Síntese
Além do tipo da informação exposta, a indenização pelo vazamento de dados pessoais exige a comprovação da ocorrência de dano ao consumidor, não podendo ser este presumido. Este foi o posicionamento adotado recentemente pela 2ª Turma do Superior Tribunal de Justiça em julgamento que poderá nortear o tema ainda controvertido do cabimento de indenização a título de danos morais pelo vazamento de dados enquadrados como não sensíveis pelaLei Geral de Proteção de Dados Pessoais.
Comentário
Quem nunca se deparou com o recebimento de mensagens publicitárias indesejadas ou ouviu falar em golpes realizados a partir da obtenção de informações como telefone e CPF da vítima? Certamente que, em mão erradas, dados pessoais como nome completo, telefone, RG e endereço podem causar muita dor de cabeça para quem os teve vazados.
Desde o advento da Lei Geral de Proteção de Dados Pessoais – LGPD, contudo, o vazamento de dados tem se tornado também uma preocupação por parte de empresas, as quais passaram a ser frequentemente demandadas em ações indenizatórias movidas por consumidores. Criada para regulamentar a utilização e o compartilhamento de dados por pessoas físicas e jurídicas, a LGPD, apesar de prever a responsabilização de controladores, não estabeleceu critérios específicos para configuração de danos morais em razão do vazamento de dados, o que causa muita incerteza acerca do tema.
Assim, a fim de evitar condenações e adequar-se à recente e ainda nebulosa regulamentação acerca do tratamento de dados pessoais, empresas públicas e privadas devem estar atentas à jurisprudência, a qual tem fornecido diretrizes acerca da responsabilidade decorrente do vazamento de dados.
Nesse sentido, um entendimento recente proferido pelo Superior Tribunal de Justiça – STJ trouxe avanços importantes na questão do cabimento de cabimento de indenização por danos morais em razão do vazamento de dados.
Para entender melhor o julgamento, é necessário compreender o que são dados e como sua proteção encontra-se regulamentada no País.
De acordo com a LGPD, o tratamento de dados pessoais sensíveis exige o consentimento do titular ou justificativa para tanto, podendo esta ser o cumprimento de dever legal, a execução de políticas públicas ou proteção de interesses ligados à saúde, vida e crédito do titular. O tratamento de dados pessoais exige, portanto, uma finalidade legítima e informada, não podendo haver o compartilhamento sem propósito específico ou voltado ao enriquecimento de quem os detém.
Com relação ao caráter dos dados, a LGPD define como sensíveis os ligados à raça, crença religiosa, opinião política, saúde e sexualidade do titular. Da letra da lei, percebe-se que, contrariamente ao que se poderia pensar, dados como endereço, telefone e até mesmo RG e CPF não são considerados sensíveis, o que não exclui, contudo, a necessidade de tratamento adequado pelas empresas visando a proteção da privacidade e intimidade do titular, sob pena de responsabilização.
Diante desse panorama, a responsabilização, sobretudo de empresas, perpassa tanto pela análise da existência de culpa, ou seja, de tratamento inadequado dos dados, quanto das implicações do vazamento.
E é aí que reside a principal problemática no campo dos dados pessoais: o que pode ser considerado dano? Para o Superior Tribunal de Justiça, nem tudo.
Em julgamento recente proferido pela 2ª Turma do STJ (AREsp n.º 2.130.619 – SP), a Corte fixou o entendimento de que o vazamento de dados pessoais não gera, por si só, o direito à indenização.
A decisão teve origem em ação de reparação de danos movida por uma consumidora de uma concessionária de energia elétrica em razão do compartilhamento, com terceiros, de seus dados pessoais, como nome completo, RG, telefone, data de nascimento e endereço, bem como de informações específicas do contrato firmado entre as partes. Após a procedência da demanda em segundo grau, o STJ reformou o acórdão proferido pelo TJSP para afastar a condenação da empresa ao pagamento de indenização a título de danos morais.
Para o Ministro Relator Francisco Falcão, o vazamento de dados não sensíveis exige a comprovação de dano moral efetivo decorrente da exposição. Assim, dados pessoais como os que foram tratados na demanda, pelo fato de serem fornecidos frequentemente pelo titular em cadastros e sites de consulta, não seriam acobertados pelo sigilo, motivo pelo qual o compartilhamento, ainda que indesejável, não tem o condão de gerar danos indenizáveis.
A decisão, contudo, deve ser lida com cautela. Não se trata da isenção de responsabilidade pelo vazamento de dados, mas a exigência de comprovação da existência de danos. Apesar de fornecer certa segurança a empresas públicas e privadas diante do crescimento de ações indenizatórias muitas vezes temerárias, é preciso ficar atento à necessidade de tratamento adequado de dados sensíveis, cujo vazamento implica responsabilidade, bem como adotar políticas de prevenção ao vazamento de quaisquer dados pessoais, evitando a ocorrência de possíveis danos ao consumidor.
