A 2ª Turma do Superior Tribunal de Justiça (STJ) decidiu, por unanimidade, na semana passada, que o vazamento de dados pessoais comuns, definidos pela Lei Geral de Proteção de Dados (LGPD), não gera, por si só, indenização por danos morais. Essa foi a primeira manifestação da Corte sobre o assunto.
Os ministros julgaram o caso de uma cliente da concessionária de energia Enel São Paulo, a qual pediu reparação pelo vazamento e compartilhamento indevido de seus dados pessoais. Entre eles, ela menciona nome completo, RG, data de nascimento e telefone, além de dados contratuais.
A mulher pediu uma indenização de R$ 15 mil, negada inicialmente pelo juízo de primeira instância. A sentença, contudo, foi reformada no Tribunal de Justiça do Estado de São Paulo (TJSP), em grau de recurso, onde os desembargadores da 27ª Câmara de Direito Privado acolheram os argumentos da cliente.
Para os magistrados, o caso é de “plena aplicação” do Código de Defesa do Consumidor (CDC). Eles consideraram que houve falha na prestação de serviço, já que era dever da empresa adotar mecanismos de segurança, e condenaram a Enel ao pagamento de R$ 5 mil a título de danos morais.
Os desembargadores destacaram o fato de os dados vazados serem sensíveis e de que a mulher é pessoa idosa, “e, por sua vulnerabilidade,” ser “mais suscetível a eventual golpe”.
A decisão não agradou à companhia elétrica, que levou o caso para o STJ. A empresa sustentou que o julgamento não poderia ter se fundamentado exclusivamente na legislação consumerista, mas, também e principalmente, na LGPD, que é a lei de regência da matéria.
A Enel acrescentou que o vazamento ocorreu por ação de terceiro e que o TJSP se equivocou ao enquadrar os dados vazados como sensíveis, “uma vez que estes seriam básicos de qualificação de qualquer pessoa, muitos dos quais fornecidos corriqueiramente pelos indivíduos nas mais variadas e simples operações diárias da vida civil”.
Em seu voto, o ministro Francisco Falcão, relator da ação no STJ, disse que dados de natureza comum, de cunho pessoal e que não considerem a intimidade do titular, não podem ser classificados como sensíveis e declarou que a LGPD traz um “rol taxativo daquilo que seriam dados pessoais sensíveis”.
Segundo o ministro, as informações vazadas são fornecidas em qualquer cadastro, como em sites consultados no dia a dia, não sendo protegidas por sigilo. Por esse mesmo motivo, o acesso por terceiros não violaria o direito a personalidade do titular.
“O vazamento de dados pessoais, a despeito de se tratar de falha indesejável no tratamento de dados de pessoa natural por pessoa jurídica, não tem o condão, por si só, de gerar dano moral indenizável. Ou seja, o dano moral não é presumido, sendo necessário que o titular dos dados comprove eventual dano decorrente da exposição dessas informações.”
Como a 2ª Turma entendeu que não houve prova efetiva do dano, ela restabeleceu a decisão da sentença de primeiro grau, que negava o pedido de indenização. Ainda cabe recurso.
A questão é discutida no AREsp nº 2130619/SP.
Repercussão
Para Thiago Sombra, sócio de Proteção de Dados e Cybersecurity do Mattos Filho, a decisão é relevante porque, pela primeira vez, o STJ julgou se é possível a “presunção quase que automática” de danos morais em virtude de um incidente de segurança.
Sombra, que atuou no caso, afirmou que a decisão ajudará a “criar uma percepção generalizada de que não adianta propor uma série de ações [judiciais] de uma maneira infundada contra as empresas pelo simples fato de ter ocorrido um incidente”.
Paulo Vidigal, sócio do escritório Prado Vidigal Advogados, estima que a decisão da 2ª Turma deve levar a uma maior contenção do ingresso de “ações judiciais especulativas” em matéria de proteção de dados.
“Esse posicionamento inédito no âmbito do Superior Tribunal de Justiça desencoraja aventureiros que litigam com o fim exclusivo não de fazer justiça, mas de obter indenizações injustificadas, atentando contra o bom funcionamento do Judiciário e retirando a credibilidade de ações de mérito.”
De acordo com Marcelo Crespo, coordenador do curso de Direito da ESPM, outro ponto que se impõe é como provar que houve dano moral quando um dado vazado.
“Isso realmente muito difícil de fazer,” ponderou. “É uma decisão polêmica, porque, se eu tiver que provar o dano moral, que tipo de prova eu vou ter que produzir. Porque acaba sendo uma prova tecnicamente possível, mas, na prática, muito difícil.”
Ele explicou que o titular pode até conseguir provar que houve uma ligação entre o vazamento de dados e ao recebimento de spams, por exemplo, mas a pessoa deve encontrar dificuldade para mostrar qual foi a extensão desse dano e se ele merece ser reparado.
A expectativa de Crespo é que esse tipo de discussão comece a aumentar nos tribunais com o tempo.
Texto: ARTHUR GUIMARÃES – Repórter em São Paulo. Atua na cobertura política e jurídica do site do JOTA. Estudante de jornalismo na Faculdade Cásper Libero. Antes, trabalhou no Suno Notícias cobrindo mercado de capitais. Email: arthur.guimaraes@jota.info