O vazamento de dados de consumidores gera dano moral indenizável?

Desde a sanção da Lei 13.709/2018 (Lei Geral de Proteção de Dados Pessoais, a LGPD), a sociedade brasileira e a comunidade jurídica como que em uníssono passaram a ser fortemente inseridas no debate da proteção e defesa dos dados pessoais – ainda que este tema não seja recente e envolva uma complexa análise dos insurgentes novos modelos econômicos em rede[1].

Entretanto, e apesar da chamada LGPD não tutelar apenas ativos digitais, a relevância de notícias e escândalos de exposição massiva e indevida de dados em rede cada vez mais tomam destaque em nosso cotidiano e nos faz refletir: o vazamento de dados de consumidores gera dano moral indenizável? Analisemos brevemente.

Apesar da Constituição Federal de 1988 não prever expressamente a proteção e defesa dos dados até o presente momento[2], é reconhecido que esta pode ser extraída de um conjunto de dispositivos da Carta Magna, quais sejam, os artigos 5º, X, XII LVI[3], entre outros.

Concorrente que a proteção e defesa dos consumidores, por diálogo das fontes[4], também se assomam àqueles direitos, bem como observam o mesmo regime de aplicabilidade das normas (infra)constitucionais nas relações consumeristas, é inquestionável a existência deste substancioso plexo de normas irradiadoras de eficácia e vigor ao tratamento de vazamento de dados.

Bastante com isso pode-se afirmar que a análise da responsabilidade civil quando de tais ocorrências é nítida e que, caso a caso, esta deve ser avaliada. É que, apesar da ocorrência do vazamento em si violar os princípios básicos da integridade e confidencialidade que devem orientar políticas e normas de segurança da informação, por arrastamento, tais eventos afetam gravemente não apenas a integridade dos dados dos consumidores, como também a finalidade, a segurança e a qualidade indispensáveis no tratamento dos dados, princípios básicos a serem observados[5], ainda mais quando os ativos forem dados sensíveis (artigos 5º, II e 11 a 13 da Lei 13.709/2018).

Atualmente, a jurisprudência pátria acerca desta questão, apesar de ainda não abundante, orienta no sentido de que o vazamento de dados enseja reparação individual ou coletiva, desde que comprovada a ocorrência de dano ao consumidor, ainda mais quando se tratem de dados sensíveis, verbis[6]:

“Recurso Inominado. Ação de indenização por danos materiais e morais. Fraude perpetrada. Vazamento de informações cadastrais e negociais do autor. Danos morais não configurados. Ausência de previsão legal para impor danos morais com caráter meramente punitivo. (…) 1. Narra o autor que em razão do vazamento de seus dados sigilosos, foi levado a cair em uma fraude. 2. Sentença que julgou parcialmente procedente a ação, a fim de condenar o réu ao pagamento da quantia de R$ 814,02 a título de indenização por danos materiais. 3. Analisando o conjunto probatório, verifica-se que o autor não demonstrou de forma cabal o abalo moral sofrido, a fim de comprovar fato constitutivo de seu direito, ônus que lhe incumbia, nos termos do art. 373, I, do CPC. 4. Com efeito, o autor tinha um acordo com a ré, recuperadora de créditos, sendo que foi contatado por fraudadores, que dispunham dos dados do acordo e, mediante fraude, fizeram-no pagar uma parcela indevida. 5. O presente recurso cinge-se a postular danos morais por conta do manejo de dados fraudulentos. 6. In casu, não se trata de situação excepcional capaz de determinar a incidência de danos morais, porque tal se daria apenas em caráter punitivo. 7. Desta forma, entende-se que não restaram caracterizados os danos morais, já que a parte autora não comprovou que tivesse tido abalo em algum dos atributos da sua personalidade, em função da situação vivenciada, tratando-se de mero aborrecimento, o que não é capaz de gerar dano moral indenizável, salvo em situações excepcionais” TJ/RS, RI 0047026-37.2019.8.21.9000, Rel. Des. Fábio Vieira Heerdt, 3ª Turma Recursal Cível, j. 26/09/2019;

“APELAÇÃO CÍVEL – AÇÃO ANULATÓRIA DE CONTRATO E INDENIZAÇÃO POR DANOS MORAIS – CONTRATAÇÃO DE EMPRÉSTIMOS – CAIXA ELETRÔNICO – CULPA EXCLUSIVA DA VÍTIMA – NÃO CONFIGURADA – DEFEITO NA PRESTAÇÃO DO SERVIÇO BANCÁRIO – VAZAMENTO DE DADOS PESSOAIS – DANOS MORAIS CARACTERIZADOS – QUANTUM INDENIZATÓRIO – ADEQUAÇÃO DEVIDA – SENTENÇA REFORMADA EM PARTE. (…) Reveste-se de ilicitude a hipótese em que a instituição financeira permite ou não cuida para impedir o vazamento dos dados pessoais de seus clientes oportunizando, assim, a atuação ilícita de terceiros fraudadores”. TJ/MG, AC 1.0471.16.012594-7/001, Rela. Desa. Juliana Campos Hora, 12ª Câmara Cível, Dje. 08/08/2019;

“Consumidor. Reparação de danos. Divulgação de dados pessoais de alunos de universidade em grupo de e-mail. Falha humana. Diligencias adotadas pela ré imediatamente após o fato a fim de evitar prejuízo. Dano moral não configurado. Improcedência do pedido. (…) Em que pese seja incontroversa a indevida divulgação de dados cadastrais de alunos em um grupo de e-mail dos alunos do curso de arquitetura, com assunção de responsabilidade pela ré, não logrou a autora comprovar a ocorrência de lesão a quaisquer dos direitos da personalidade, ônus que a ela incumbia, na forma do art. 333, inc. I, do Código de Processo Civil. Ademais, a universidade comprovou ter tomado todas as providências pertinentes a fim de minimizar os prejuízos decorrentes do vazamento de informações, lançando nota em jornal local, registrando Boletim de Ocorrência, advertindo os alunos que receberam o e-mail com os dados para que não os repassassem, anotação junto ao SPC e SERASA através de intervenção judicial, dentre outras. Neste sentido, a ocorrência de divulgação de dados – diga-se, não sigilosos – por si só, não evidencia dano moral, uma vez que à míngua de comprovação específica, por não ser presumido, não resta caracterizado. Precedentes das Turmas Recursais em hipóteses análogos” TJ/RS RI 0013440-19.2013.8.21.9000, Rela. Desa. Camila Wollmeister, 1ª Turma Recursal Cível, j. 26/11/2013;

“DANO MORAL. VAZAMENTO DE SUSPEITAS. QUEBRA DE SIGILO. DIREITO À INDENIZAÇÃO. O fato de o trabalhador ser empregado em Banco e ter conta na instituição em que trabalha não autoriza o empregador a quebrar o sigilo bancário, a pretexto de proceder a investigação de eventual desvio de numerário (…) Ainda que o Banco seja gestor das contas de seus empregados e clientes, até porque é nula a prova obtida por meio ilícito e a Constituição resguarda o sigilo de dados (arts. 5º, LVI e XII, CF). A subordinação no contrato de trabalho não se estende à esfera da privacidade e intimidade do trabalhador. Além da obrigação de dar trabalho e de possibilitar a execução normal da prestação de serviços, incumbe ao empregador respeitar a honra, reputação, dignidade, privacidade, intimidade e integridade física e moral de seu empregado, por serem atributos que compõem o patrimônio ideal da pessoa, assim conceituado o conjunto de tudo aquilo que não seja suscetível de valor econômico” TRT 2ª Região, RO 2276200206502007, Rel. Des. Ricardo Artur Costa e Trigueiros, 4ª T., Dje 22/08/2006;

Esta relevante orientação jurisprudencial pátria, apesar de correta, data venia, não nos parece ser a mais consentânea ao microssistema de proteção e defesa dos consumidores comunicado às normativas de proteção de dados a vigorar nos próximos meses. É que, os Capítulos VI e seguintes da LGPD, com destaque aos artigos 42, caput[7] e 43[8], inaugurarão categoricamente um regime de responsabilidade civil objetiva na cadeia de responsabilidades ao vazamento de dados aos consumidores, dispositivos estes que exatamente dialogam com as normas de responsabilidade civil gerais do CDC.

Obviamente, é necessária uma reflexão mais detida acerca da Lei Geral de Proteção de Dados Pessoais, bem como de toda a eficácia e da força normativa de sua agremiação constitucional. Não por menos que o debate não deve ser promovido e nem realizado. E, como disse o presidente John F. Kennedy, se “consumidores somos todos nós”, também “titulares de dados somos todos nós”. Estejamos alerta aos nossos não tão novos tempos.

[1] Neste sentido, por todos, MENDES, Laura Schertel. O direito básico do consumidor à proteção de dados pessoais. In: Revista de Direito do Consumidor, São Paulo, vol. 95, p. 53 – 75, set./out., 2014; RIBEIRO, Luciana Antonini. A privacidade e os arquivos de consumo na internet. In: Doutrinas Essenciais de Responsabilidade Civil, São Paulo, vol. 8, p. 1151 – 1168, out . 2011; ZUBOFF, Shosana. The age of surveillance capitalism: the fight for a human future at the new frontier of power. New York: PublicAffairs, 2019, p. 10 e ss.;

[2] BIONI, Bruno. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro: Forense, 2019, p. 132 e ss.; DONEDA, DANILO. O direito fundamental à proteção de dados pessoais. In: MARTINS, Guilherme Magalhães; LONGHI, João Victor Rozatti. (orgs.). Direito Digital: Direito Privado e Internet. 2. ed. Indaiatuba: Editora Foco, 2019, p. 123-154.

[3] Idem, Ibidem.

[4] BOFF, S. O.; FORTES, V. B. A privacidade e a proteção dos dados pessoais no ciberespaço como um direito fundamental: perspectivas de construção de um modelo regulatório para o Brasil. In: Sequência (UFSC), Florianópolis, v. 1, p. 109-127, 2014; MIRAGEM, Bruno. Novo paradigma tecnológico, mercado de consumo digital e o direito do consumidor. In: Revista de Direito do Consumidor, São Paulo, vol. 125, p. 17 – 62, set./out., 2019.

[5] PINHEIRO, Patrícia Peck. Direito Digital. 6. ed. atual. e ampl. São Paulo: Saraiva, 2019, p. 225-242 cc/ 513/525; SARTORI, Ellen Carina Mattias. Privacidade e dados pessoais: a proteção contratual da personalidade do consumidor na internet. In: Revista de Direito Civil Contemporâneo, São Paulo, vol. 9, p. 49 – 104, out./dez. 2016; VERBICARO, Dennis; MARTINS, Ana Paula Pereira. A contratação eletrônica de aplicativos virtuais no Brasil e a nova dimensão da privacidade do consumidor. In: Revista do Direito do Consumidor, São Paulo, vol. 116, ano 27, p. 369-391, mar.-abr. 2018.

[6] Vale ressaltar julgado do próprio TJ/RS em que vazamento de dados fora considerado como suporte a ocorrência de dano moral in re ipsa, “APELAÇÕES CÍVEIS. REEXAME NECESSÁRIO. RESPONSABILIDADE CIVIL. AÇÃO DE INDENIZAÇÃO. VAZAMENTO DE DENÚNCIA ANÔNIMA. RESPONSABILIDADE OBJETIVA DO ESTADO. DEVER DE INDENIZAR CONFIGURADO. DANO MORAL. 1. A responsabilidade no caso em tela é objetiva, ou seja, independentemente de culpa, nos termos do artigo 37, § 6º, da Constituição Federal, exigindo apenas a conduta ilícita e existência de dano, bem como nexo de causalidade entre estes dois elementos. 2. Demonstrada a condita ilícita dos agentes, responsáveis pela investigação, pelo vazamento de denúncia anônima deve ser condenado o ente público ao pagamento da indenização. 3. Danos morais caracterizados e decorrentes da conduta ilegal do Estado, que atingiu os direitos da personalidade do autor. (…) No caso em tela, o autor demonstrou que não foi garantida pelos prepostos do réu a proteção ao sigilo de identificação do autor na espécie. Inicialmente, como bem asseverou a agente ministerial, na origem, "(…) Manifestação anônima é aquela em que não constam dados pessoais do cidadão capazes de identificá-lo. Manifestação sigilosa, a seu turno, é aquela em que estão incluídos os dados pessoais do cidadão, com solicitação de que ela seja resguardada (…) Em relação ao dano sofrido pela parte autora, trata-se de dano moral in re ipsa, que se presume, conforme as mais elementares regras da experiência comum, prescindindo de prova quanto ao prejuízo concreto. Assim, deve ser mantida a condenação do réu a indenizar o autor em razão dos fatos noticiados na inicial, sendo desnecessária a discussão a respeito, não havendo qualquer dúvida de que os fatos abalaram de forma extrema o autor em sua dignidade e honra” TJ/RS AC 0101734-62.2015.8.21.7000, Rela. Desa. Isabel Dias Almeida, 5ª Câmara Cível, j. 27/05/2015.

[7] “Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo” (grifos nossos). Pelo texto legal, a mera causação do dano decorrente de tratamento acarretará obrigação de repará-lo, não prevendo este dispositivo qualquer menção a culpa, estando esta prevista apenas como uma excludente do art. 43, III da referida Lei.

[8] Art. 43. Os agentes de tratamento só não serão responsabilizados quando provarem:

I – que não realizaram o tratamento de dados pessoais que lhes é atribuído;

II – que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou

III – que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.