O Supremo Tribunal de Justiça (STJ) decidiu que o simples vazamento de dados cadastrais não é capaz de gerar dano moral indenizável, em recurso da concessionária Eletropaulo. A sentença reforma acórdão do Tribunal de Justiça de São Paulo (TJSP), que condenou a empresa a pagar R? 5 mil a um cliente que teve expostas informações como nome, data de nascimento, endereço e documento de identificação.
O caso em tela se debruçou sobre dois temas de grande relevância para a aplicação prática da Lei Geral de Proteção de Dados (LGPD, ou Lei nº 13.709/2018), no âmbito da responsabilidade civil e na aplicabilidade da legislação pelos tribunais.
O primeiro tema recai sobre o rol taxativo dos dados pessoais que são considerados sensíveis. Segundo o relator da decisão, o Ministro Francisco Falcão, dados pessoais cadastrais não são acobertados pelo sigilo, e o conhecimento destes dados por terceiros em nada violaria o direito de personalidade do titular. Ele citou como informações sensíveis a origem racial ou étnica, a convicção religiosa e a opinião política, entre outras, estas que estão taxativamente indicadas na LGPD (art. 5º, II, LGPD).
Ainda neste julgado, o Ministro afirmou nos autos do processo que o dano moral não é presumido. Assim, o titular dos dados deve demonstrar ter ocorrido efetivo prejuízo decorrente daquele vazamento e do acesso por terceiros não autorizados.
A decisão comentada não inova quanto ao entendimento da aplicação da LGPD nos processos em que os titulares buscam reparação por danos morais. Em 2021, a 3ª Câmara de Direito Privado do Tribunal de Justiça do Estado de São Paulo , ao julgar o recurso de Apelação Cível interposto por titular em face de empresa do ramo imobiliário, reformou a decisão de 1ª instância para julgar improcedente o pedido de indenização por danos morais, outrora fixado em R? 10 mil, em razão do compartilhamento indevido de dados pessoais, assédio e importunação sofrido pelo titular em contato realizado por outras empresas.
Nesta ocasião, apesar do titular ter demonstrado em juízo a importunação sofrida, foi reconhecido que "1) "as alegadas ligações, mensagens e e-mails recebidos pelo autor, ainda que de forma reiterada e apesar de causar incômodo, não caracterizam, por si só, violação de intimidade", e "nas circunstâncias apresentadas, elas não ultrapassaram a esfera do mero aborrecimento"; 2) o autor "não sofreu nenhum ônus excepcional, a não ser aquele que todo ser humano tem que aprender a suportar por viver numa sociedade tecnológica, frenética e massificada, sob pena da convivência social ficar insuportável"; e 3) trata-se de "episódio do qual não resultou nenhuma interferência excepcional no comportamento do autor e que não rompeu o seu equilíbrio psicológico".
Vale destacar que neste caso foram enfrentados outros requisitos para deflagração do dano moral, o Tribunal entendeu que as provas trazidas aos autos pelo titular não seriam seguras para comprovar que o compartilhamento indevido dos dados pessoais se deu por meio da empresa ré, ausente, portanto, o nexo de causalidade.
Em outra decisão semelhante em 2019 , apesar do titular ter sido vítima de fraude decorrente do acesso indevido de seus dados pessoais por terceiros, no âmbito do contrato com empresa do ramo de recuperação de crédito, a indenização por danos morais lhe foi negada, sob o argumento: "não restaram caracterizados os danos morais, já que a parte autora não comprovou que tivesse tido abalo em algum dos atributos da sua personalidade, em função da situação vivenciada, tratando-se de mero aborrecimento, o que não é capaz de gerar dano moral indenizável, salvo em situações excepcionais"; e 2) "não há possibilidade de condenação em danos morais com pura finalidade punitiva, isso porque os danos morais têm cunho compensatório, não havendo lei que ampare punição patrimonial por danos morais".
Diante da jurisprudência que vem se formando, está cada vez mais distante a possibilidade dos tribunais superiores considerarem pela ocorrência do dano moral presumido em virtude da violação de direitos de privacidade e proteção de dados pessoais. Entretanto, a questão não está pacificada e "cada caso é um caso". A LGPD engloba diversas atividades de tratamento de dados, categorias de titulares, de dados pessoais, de direitos dos titulares e obrigações dos agentes de tratamento que, se não observados com cautela, podem levar a cabo situações excepcionais que extrapolam o mero aborrecimento e podem gerar dano moral indenizável.
É de salutar importância que estes entendimentos recentes dos tribunais não sejam encarados como um ponto flexibilizador da legislação, embora, representem, para o titular de dados, maior cautela ao buscar a tutela jurisdicional no tocante a indenização por danos morais, visto que será o principal responsável pela demonstração da prática do ilícito, o dano de ordem moral (aqueles que ferem o interior da pessoa, seu psicológico, bem como os direitos da personalidade, como o nome, a honra e a intimidade) e a relação direta entre o ato ilícito praticado pelo agente de tratamento e o dano (nexo de causalidade).
Além da responsabilização no processo civil, os agentes de tratamento também estão sujeitos ao processo fiscalizador e administrativo sancionador no âmbito da Autoridade Nacional de Proteção de Dados (ANPD) .
A instauração e o deslinde do processo sancionador, que resultar na prova cabal de que houve um incidente de privacidade e/ou de segurança, independente da pena imposta, pode servir ao titular de dados para comprovação, em juízo, da prática do ilícito pela empresa.
Além disso, o titular de dados poderá arguir a inversão do ônus da prova em seu favor a fim de demonstrar o nexo de causalidade entre o vazamento de seus dados, por exemplo, com o dano patrimonial ou moral efetivamente causado, se, no caso concreto, vislumbrar os seguintes requisitos: for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa (art. 42, §2º, LGPD).
O posicionamento dos tribunais está caminhando no sentido de se firmar o entendimento da não presunção do dano moral ("in re ipsa" ), quando decorrente de um incidente de privacidade ou de segurança de dados que expor a terceiros não autorizados, as informações pessoais dos titulares. O que não deve afastar a responsabilidade patrimonial dos agentes de tratamento, ou ainda, dos processos de fiscalização e administrativo sancionador decorrente deste mesmo incidente. No entanto, entendemos que a questão ainda é incipiente e carece de decisões judiciais que apreciem outras situações de violação da LGPD, tais como incidentes em atividades de tratamento de dados sensíveis e de crianças e adolescentes, negativa dos direitos dos titulares, transferências internacionais e outros aspectos relevantes que podem superar o mero dissabor sofrido pelo titular.
Lucas Anjos, advogado e Data Protection Officer (DPO), pós-graduando em Compliance, Auditoria e Controladoria pela PUC-RS, associado ao escritório Cerveira, Bloch, Goettems, Hansen & Longo Advogados Associados.