Dano moral, vazamento de dados e LGPD



No dia 16 de abril deste ano, foi publicada uma decisão que tem gerado ampla discussão entre os especialistas da área de proteção de dados. Isto porque tal decisão afastou a indenização por dano moral presumido (in re ipsa), em caso de vazamento de dados pessoais. A ação de obrigação de fazer cumulada com pedido de indenização por danos morais no valor de R$ 10 mil, foi proposta por uma consumidora ("Autora") em face da Eletropaulo ("Ré") após tomar ciência do vazamento de seus dados pessoais em razão de incidente de segurança sofrido pela Ré.


A Autora foi informada do vazamento de seus dados pelo Instituto de Proteção de Dados Pessoais (IPRODAPE), informação esta que foi posteriormente confirmada pela própria Ré.


Em sua petição inicial, a Autora alegou que, após o incidente, (i) começou a enfrentar diversos problemas relacionados ao recebimento de mensagens indesejadas via e-mail e celular; (ii) teve de se revestir de mais cautela para evitar o pagamento de boletos fraudulentos; e (iii) perdeu o sono, em razão da angústia e tristeza sofridas em decorrência do vazamento de seus dados.


A Ré, por sua vez, alegou (i) que a ação proposta pela Autora era temerária e carente de argumentação razoável, (ii) que, até o momento, outras 37 ações idênticas a esta já haviam sido ajuizadas, todas patrocinadas pela IPRODAPE; (iii) não teria havido qualquer violação à LGPD, pois a Ré sempre geriu suas atividades conforme ditames legais; e (iv) não teria havido comprovação do dano moral alegado.


O magistrado decidiu pela improcedência dos pedidos, pois no seu entendimento : (i) a Autora teria falhado em comprovar o dano que efetivamente sofreu, tendo em vista que esta comprovação não poderia ter sido feita por afirmações genéricas sobre abalos psicológicos supostamente sofridos, mas sim por meio de cópias de e-mails indesejados e boletos fraudulentos efetivamente recebidos após o incidente de segurança; e (ii) os dados vazados eram referentes a qualificação do consumidor, não acobertados por sigilo e de conhecimento comum de terceiros, sendo assim, o vazamento dos mesmos não incorreria em ofensa a direito da personalidade e, consequentemente, necessidade de reparação moral.A nosso ver, a decisão tomada pelo magistrado foi acertada, visto que a Autora aparentemente não conseguiu comprovar a ocorrência de nenhum dano efetivo.


Segundo o magistrado, a mera apresentação de cópia do registro de e-mails recebidos já seria suficiente para se verificar eventual discrepância com relação a quantidade de spams e tentativas de fraude direcionadas a seu endereço eletrônico, o que nos parece razoável.


Todavia, o magistrado também sustentou uma suposta "insignificância" dos dados vazados, posto tratar-se de qualificação do consumidor (nome, RG, CPF), não acobertados por sigilo ou capazes de macular direitos da personalidade. Tal entendimento, no entanto, nos parece equivocado e vai de encontro ao espírito da LGPD que visa dar aos titulares transparência e controle de seus dados pessoais, quaisquer que sejam.


Neste sentido, vale mencionar a decisão tomada pelo Tribunal Constitucional Alemão em 1983 a respeito da Lei do Censo de 1982 citada por João Carlos Zanon na obra Direito à proteção dos dados pessoais. Referida lei previa, além do fornecimento de dados pessoais de cidadãos para fins estatísticos, a possibilidade de cruzamento desses dados com outros registros públicos para a consecução de finalidades genéricas. Na oportunidade, ao decidir pela inconstitucionalidade parcial da lei e pelo fornecimento de dados apenas para fins estatísticos, o Tribunal expressou entendimento no sentido de que “não existem mais dados ‘insignificantes’ no contexto do processamento eletrônico de dados. O fato de informações dizerem respeito a processos íntimos não decide por si só se elas são sensíveis ou não”. Sobre esta questão, merece destaque também a decisão tomada recentemente pelo Supremo Tribunal Federal (STF) em Medida Cautelar em Ação Direta de Inconstitucionalidade a respeito da Medida Provisória n° 954/2020 que determinava que empresas de telecomunicações compartilhassem dados pessoais de seus consumidores com o Instituto Brasileiro de Geografia e Estatística (IBGE) para fins estatísticos.


Na oportunidade, o STF decidiu pela suspensão da eficácia da referida medida provisória, argumentando que o compartilhamento de dados com a finalidade genérica de “produção estatística oficial” atropelaria garantias consagradas na Constituição Federal e mencionando a decisão do Tribunal Constitucional Alemão citada acima para, da mesma forma, ressaltar a inexistência de dados pessoais insignificantes na sociedade atual.


Para conferir a decisão na íntegra, clique aqui.


Equipe de Tecnologia, Propriedade Intelectual e Direito Digital - Motta Fernandes

14 views0 comments