No dia 16 de abril deste ano, foi publicada uma decisão que tem gerado ampla discussão entre os especialistas da área de proteção de dados. Isto porque tal decisão afastou a indenização por dano moral presumido (in re ipsa), em caso de vazamento de dados pessoais. A ação de obrigação de fazer cumulada com pedido de indenização por danos morais no valor de R$ 10 mil, foi proposta por uma consumidora ("Autora") em face da Eletropaulo ("Ré") após tomar ciência do vazamento de seus dados pessoais em razão de incidente de segurança sofrido pela Ré.
A Autora foi informada do vazamento de seus dados pelo Instituto de Proteção de Dados Pessoais (IPRODAPE), informação esta que foi posteriormente confirmada pela própria Ré.
Em sua petição inicial, a Autora alegou que, após o incidente, (i) começou a enfrentar diversos problemas relacionados ao recebimento de mensagens indesejadas via e-mail e celular; (ii) teve de se revestir de mais cautela para evitar o pagamento de boletos fraudulentos; e (iii) perdeu o sono, em razão da angústia e tristeza sofridas em decorrência do vazamento de seus dados.
A Ré, por sua vez, alegou (i) que a ação proposta pela Autora era temerária e carente de argumentação razoável, (ii) que, até o momento, outras 37 ações idênticas a esta já haviam sido ajuizadas, todas patrocinadas pela IPRODAPE; (iii) não teria havido qualquer violação à LGPD, pois a Ré sempre geriu suas atividades conforme ditames legais; e (iv) não teria havido comprovação do dano moral alegado.
O magistrado decidiu pela improcedência dos pedidos, pois no seu entendimento : (i) a Autora teria falhado em comprovar o dano que efetivamente sofreu, tendo em vista que esta comprovação não poderia ter sido feita por afirmações genéricas sobre abalos psicológicos supostamente sofridos, mas sim por meio de cópias de e-mails indesejados e boletos fraudulentos efetivamente recebidos após o incidente de segurança; e (ii) os dados vazados eram referentes a qualificação do consumidor, não acobertados por sigilo e de conhecimento comum de terceiros, sendo assim, o vazamento dos mesmos não incorreria em ofensa a direito da personalidade e, consequentemente, necessidade de reparação moral.A nosso ver, a decisão tomada pelo magistrado foi acertada, visto que a Autora aparentemente não conseguiu comprovar a ocorrência de nenhum dano efetivo.
Segundo o magistrado, a mera apresentação de cópia do registro de e-mails recebidos já seria suficiente para se verificar eventual discrepância com relação a quantidade de spams e tentativas de fraude direcionadas a seu endereço eletrônico, o que nos parece razoável.
Todavia, o magistrado também sustentou uma suposta "insignificância" dos dados vazados, posto tratar-se de qualificação do consumidor (nome, RG, CPF), não acobertados por sigilo ou capazes de macular direitos da personalidade. Tal entendimento, no entanto, nos parece equivocado e vai de encontro ao espírito da LGPD que visa dar aos titulares transparência e controle de seus dados pessoais, quaisquer que sejam.
Neste sentido, vale mencionar a decisão tomada pelo Tribunal Constitucional Alemão em 1983 a respeito da Lei do Censo de 1982 citada por João Carlos Zanon na obra Direito à proteção dos dados pessoais. Referida lei previa, além do fornecimento de dados pessoais de cidadãos para fins estatísticos, a possibilidade de cruzamento desses dados com outros registros públicos para a consecução de finalidades genéricas. Na oportunidade, ao decidir pela inconstitucionalidade parcial da lei e pelo fornecimento de dados apenas para fins estatísticos, o Tribunal expressou entendimento no sentido de que “não existem mais dados ‘insignificantes’ no contexto do processamento eletrônico de dados. O fato de informações dizerem respeito a processos íntimos não decide por si só se elas são sensíveis ou não”. Sobre esta questão, merece destaque também a decisão tomada recentemente pelo Supremo Tribunal Federal (STF) em Medida Cautelar em Ação Direta de Inconstitucionalidade a respeito da Medida Provisória n° 954/2020 que determinava que empresas de telecomunicações compartilhassem dados pessoais de seus consumidores com o Instituto Brasileiro de Geografia e Estatística (IBGE) para fins estatísticos.
Na oportunidade, o STF decidiu pela suspensão da eficácia da referida medida provisória, argumentando que o compartilhamento de dados com a finalidade genérica de “produção estatística oficial” atropelaria garantias consagradas na Constituição Federal e mencionando a decisão do Tribunal Constitucional Alemão citada acima para, da mesma forma, ressaltar a inexistência de dados pessoais insignificantes na sociedade atual.
Para conferir a decisão na íntegra, clique aqui.
Equipe de Tecnologia, Propriedade Intelectual e Direito Digital - Motta Fernandes