Síntese
STJ decidiu importante caso sobre a proteção de dados pessoais sensíveis fornecidos quando da contratação de seguro de vida e a responsabilização das empresas em caso de vazamentos. Para o STJ, a seguradora possui o dever de empreender controle na proteção dos dados dos consumidores, já que o vazamento resulta em risco em diversos aspectos da vida, como honra, imagem, intimidade, patrimônio e segurança pessoal.
Comentário
Num cenário cada vez mais sensível e atento à proteção de dados pessoais e aos direitos individuais de privacidade, uma recente decisão do STJ aprofunda o debate sobre a extensão da responsabilidade das seguradoras diante do vazamento de dados pessoais de seus segurados.
O julgamento pautou-se no caso em que o consumidor celebrou contrato de seguro de vida com uma empresa seguradora. Dois anos depois, foi notificado pela própria empresa a respeito de um incidente de segurança, que resultou no acesso não autorizado a uma parte da base de dados de propostas de seguro. As informações acessadas por terceiros incluíam dados pessoais sensíveis, como nome, CPF, endereço, dados de saúde, bens, beneficiários e, em alguns casos, dados bancários, como números de conta corrente e agência.
Diante disso, o consumidor ajuizou ação buscando indenização por danos morais, além de obter detalhes sobre o incidente e as medidas adotadas para prevenir novas ocorrências.
Em primeira instância, a seguradora foi condenada ao pagamento de R$ 10 mil por danos morais e fornecimento das informações solicitadas. Após recursos por parte do consumidor e da seguradora, o Tribunal de Justiça de São Paulo manteve a condenação e aumentou o valor da indenização para R$ 15 mil.
A seguradora recorreu ao STJ, argumentando que o simples reconhecimento da ocorrência do incidente de segurança não justifica sua condenação ao pagamento de indenização por danos morais. Defendeu a inexistência de ato ilícito, a culpa exclusiva de terceiros e a ausência de comprovação de dano efetivo.
No julgamento do REsp 2.121.904/SP, sucedido em 11/2/2025, de relatoria da Ministra Nancy Andrighi, o STJ manteve a condenação da empresa seguradora e enfatizou a necessidade de proteção rigorosa dos dados pessoais em contratos de seguro de vida, dada a natureza sensível das informações fornecidas pelos segurados.
A decisão destaca que, para a avaliação dos riscos quando da celebração do contrato, a seguradora recebe dados sensíveis sobre aspectos pessoais, familiares, financeiros e de saúde do segurado, cabendo ao fornecedor do serviço o ônus de comprovar que cumpriu com seu dever de proteger dados pessoais do consumidor, sobretudo quando se trata de dados sensíveis.
O tratamento de dados pessoais – que inclui a coleta, o armazenamento e a transferência a terceiros – deve obedecer às hipóteses previstas no art. 7º da Lei Geral de Proteção de Dados (LGPD). Uma delas é quando o tratamento de dados se faz necessário para a celebração e execução de contrato firmado pelo titular dos dados (art. 7º, V).
O STJ reforçou que o vazamento desses dados expõe o consumidor a riscos em diversos aspectos, incluindo honra, imagem, intimidade, patrimônio, integridade física e segurança pessoal. Concluiu que, nesses casos, há responsabilização objetiva da seguradora e caracterização de dano moral presumido, pelo reconhecimento da vulnerabilidade e hipossuficiência do consumidor, aplicando-se o Código de Defesa do Consumidor às instituições de seguros na celebração de contratos individuais de seguro de vida.
A decisão do STJ representa um avanço significativo na proteção dos direitos dos consumidores, especialmente no que tange à segurança de seus dados pessoais sensíveis, alinhando-se aos princípios estabelecidos pelo Código de Defesa do Consumidor e pela LGPD.
A LGPD dispõe que aquele que, “em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo” (art. 42).
Além disso, o art. 45 da LGPD esclarece que as hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente, em especial, ao regime da referida responsabilidade objetiva por falhas na prestação do serviço, nos termos do art. 14 do CDC. Assim, cabe ao fornecedor o ônus de comprovar que cumpriu com seu dever de proteger dados pessoais do consumidor, sobretudo quando se trata de dados sensíveis, nos termos do Código de Defesa do Consumidor e da LGPD.
Portanto, o STJ estabelece um importante precedente na proteção dos dados pessoais sensíveis no contexto dos contratos de seguro de vida, ao reconhecer o dano moral presumido e a responsabilidade objetiva das seguradoras em casos de vazamento de dados, reforçando a necessidade de adoção de medidas eficazes de segurança da informação por parte das empresas.
Assim, a fim de mitigar danos e demonstrar observância das diretrizes legais, as seguradoras devem adotar medidas rigorosas de proteção de dados, como políticas internas, treinamentos e planos de resposta a incidentes, garantindo atuação célere e transparente em casos de vazamento.
