-se que a referida Lei entrou em vigor em todo território nacional em 18 de setembro de 2020. A partir dessa data, as organizações e empresas que atuam no país foram obrigadas a ajustar suas práticas em conformidade com as disposições da lei relacionadas ao tratamento de dados pessoais.
Nessa esteira, uma dúvida que tem sido discutida é se o vazamento de informações por si só dá direito a uma indenização por danos morais, ou se o titular dos dados precisa mostrar que sofreu algum prejuízo com essa exposição.
De acordo com a jurisprudência do STJ, mais notadamente a decisão proferida no Agravo em Recurso Especial Nº. 2.130.169, entende-se que, embora a situação represente uma falha grave e indesejável na gestão de informações pessoais, é crucial destacar que o vazamento de dados, por si só, não possui a capacidade intrínseca de resultar em um dano moral passível de indenização.
Vale apontar que a responsabilidade pelos dados pessoais dos consumidores é enfrentada pela nossa legislação, e entende-se que o vazamento dessas informações, de acordo com a LGPD, constitui uma infração. Assim, deve gerar consequências e a responsabilização – civil, ou até mesmo criminal, a ser averiguada no caso concreto – das empresas responsáveis.
A LGPD determina que infrações à lei podem ser punidas com: (i) advertência, (ii) publicização do ocorrido, (iii) suspensão do funcionamento do banco de dados implicado ou mesmo (iv) proibição das atividades de tratamento de dados, por exemplo.
Podem ser aplicadas, ainda, multas de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.
Ainda, em fevereiro deste ano foi publicada uma resolução do Conselho Diretor da Autoridade Nacional de Proteção de Dados (CD/ANPD), a qual detalhou critérios para qualificação das infrações nas modalidades leve, média ou grave.
De acordo com a legislação, uma infração será considerada leve quando ela não incorrer nos critérios específicos das infrações médias e graves, os quais são detalhados pela Lei.
Seguindo esta classificação, a infração será classificada como média quando “houver impacto significativo aos interesses e aos direitos fundamentais dos titulares de dados pessoais”. Isso acontece quando a violação dos dados (i) prejudicar ou restringir alguém do exercício de direitos ou da utilização de serviços; ou (ii) causar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física ou à imagem, assim como fraudes financeiras ou uso indevido de identidade, desde que não seja categorizada como uma infração grave.
Para ser considerada grave, por sua vez, as características da infração devem ultrapassar as condições anteriores e incluir elementos como a larga escala do vazamento, o volume de dados envolvidos, além da duração, frequência e extensão geográfica do tratamento realizado. Outros pontos que acentuam a gravidade no contexto fático são: a eventual percepção de vantagem econômica com a infração; a implicação de risco à vida dos clientes/consumidores; tratamento de dados considerados sensíveis nos termos da Lei, ou de dados de crianças, de adolescentes ou de idosos, entre outros critérios e circunstâncias agravantes ou atenuantes postos pela Resolução.
Em suma, portanto, verifica-se já haver uma preocupação normativa em estabelecer que há, sim, infrações que geram danos extrapatrimoniais, e essas serão classificadas, no mínimo, como uma “infração média”. Ao mesmo tempo, isso implica dizer que nem sempre uma infração cometida por uma empresa ao cuidar de informações pessoais causará danos morais aos titulares dos dados.
Sabendo-se desse panorama normativo, pode-se analisar melhor a decisão do STJ quanto ao vazamento de dados. Na ação em comento (ARESP 2130619), o TJSP havia condenado uma concessionária a pagar R$5.000,00 a título de danos extrapatrimoniais após ter ocorrido o vazamento dos dados de uma cliente, que levou a questão à Justiça.
A consumidora alegou que foram vazados dados pessoais como nome, data de nascimento, endereço e número do documento de identificação. De acordo com ela, os dados foram acessados por terceiros e, posteriormente, compartilhados com outras pessoas mediante pagamento – situação que, para ela, gerava potencial perigo de fraude e de importunações.
O pedido havia sido julgado improcedente em primeira instância, mas reformado pelo TJSP, com o entendimento de que o vazamento dos dados privados da consumidora configurou falha na prestação de serviços pela Eletropaulo.
No entanto, ao analisar o caso, o Relator no STJ aduziu que as informações vazadas eram de natureza comum, não classificadas como dados sensíveis, em atenção ao rol taxativo constante do Art. 11 da LGPD, que elenca os dados pessoais considerados sensíveis e exigem tratamento diferenciado.
"Desse modo, conforme consignado na sentença reformada, revela-se que os dados objeto da lide são aqueles que se fornece em qualquer cadastro, inclusive nos sites consultados no dia a dia, não sendo, portanto, acobertados por sigilo, e o conhecimento por terceiro em nada violaria o direito de personalidade da recorrida", afirma o Ministro.
Assim, com essa decisão, o STJ firma a jurisprudência de que os danos morais pelo vazamento de dados não são presumidos, e nem devem ser usados como instrumento punitivo, até porque, conforme se viu neste texto, a própria LGPD já estabelece punição para esse tipo de infração.
Em outras palavras: não se trata do chamado “dano in re ipsa”, o que implica, na prática, dizer que, em uma eventual ação de indenização, é imprescindível que o titular dos dados comprove o efetivo prejuízo decorrente da exposição dessas informações.
"Diferente seria se, de fato, estivéssemos diante de vazamento de dados sensíveis, que dizem respeito à intimidade da pessoa natural. No presente caso, trata-se de inconveniente exposição de dados pessoais comuns, desacompanhados de comprovação do dano", concluiu o relator ao dar provimento ao recurso da Eletropaulo e restabelecer a sentença.
Portanto, entende-se que as situações de vazamento de dados devem ser analisadas caso a caso, levando em conta o tipo de informações que foram expostas e a dimensão da exposição. Até mesmo o perfil do titular desses dados deve ser sopesado. Apenas com o exame de todas essas circunstâncias pode se afirmar se o vazamento afetou ou não a honra e a esfera extrapatrimonial do indivíduo no caso concreto.
Comments