Dano moral em incidentes de segurança com dados pessoais e o precedente do STJ
Após o Superior Tribunal de Justiça decidir que não há dano moral presumido em caso que envolvia dados pessoais não sensíveis, os tribunais estatuais têm seguido o mesmo entendimento
Assuntos
No primeiro semestre de 2023, no âmbito do agravo em recurso especial 2.130.619, o Superior Tribunal de Justiça (STJ) firmou entendimento de que não há dano moral presumido pelo simples fato de ter ocorrido um incidente de segurança que envolva dados pessoais. Dessa forma, para que seja indenizado, cabe ao titular dos dados comprovar que sofreu efetivo dano em razão do incidente de segurança.
A premissa utilizada pelo STJ é de que boa parte dos dados “que se fornece em qualquer cadastro, inclusive nos sites consultados no dia a dia” não afeta por si só os direitos dos titulares, de modo que seu “conhecimento por terceiro em nada violaria o direito de personalidade”. Por essa razão, o vazamento de dados pessoais em geral, “a despeito de se tratar de falha indesejável no tratamento de dados de pessoa natural por pessoa jurídica, não tem o condão, por si só, de gerar dano moral indenizável”.
O dado pessoal é definido pelo art. 5º, I, da Lei 13.709/2018 (Lei Geral de Proteção de Dados – LGPD) como a “informação relacionada a pessoa natural identificada ou identificável”. Por outro lado, os dados pessoais sensíveis são elencados pelo art. 5º, II, da LGPD, como aqueles relativos à “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”. Em virtude de se tratar de rol taxativo, a interpretação extensiva da categoria dos dados pessoais sensíveis deve ser evitada. Por essa razão e dada a natureza contextual da privacidade, os dados pessoais enquanto categoria geral, e objeto do caso analisado pelo Superior Tribunal de Justiça, são determinados por exclusão em relação aos dados pessoais sensíveis. Alguns exemplos de dados pessoais não sensíveis incluem nome completo, data de nascimento, RG, CPF, endereço e número telefone.
Conforme esclarecido anteriormente, o referido julgamento não analisou a controvérsia sob o prisma de um incidente com dados pessoais sensíveis, o que nada impede que o tema receba o mesmo tratamento pelo STJ quando a questão vier a ser debatida. De todo modo, esse importante precedente representa um primeiro olhar técnico jurisdicional à Lei Geral de Proteção de Dados, pois entende ser necessária a comprovação do efetivo prejuízo à privacidade do titular como condição para o dano moral presumido. Ao fazê-lo, esse precedente tende a ter o efeito positivo de evitar o excesso de litigiosidade e o desvio de finalidade da proteção da privacidade garantida constitucionalmente (art. 5º, LXXIX), desestimulando o ajuizamento de demandas frívolas.
Embora não seja vinculante, esse precedente tem sido aplicado de forma consistente pelos tribunais estaduais em casos de incidentes de segurança envolvendo dados pessoais. Há diversos precedentes do Tribunal de Justiça do Estado de São Paulo que, com base no referido precedente do Superior Tribunal de Justiça, afastou pretensões indenizatórias em casos envolvendo vazamento de dados pessoais em que não houve efetiva demonstração do dano. Ademais, o entendimento dos tribunais tem significado uma importante mensagem para a Autoridade Nacional de Proteção de Dados (ANPD), Ministério Público e Associações, que constantemente interagem com as consequências dos incidentes de segurança com dados pessoais e seus titulares.
Um claro indicativo desse fenômeno ocorreu em julgado do Tribunal de Justiça do Estado de Minas Gerais, que ao julgar um caso sobre incidente de segurança com divulgação de informações como endereço, número de telefone, RG, CPF e “informações de trabalho”, considerou que o autor da ação indenizatória não demonstrou “aborrecimentos danosos e vexaminosos”, embora tenha concluído que houve prova do ato ilícito. Por isso, com base no referido precedente do Superior Tribunal de Justiça, afastou o pedido indenizatório.
Para além das hipóteses acima citadas, o racional adotado pelo Superior Tribunal de Justiça tem orientado o julgamento de casos envolvendo outras situações, como a perpetração de fraudes bancárias com a emissão de boleto falso, o tratamento de dados em bancos de consulta e de proteção de crédito e a veiculação de dados pessoais sem prévia autorização e comunicação, por exemplo.
Em caso envolvendo emissão de boleto falso e dada a natureza taxativa do rol de dados pessoais sensíveis, o Tribunal de Justiça do Estado de São Paulo negou pretensão indenizatória, sob o entendimento de que “a simples emissão de boleto falso não se enquadra nas características de dados sensíveis, os quais abarcam informações de cunho sexual, político, étnicas, entre outros”, e que o “pressuposto do dever de indenizar é a ocorrência efetiva de dano”.
Ainda, em caso envolvendo a veiculação de dados pessoais com a finalidade específica de proteção ao crédito, esse mesmo tribunal entendeu que os pressupostos necessários à configuração da responsabilidade civil não estavam presentes “uma vez que não estamos diante do propalado dano moral in re ipsa”. Partindo da premissa de que “se está diante de hipótese de veiculação de dados não sensíveis”, o precedente do Superior Tribunal de Justiça foi aplicado de forma análoga, concluindo-se que “não verificada a prática de ato ilícito por parte da apelada, respeitados os limites para o exercício do direito de informação, não há que se falar em mácula à honra da apelante capaz de ensejar a indenização requerida”.
Assim, após quase três anos da entrada em vigor da Lei Geral de Proteção de Dados, nota-se que o Judiciário começa a aplicar decisões mais técnicas, com distinções entre os aspectos conceituais da LGPD e, em particular, com a delimitação do modelo de responsabilidade civil subjetiva, ao invés da aplicação seletiva, mesclada e imprecisa de algumas partes do Código de Defesa do Consumidor (isto é, inversão do ônus da prova e responsabilidade objetiva), de modo a salientar que o cenário de corriqueiros incidentes de segurança não deveria fomentar uma nova indústria do dano moral presumido.
Para mais informações sobre o tema, conheça as práticas de Contencioso e Arbitragem e Proteção de Dados e Cybersecurity do Mattos Filho.