por Amanda Luísa Carniel

Recentemente o Superior Tribunal de Justiça, em sede de Agravo em Recurso Especial nº 2130619 – SP (2022/0152262-2) decidiu acerca do dano moral no vazamento de dados pessoais e, em que pese r. decisão, precisamos debater alguns pontos.

Para melhor entendimento, de início vamos situá-lo, caro leitor, do caso ocorrido. Em um segundo momento falaremos sobre o que foi decidido e, por fim, faremos nossas considerações.

Portanto, trata-se de uma ação ajuizada pela titular de dados pleiteando uma indenização por danos morais decorrentes do vazamento – e acesso – de seus dados pessoais, em face de uma concessionária de energia elétrica.

Os dados pessoais vazados foram: nome completo, RG, gênero, data de nascimento, idade, telefone fixo, telefone celular, endereço, bem como os dados relativos ao fornecimento de energia elétrica, quais sejam: carga instalada, consumo estimado, tipo de instalação e leitura de consumo.

Tais dados foram acessados indevidamente e, posteriormente, compartilhados mediante pagamento com um número indeterminado de pessoas, expondo a Autora a perigo de fraude e importunações.

Em primeira instância o pedido foi negado e, com o recurso, o Tribunal de Justiça Estadual reformou a decisão de primeiro grau, condenando a concessionária ao pagamento da indenização com fundamento de que se trata de dados pessoais de pessoa idosa.

O STJ, por sua vez, entendeu que o dano moral não deve ser aplicado, pois deve haver a comprovação do dano.

Justificou seu entendimento no fato de que os dados pessoais de natureza comum, passíveis “apenas” de identificação da pessoa natural não podem ser classificados como sensíveis, pois não se encontram no rol taxativo no artigo 5º, II, da LGPD, dados esses que exigem tratamento diferenciado. Assim, entendeu que os dados vazados são considerados “dados que se fornece em qualquer cadastro”, não sendo acobertados por sigilo e o conhecimento por terceiro não viola o direito da personalidade.

Ainda, que o vazamento, apesar de se tratar de falha indesejável no tratamento de dados, não tem o condão, por si só, de gerar dano moral indenizável, de forma que o titular de dados deveria ter comprovado o dano decorrente da exposição das informações, diferente seria se estivesse diante de vazamento de dados sensíveis. Finalizou a decisão afirmando que se trata de inconveniente desacompanhado de comprovação do dano.

Feita a situação do caso, precisamos tecer alguns comentários sobre a r. decisão do STJ.

A um. Os dados pessoais são acobertados pela Lei Geral de Proteção de Dados. Caso não fosse, a lei seria sobre Proteção de Dados Pessoais Sensíveis. Ou seja, toda pessoa física ou jurídica, de direito público ou privado, que trate dados pessoais (não apenas dados pessoais sensíveis) em meios físicos e/ou digitais com finalidade econômica DEVE se adequar à lei e, portanto, garantir segurança na proteção e privacidade desses dados.

E o que a lei diz?

A lei diz que um dos fundamentos, e o que entendemos como mais importante, é a AUTODETERMINAÇÃO INFORMATIVA. A Autodeterminação informativa nada mais é do que dar ao titular o poder de determinar e saber o que acontece com seus dados, com suas informações. 

Desta forma, a lei dá ao titular do dado o direito de saber quais dados são coletados, porque são coletados, de que forma serão armazenados, quem terá acesso, se haverá compartilhamento de dados e qual o motivo, quando o dado será eliminado, de que forma será eliminado, quais as medidas de segurança existentes e em caso de incidente de segurança, quem são os responsáveis e de que forma será mitigado ou eliminado o incidente.

Quando a lei traz a definição de dados pessoais sensíveis, dispõe sobre a classificação dos dados que necessitam de um – MAIOR – cuidado, o que não permite que os dados pessoais fiquem sem amparo. Os dados pessoais devem ser protegidos, sim. A lei apenas pede uma maior atenção aos dados classificados sensíveis.

Tudo isso para garantir o princípio da transparência e da segurança, previstos no artigo 6º, incisos VI e VII, da LGPD, respectivamente.

Estes princípios garantem ao titular de dados informações claras, precisas e acessíveis sobre o tratamento de dados pessoais, combinado com a utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Desta forma, percebe-se que a legislação é clara em garantir a proteção de TODO e QUALQUER dado pessoal, sendo a venda do banco de dados para terceiros atividade irregular, violando claramente o direito à privacidade da Autora, que não escolheu e nem permitiu compartilhar seus dados com todas as pessoas que os compraram.

A dois. A venda de dados pessoais sem autorização não é meramente uma falha indesejável ou um inconveniente. É uma atividade irregular realizada pelo controlador, que tem responsabilidade prevista em lei acerca de suas condutas.

O artigo 44 da LGPD nos traz que o tratamento de dados pessoais é irregular quando deixa de observar a legislação ou quando não fornece a segurança que o titular pode esperar. No caso em questão, percebe-se que a organização não observou a legislação e nem forneceu segurança, ou seja, descumpriu com duas determinações da lei, atuando em total irregularidade.

Por fim, precisamos comentar acerca do dano moral.

Na doutrina e na jurisprudência existe mais de uma espécie de danos morais e o que se enquadra na situação é o chamado dano moral puro.

O dano moral puro nada mais é do que as situações que ferem direitos da personalidade e, tendo em vista seus sérios efeitos, se configuram apenas com a situação ilícita ou abusiva, não sendo necessária a comprovação do dano. 

Nesse ínterim, é preciso destacar que desde a Emenda Constitucional nº 115,  a proteção de dados pessoais está dentro da esfera dos direitos da personalidade e é considerado um direito fundamental, previsto no artigo 5º da Constituição Federal. 

Tanto é assim, que a LGPD veio justamente para regulamentar o tráfego desses dados e exigir que quem os opere garanta sua privacidade. Existindo, portanto, o vazamento e o acesso indevido (não determinado pelo titular) a esses dados, estar-se-á inexoravelmente ante uma violação à privacidade do sujeito, mesmo que não na sua esfera mais sensível.

Não obstante as palavras dos ministros, vê-se que os dados pessoais de Vossa Excelência, como endereço, CPF, RG e seu consumo de energia não estão de fácil acesso a qualquer um que os deseje, pois, conforme buscamos explicar, são dados que quedam-se dentro da privacidade do sujeito, e devem ser tratados somente por quem ele autorize ou com fundamento em uma das outras 09 (nove) hipóteses legais de tratamento de dados descritas no art. 7º da LGPD.

Desta forma, considerando que (i) o dano moral é aplicado na violação de direitos da personalidade; (ii) o direito à proteção de dados é um direito da personalidade; e (iii) o vazamento de dados pessoais é uma violação clara da proteção de dados, tem-se que equivocado o entendimento da excelsa Corte quanto à exigência de comprovação de prejuízo para o reconhecimento do direito à reparação de danos morais. No caso estudado, a  consequência lógica não seria outra senão o reconhecimento do dano moral “in re ipsa”.