O vazamento de dados pessoais produz automático dano moral?
Em 18/09/2020 entrou em vigor a Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018, cuja vigência foi prevista para ter início de forma escalonada em três datas distintas: 28 de dezembro de 2018, 18 de setembro de 2020 e 01º de agosto de 2021.
De se notar que resta apenas uma data a ser alcançada para a plena eficácia dessa famosa lei. A partir de então, em tese, entrarão em vigor os artigos 52, 53 e 54 pertencentes ao Capítulo VIII da LGPD que trata da “Fiscalização” e traz, para isso, as temidas sanções administrativas.
Não obstante alguns pontos técnicos dependam de implementação para que as sanções possam ser efetivamente aplicadas, o fato é que estamos bem próximos do momento em que a LGPD deixará de ser um plano de proteção de dados pessoais para se tornar norma a ser integral e efetivamente exigida.
Em uma das oportunidades em que abordamos o tema, enfatizamos a importância de se preparar para o atendimento às exigências da LGPD, especialmente enquanto os instrumentos de fiscalização não estavam vigentes, como é o caso das sanções administrativas que não se resumem à aplicação de multa pecuniária, mas também a aspectos importantes e operacionais da própria atividade do infrator, como a proibição total das atividades relacionadas ao tratamento de dados.
Na prática, é importante diferenciar bem os desdobramentos que podem surgir, de forma concomitante, em razão das infrações cometidas às normas da LGPD: aplicação das sanções administrativas previstas na (i) LGPD, no (ii) Código de Defesa do Consumidor e (iii) em qualquer outra legislação específica, sem prejuízo da eventual (iv) condenação judicial ao pagamento de indenização por danos causados ao titular dos dados pessoais.
Portanto, a depender da gravidade e da extensão do dano, o agente de tratamento dos dados pessoais pode ter que vir a encarar uma verdadeira enxurrada de problemas, tanto nas vias administrativas, como perante o Poder Judiciário.
É evidente que a LGPD traz assunto de extrema relevância, tanto que a sua vigência foi escalonada e as regras gerais aplicáveis só passaram a valer após dois anos da sua publicação, tendo em vista a plena ciência do legislador quanto aos desafios e adaptações, inclusive mudanças profundas no dia a dia daqueles que lidam com dados pessoais.
Como o TJSP tem julgado a questão até agora?
Consultamos algumas decisões do Tribunal de Justiça de São Paulo e percebemos certa tendência.
Os julgadores têm sido bastante criteriosos, atentos e exigentes no tocante à comprovação do incidente relatado pelo titular dos dados (por exemplo, prova do vazamento dos dados), à necessidade de demonstração do efetivo dano causado pelo incidente, à constatação da chamada verossimilhança das alegações da suposta vítima, ou seja, o relato levado ao julgador deve trazer elementos concretos e prováveis e ao exame da postura do agente de tratamento, se ativa e de boa-fé.
Em sentença proferida no último mês, um dos magistrados de Osasco[1], ao relatar e julgar caso envolvendo a Eletropaulo e o incontroverso incidente de dados pessoais envolvendo os clientes dessa distribuidora de energia elétrica deu por improcedente o pedido de indenização feito por um deles. Em que pese ter havido inegável falha na segurança, o julgador enfatizou a falta de comprovação do dano efetivo suportado pelo consumidor. A seu ver, tendo sido o prejuízo apenas potencial, sem qualquer prova de que o incidente tenha ocasionado dano concreto, não se pode impor o dever de indenizar.
Nesse sentido, sintetizou: “(…) Noutro vértice, o receio da parte autora de utilização dos seus dados para fins ilícitos, como a prática de fraudes, não justifica o pedido de dano moral, sendo, pois, inviável se cogitar dano moral sem que tenha de fato ocorrido a aventada fraude com o uso dos dados vazados. Não há como se indenizar uma expectativa de dano, e entendimento contrário geraria para a parte autora evidente enriquecimento ilícito.(…)”.
Para o magistrado, “a indenização não pode ser fundada em suposições, medos ou aflições”.
Somado a isso, o juiz destacou a postura da empresa que, a seu ver, foi ativa e transparente ao adotar providências para amenizar os possíveis danos causados com o vazamento dos dados e prestar informações aos consumidores acerca do incidente.
Na linha do entendimento acima, em Diadema[2], o mesmo incidente de vazamento de dados foi objeto de sentença que igualmente julgou improcedente o pedido de indenização por danos morais, ante o entendimento de que “o mero vazamento das informações pessoais do autor, em tese, não seria, por si só, suficiente a caracterizar aquele dano”.
Destoando desse entendimento, um dos magistrados de São Bernardo do Campo[3], ao se deparar com um pedido de indenização por danos morais em função do mesmo incidente, entendeu contrariamente aos outros julgadores mencionados acima. A seu ver, sempre que existir um incidente de segurança envolvendo dados pessoais, haverá o dever de indenizar. Segundo ele, “conforme as regras da experiência comum e a observação da realidade, tendo vazado dados pessoais do autor, os danos morais são evidentes (dano in re ipsa).
Conclusão
Trouxemos julgados recentes que trazem exames e conclusões diferentes sobre os desdobramentos do mesmo incidente envolvendo dados pessoais. A temática é bastante nova e é inegável que só o tempo consolidará o entendimento jurídico sobre aspectos importantes.
Ao mesmo tempo, foi possível perceber que é significativo o exame criterioso pelo Judiciário que sinaliza, sobretudo, não estar disposto a reconhecer automaticamente a presença de danos morais oriundos de vazamento de dados. O fato é que cada caso é um caso e as peculiaridades serão bem examinadas para configurar infração apta a fazer nascer o dever de indenizar. O assunto e a postura do Judiciário só reforçam a importância de uma assessoria de confiança para o mapeamento, adequação e gestão da rotina daqueles que têm acesso a dados pessoais em suas atividades rotineiras.
[1] Processo nº 1024631-42.2020.8.26.0405 – 2ª Vara Cível de Osasco/SP
[2] Processo nº 1001809-78.2021.8.26.0161 – Vara do Juizado Especial Cível de Diadema/SP
[3] Processo nº 1001311-34.2021.8.26.0564 – 9ª Vara Cível de São Bernardo do Campo/SP
