STJ decide sobre dano em vazamento de dados
Corte considera que é necessário comprovar prejuízos quando dados não considerados sensíveis vêm a público
Em decisão unânime, a 2ª Turma do Superior Tribunal de Justiça (STJ) entendeu que o vazamento de dados pessoais como o nome, data de nascimento, endereço e número do documento de identificação não são dados pessoais sensíveis, e que não é adequado considerar que há dano presumido por conta do mero vazamento – o titular dos dados precisa comprovar ter sofrido efetivo dano para ser indenizado pela companhia responsável pelas informações do cliente.
A decisão é positiva, consideram os advogados Flavia Meleras e Renato Rossi Filho, consultora e associado do Vieira Rezende Advogados: “Dentro do contexto de alta litigiosidade no sistema brasileiro, entendemos que a decisão traz segurança jurídica, tendo em vista que ela trouxe algumas balizas para a determinação ou não do dano moral presumido. Embora a decisão do STJ não tenha força vinculativa, ela demonstra alguns sinais sobre quais caminhos possíveis o Poder Judiciário tomará nos próximos anos sobre o tema”.
No caso julgado (Recurso Especial nº 2130619 – SP), uma consumidora pedia indenização à concessionaria de energia Enel pelo vazamento de seus dados pessoais. Ela ganhou na segunda instância, que considerou que o vazamento era uma falha na prestação dos serviços da concessionária e que os dados vazados da cliente deveriam ser classificados como sensíveis. No entanto, o STJ considerou que aqueles dados não poderiam ser considerados sensíveis porque estes estão previstos de forma taxativa no artigo 5º, inciso II da Lei Geral de Proteção de Dados (LGPD). Portanto, no entendimento da corte, seria necessário que a consumidora comprovasse que efetivamente sofreu dano moral em decorrência do vazamento, o que não foi comprovado.
A situação poderia ser diferente se os dados vazados fossem sensíveis, conforme previsto em lei. Isso porque a exposição desses dados traz uma ofensa maior à privacidade e a intimidade dos titulares – situação em que o dano moral poderia ser presumido.
Na entrevista abaixo, Meleras e Rossi Filho comentam a decisão da corte.
– O que foi julgado e decidido pelo STJ no caso da consumidora que pedia indenização por danos morais devido ao vazamento de dados pessoais?
Flavia Meleras e Renato Rossi Filho: A decisão da Segunda Turma do Superior Tribunal de Justiça (STJ), reformou uma decisão de segundo grau que tinha condenada uma concessionária de energia elétrica ao pagamento de indenização por danos morais no valor de 5 mil reais, decorrente do vazamento dos dados de uma cliente.
Na ação de reparação de danos, a cliente alegava que foram vazados dados pessoais como nome, data de nascimento, endereço e número do documento de identificação e, que além disso, esses dados tinham sido acessados por terceiros e compartilhados com outras pessoas mediante pagamento, o que agravaria a situação.
Na segunda instância, o acórdão considerou que o vazamento de dados pessoais era uma falha na prestação dos serviços da concessionária e que os dados vazados da cliente deveriam ser classificados como sensíveis. A decisão do STJ foi em sentido contrário, justificando que os dados envolvidos no vazamento não eram sensíveis, pois o rol do artigo 5º, inciso II, é taxativo, ou seja, a aplicação do conceito de dados sensíveis é restrita somente aos dados demonstrados no inciso. Conforme a decisão do STJ, os dados da cliente relacionados ao vazamento eram apenas dados pessoais comuns.
De mesma forma, a Segunda Turma decidiu que o dano moral, no caso discutido naquele processo, não seria presumido, ou seja, o titular dos dados deveria demonstrar ter havido efetivo dano com o vazamento e o acesso de terceiros, o que não foi demonstrado no curso do processo.
– No caso de vazamento de dados pessoais, como seria possível provar a existência de dano moral?
Flavia Meleras e Renato Rossi Filho: Em um caso de vazamento de dados pessoais comuns, em que o titular deveria comprovar a existência do dano, existiriam muitas formas de comprovar e elas dependeriam da forma do vazamento, quais dados estavam envolvidos, entre outros fatores. Utilizando como exemplo o caso que foi analisado pelo STJ e expandindo para uma situação hipotética, caso os dados da titular tivessem sido usados de maneira criminosa por terceiros que tiveram acesso aos dados dela para contratar serviços financeiros de maneira fraudulenta, prejudicando-a financeiramente, a titular poderia informar nos autos que os dados foram utilizados de maneira criminosa para contratação de serviço, indicar protocolos de contato com a instituição que forneceu o serviço financeiro, apresentar registro de boletim de ocorrência, entre outros elementos.
Isto seria comprovar o dano efetivamente sofrido, já que o STJ decidiu que o mero vazamento dos dados pessoais comum não ensejaria um dano moral presumido, ou seja, aquele que independe da comprovação do dano suportado pelo titular.
– A decisão do STJ se aplica apenas aos dados pessoais ou também engloba dados pessoais sensíveis? No caso destes últimos, o vazamento por si só já pressupõe dano moral?
Flavia Meleras e Renato Rossi Filho: Diretamente, a decisão não engloba dados pessoais sensíveis, pois somente dados pessoais comuns foram envolvidos no vazamento. Entretanto, no voto do ministro Francisco Falcão, foi feita uma comparação com uma situação hipotética que envolvesse dados pessoais sensíveis. Nas palavras do ministro, “Diferente seria se, de fato, estivéssemos diante de vazamento de dados sensíveis, que dizem respeito à intimidade da pessoa natural. No presente caso, trata-se de inconveniente exposição de dados pessoais comuns, desacompanhados de comprovação do dano”.
Ou seja, pelo fato de dados pessoais sensíveis serem dados que, em regra, trazem uma ofensa maior à privacidade e a intimidade dos titulares, o vazamento que envolvesse esses dados poderia ensejar a presunção do dano moral.
– Como você avalia a decisão? Ela sinaliza que o entendimento sobre a necessidade de comprovação de dano moral está sendo solidificado?
Flavia Meleras e Renato Rossi Filho: O Poder Judiciário é diariamente acionado em questões que envolvam danos morais e responsabilidade civil. Dentro do contexto de alta litigiosidade no sistema brasileiro, entendemos que a decisão traz segurança jurídica, tendo em vista que ela trouxe algumas balizas para a determinação ou não do dano moral presumido. Embora a decisão do STJ não tenha força vinculativa, ela demonstra alguns sinais sobre quais caminhos possíveis o Poder Judiciário tomará nos próximos anos sobre o tema.
Por último, do ponto de vista da proteção de dados pessoais, é importante ressaltar que o fato de a empresa não ter sido condenada por dano moral não exclui a eventual discussão administrativa, pois poderá responder legalmente pelo vazamento de dados que envolve dados pessoais perante à Autoridade Nacional de Proteção de Dados (ANPD) e os titulares envolvidos.
Leia também