Síntese
Construtora é condenada a indenizar consumidor por vazamento de dados pessoais. Em sentença proferida pela 13ª Vara Cível do Foro Central da Comarca de São Paulo, o magistrado entendeu pela existência de responsabilidade do fornecedor pela garantia de sigilo dos dados tratados e, também, dever de informar adequadamente o consumidor quanto à destinação dos dados recebidos e sujeitos a tratamento. Na fundamentação, menciona-se a Lei Geral de Proteção de Dados e o Código de Defesa do Consumidor.
Comentário
A Lei Geral de Proteção de Dados (LGPD) estabelece uma série de normas e preceitos envolvendo a proteção de dados pessoais e a responsabilidade em caso de falhas no tratamento adequado destes. Embora as sanções ainda não possam ser aplicadas, já foi proferida decisão judicial que, ao condenar empresa por suposto vazamento de dados, mencionou em sua fundamentação a lei em questão.
A decisão em comento, proferida pela Justiça do Estado de São Paulo na ação de autos nº 1080233-94.2019.8.26.0100 e objeto de ampla divulgação em periódicos – considerada por muitos como a primeira decisão judicial a mencionar a LGPD – chama a atenção por mostrar que, apesar da nova legislação, a proteção dos dados de consumidores já encontrava amparo na legislação pátria há muito tempo.
No caso analisado, um consumidor ajuizou uma ação alegando que uma construtora teria disponibilizado seus dados pessoais a terceiros. Os dados do consumidor teriam sido informados à construtora no momento da celebração de um contrato para aquisição de uma unidade habitacional.
Conforme consta da decisão judicial proferida, houve comprovação, ao longo da fase de produção de provas da ação, de que, de fato, a empresa teria recebido e tratado os dados do consumidor e, nesse processo, acabou por disponibilizar tais informações a terceiros. Pelo contexto dos autos, teria restado claro que nunca havia sido informado ao consumidor a possibilidade de disponibilização dos dados pessoais recebidos a terceiros, tampouco houve autorização expressa do cliente nesse sentido.
Além de chamar a atenção dos fornecedores e prestadores de serviços para a necessidade da adoção de estratégias e sigilo em relação aos dados pessoais de consumidores sujeitos a tratamento, revela que a sistemática da responsabilidade prevista na LGPD possui pontos similares com o que a legislação consumerista (direito do consumidor) já prevê há muito tempo.
Em primeiro lugar, porque é preciso que os fornecedores e prestadores de serviços garantam que sua atuação é suficientemente segura. Logo, não se pode cogitar que os dados fornecidos pelo consumidor ao longo da relação de consumo estejam sujeitos a vazamentos ou disponibilizações indevidas a terceiros.
Em segundo lugar, a decisão chama atenção à importância de que, no momento da contratação, os fornecedores e prestadores de serviços informem adequadamente os consumidores a respeito do tratamento e destinação que será dada aos dados pessoais coletados. E, caso tais dados sejam disponibilizados por algum motivo a parceiros, é preciso informar ao consumidor e obter a anuência deste.
Sobre a responsabilidade do fornecedor e prestador de serviços nesse contexto, a decisão judicial mencionada apresentou inúmeros pontos de similares entre estas duas leis.
Tanto a LGPD quanto o Código de Defesa do Consumidor exigem que o consumidor seja adequadamente informado e, ambas as leis, impõem ao fornecedor a chamada responsabilidade objetiva (que independe de imperícia, culpa ou negligência). Isto é, basta que se comprove que houve uma falha no processo de tratamento de dados, com o vazamento destes a terceiros ou, ainda, com a destinação indevida das informações para que seja possível uma condenação.
Por ainda não ser possível a aplicação de sanções com base na LGPD na época em que foi proferida a decisão, a condenação à construtora se deu a título de danos morais causados ao consumidor. Isso porque entendeu-se que, no contexto de vazamento de dados pessoais, há a violação de direitos da personalidade (nome, intimidade e privacidade) do consumidor.
Ainda há inúmeras incertezas em relação à forma como o Poder Judiciário irá enfrentar as questões relativas a tratamento de dados à luz da LGPD, mas é certo que será exigido dos fornecedores a comprovação de que adotam e implementam estruturas que asseguram o sigilo e proteção eficiente de todas as informações coletadas e tratadas.
