Indústria do dano moral por vazamento de dados já nasce à beira da falência

Desde sua edição, a Lei Geral de Proteção de Dados (LGPD) vem sendo objeto de estudos, controvérsias e até mesmo críticas por operadores do Direito. Uma das inquietudes mais comuns está relacionada à possibilidade de que a lei, a partir de seus dispositivos que tratam da responsabilidade dos agentes e da inversão do ônus da prova, sirva como instrumento poderoso à famigerada indústria do dano moral, o que poderia se concretizar caso qualquer tipo de violação de dados fosse interpretado pelo Poder Judiciário como ensejador de indenização por dano moral presumido (in re ipsa) em favor do titular afetado. 

Poucos meses depois da entrada em vigor (parcial) da lei, na Justiça estadual de São Paulo surgiram dezenas de ações judiciais praticamente idênticas, todas almejando danos morais em decorrência de episódio de vazamento de dados pessoais não sensíveis. De acordo com levantamento realizado pelo escritório Prado Vidigal Advogados, até o momento de elaboração deste artigo havia 42 ações nesse sentido com decisões (de primeiro grau ou colegiadas). Dessas ações identificadas no Tribunal de Justiça de São Paulo (TJ-SP), a esmagadora maioria — 85% dos casos — foi julgada improcedente em primeira instância. 

Ao afastar o dever de indenizar, os julgadores não reconheceram a responsabilidade do agente de tratamento (empresa ré) por ataque hacker externo ou, ainda que não tenham afastado a responsabilidade pelo evento, consideraram que a exposição indevida de dados pessoais (não sensíveis) não é suficiente para ensejar indenização por danos morais. Em resumo, os principais argumentos que identificamos foram:

— O ataque hacker é ato de terceiro (externo), atraindo aplicação do artigo 43, III, da LGPD, o qual dispõe que "os agentes de tratamento só não serão responsabilizados quando provarem:  (…) III – que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro)";

— Vazamento de dados pessoais comuns (não sensíveis) não são, por si só, capazes de gerar danos morais (ausência de prova efetiva do dano);

— Não se deve reconhecer o dever de indenizar diante da mera possibilidade de dano futuro; e

— A adoção de medidas internas preventivas e remediadoras pelo agente de tratamento em matéria de proteção de dados afasta o nexo causal.  

Desses casos, vários deles estão em fase de recurso, sendo que entre aqueles que já foram julgados em segundo grau (total de oito casos localizados), ao menos até a data de elaboração deste artigo, a derrota da tese do dano moral é do tamanho de um Brasil x Alemanha: sete decisões afastando a condenação (mantendo os já citados fundamentos das decisões de primeiro grau) e apenas uma concedendo. Importante notar que, no contexto em análise, a única decisão de segundo grau que até então reconheceu o dano moral presumido se pautou na conceituação equivocada de "dados sensíveis" (ignorando a definição expressamente trazida no artigo 5º, II, da LGPD). 

Nesse cenário, embora estejamos diante de uma amostragem ainda pequena de julgados perto do que virá pela frente, o entendimento dominante que começa a se formar no Tribunal de Justiça de São Paulo é bastante desencorajador às ações massificadas que buscam indenizações por danos morais presumidos diante de todo e qualquer tipo de vazamento de dados. A acertada tendência que se desenha, portanto, é de que o eventual reconhecimento dos danos morais em casos de incidentes dependa de uma análise fática pormenorizada, que leve em consideração, sobretudo, o grau de contribuição da empresa envolvida para ocorrência do evento e a natureza dos dados afetados. 

Ponto para a LGPD, que, se bem interpretada e aplicada, passará ilesa às inúmeras tentativas que ainda virão no sentido de torná-la matéria-prima para a repulsiva indústria do dano moral.