A Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709, de 14/8/2018) entrou em vigor em 18 de setembro de 2020 com o objetivo de estabelecer diretrizes/normas sobre a coleta, processamento e armazenamento de dados pessoais, a fim de evitar o uso indevido, comercialização e vazamento dos dados, garantindo assim a privacidade dos cidadãos brasileiros.
Após dois anos de vigência da lei, o Poder Judiciário tem se atendado cada vez mais para a aplicação da norma, diante da preocupação da proteção de dados pessoais e da privacidade dos brasileiros. Assim sendo, a relevância da aplicação e cumprimento da LGPD tem consolidado temas e entendimentos específicos através das decisões tomadas pelos tribunais.
A segunda edição do Relatório Anual de Jurimetria 2022, elaborado pelo Opice Blum Advogados, realizou o mapeamento do entendimento da aplicação da LGPD no mérito das decisões dos tribunais.
O estudo deu destaque ao tema “Danos morais devem ser comprovados na maior parte dos casos para gerar condenação”, ao informar que cerca de 65% das decisões em segunda instância ou superior exigiram comprovação do dano moral, o que sugere que ele não é presumido, ou seja, não tem natureza in re ipsa.
No entanto, quando causados por compartilhamento ou divulgação de dados pessoais, a exigência de comprovação é menor, com 45% dos casos dispensando a comprovação. Já quando o dano é causado por incidentes, 80% dos casos exigem comprovação.
Além dos índices, através da análise das decisões do poder judiciário é notável o surgimento de duas vertentes (ou controvérsia) no posicionamento quanto à natureza do dano moral requerido em decorrência de incidente de segurança, em especial de exposições e vazamentos de dados pessoais.
A controvérsia que surge da primeira hipótese em que se constata a ocorrência de dano moral apenas pelo próprio fato do vazamento, sem a necessidade de comprovação, e da segunda hipótese em que o vazamento, por si só, não é capaz de ocasionar o dano moral, sendo necessário comprovar ocorrência e extensão do dano para gerar a obrigação de reparação.
Para exemplo da primeira hipótese, temos o seguinte entendimento do TJSP nos autos nº0003696-14.2020.8.26.0529, ao julgar que “Vazamento de dados da empresa Ré. Necessário o consentimento expresso e, na sua ausência, há responsabilização do controlador ou operador, conforme disposto no art. 42 da LGPD, o que gera dano moral in re ipsa.”
Por outro lado, temos a segunda hipótese que conforme o entendimento do Tribunal de Justiça da Bahia, no julgamento do processo nº 0034224-73.2018.8.05.0080, passou a decidir que “Vazamento de dados (nome, data de nascimento, endereço de e-mail e último número telefônico cadastrado) incontroverso. Tal situação não isenta a parte autora de fazer prova da relação de causalidade entre o incidente e o dano ao seu direito da personalidade. Inexistente nos autos comprovação de que o vazamento ocorrido ocasionou a utilização dos dados da parte autora para realização de qualquer fraude ou crime. Dano moral não se configura na modalidade in re ipsa… Sentença reformada para afastar o dever de indenizar”.
No entanto, a fim de sanar a controvérsia sobre a natureza jurídica do dano moral decorrente de vazamento de dados, a Segunda Turma do Superior Tribunal de Justiça, em recente decisão do AREsp 2.130.619-SP[1], determinou que o dano moral não é presumido, ou seja, não tem natureza in re ipsa.
A decisão entendeu que vazamento de dados pessoais, apesar de ser uma falha indesejável no tratamento de dados de pessoa natural por pessoa jurídica, não tem a capacidade de gerar dano moral indenizável e se faz necessário a comprovação de eventual dano decorrente da exposição dessas informações pelo titular dos dados.
Além disso, referida decisão distinguiu que os dados pessoais não são considerados de índole íntima, sendo apenas para a identificação da pessoa natural, enquanto os dados pessoais sensíveis estão no rol taxativo do art. 5, II, da LGPD e, por conta dessa condição, exigem tratamento diferenciado conforme previsão no art. 11 da mesma lei.
Os dados vazados em discussão na decisão foram: nome completo; RG; gênero; data de nascimento; idade; telefone fixo; telefone celular e endereço, além de dados relativos ao contrato de fornecimento de energia elétrica celebrado com a ré, como: carga instalada; consumo estimado; tipo de instalação e leitura de consumo.
Entendeu-se que são dados de natureza comum e pessoal, mas não são considerados de natureza íntima, uma vez que são apenas de identificação da pessoa. Além de que essas informações são fornecidas em qualquer cadastro de sites consultados no cotidiano, portanto não sendo acobertados por sigilo e o fato de um terceiro ter conhecimento dos dados em nada violaria o direito de personalidade do titular dos dados.
Desta forma, o vazamento de dados pessoais, por si só, não tem a capacidade de gerar o dano moral indenizável. Melhor dizendo, o dano moral não possui natureza in re ipsa (presumido), sendo necessário a comprovação de eventual dano decorrente da exposição dessas informações. O fato que caracteriza o dano moral deve gerar grande ofensa à honra, à dignidade e apenas o vazamento das informações não tem o poder de ferir o direito personalíssimo da pessoa.
Portanto, a decisão demonstra o esforço do Poder Judiciário em desincentivar a indústria do dano moral, com processos sem propósito e que sobrecarregam o Judiciário que busca soluções para a quantidade crescente de processos.
[1] AREsp n. 2.130.619/SP, relator Ministro Francisco Falcão, Segunda Turma, julgado em 7/3/2023, DJe de 10/3/2023