Acórdão do TJ-SP abre discussão sobre aplicação de indenizações pela LGPD

Um acórdão do Tribunal de Justiça de São Paulo trouxe à tona uma discussão em torno de indenizações pela Lei Geral de Proteção de Dados (LGPD), que vem sendo analisada por especialistas no tema. No caso, um consumidor recorreu contra uma empresa fornecedora de serviços públicos por violação de dados pessoais e por ter ocasionado recebimento indesejados de telefonemas e e-mails.

O TJ-SP reconheceu a ocorrência de vazamento dos dados pessoais não sensíveis do autor da ação e condenou a ré a fornecer declaração completa que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, assim como a cópia exata de todos os dados referentes ao titular constantes em seus bancos de dados no prazo de 30 dias, sob pena de multa diária de R$500, inicialmente limitada em R$5.000.

Reprodução

No acórdão da 27ª Câmara de Direito Privado, o desembargador Alfredo Attié, relator do caso, nota que a respeito do regime de responsabilidade civil previsto na LGPD, não se trata mais, como antigamente, de aplicação das regras da responsabilidade subjetiva ou objetiva.

Segundo ele, deve-se levar em conta o "que a doutrina vem definindo como responsabilidade ativa ou proativa, hipótese em que, às empresas não é suficiente o cumprimento dos artigos da lei, mas será necessária a demonstração da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, a eficácia dessas medidas".

O desembargador, no entanto, afastou condenação por danos morais. "O dano moral, ainda mais sob uma perspectiva constitucionalizada do Direito Civil, somente se configura quando houver lesão à dignidade humana e seus substratos: liberdade, igualdade, solidariedade e integridade psicofísica", o que não ficou demonstrado na ação.

E completou: "os dados vazados, no caso, dizem respeito a informações essencialmente públicas ou de fácil acesso a terceiros, isto é, nome, CPF, data de nascimento e idade. Quanto aos números de telefone fixo e celular, bem como o endereço de e-mail, muito embora tais informações não sejam, em regra, de caráter público, também não revelam qualquer dado sensível ou que, por si só, possa comprometer a dignidade do autor, caso de conhecimento público". "Eventual recebimento de mensagens ou incômodo, embora não mereça menosprezo, é fato que cabe ser imputado a seus causadores, e se for o caso de admitir-se qualquer reparo nesse sentido."

A advogada Luiza Leite, com experiência em Direito Digital, com foco em proteção de dados e privacidade, analisou a decisão. "Na LGPD, a grande discussão, em termos de indenização do titular, gira em torno da definição de qual o tipo de responsabilidade deve ser aplicada pela lei: objetiva ou subjetiva. Ou seja, se é necessário comprovar o efetivo dano e/ou a conduta ilícita do agente para fins de responsabilização", afirmou.

Nesse sentido, segundo ela, o que ocorre é a jurisprudência tentando suprir essa lacuna com posicionamentos que defendem ambos os lados. Com isso, o cenário acaba sendo de insegurança jurídica, uma vez que os tribunais têm proferido decisões tanto no sentido de reconhecer o dano moral presumido (proveniente da responsabilização objetiva) quanto exigindo a comprovação efetiva do abalo moral sofrido (responsabilização subjetiva).

No caso do acórdão do TJ paulista, segundo a especialista, foi seguido o segundo posicionamento. "Uma das preocupações com esse tipo de decisão é sobre as empresas deixarem de se atentar aos cuidados com a proteção de dados, visto que o simples vazamento de dados não gera o dever de indenizar. Contudo, o relator levanta um ponto interessante que de certa forma ameniza essa preocupação: a ideia de responsabilidade proativa. Ou seja, a empresa deve comprovar que adotou medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, a eficácia dessas medidas", salienta.

Além disso nota que outro ponto de atenção na decisão refere-se à diferenciação entre os tipos de dados pessoais. Um dos argumentos levantados pelo relator do caso é de que a configuração do dano moral presumido se daria com base na natureza dos dados violados, cabendo apenas quando se tratar de dados pessoais sensíveis. "Contudo, a LGPD não faz esta distinção para fins de responsabilização no artigo 42 da lei. O tratamento ilícito tanto de dados pessoais sensíveis quanto dados pessoais 'comuns' é passível de responsabilização e indenização", sustenta a especialista.

Na opinião dela, para que as empresas se resguardem de ambos os posicionamentos, é recomendado que adotem medidas de compliance com a LGPD. "Ter uma boa política de gestão de incidentes é essencial para mitigar os danos causados. Da mesma forma que servem como precaução para evitar possíveis incidentes e se configuram como atenuantes. Assim como, investir em plataformas de gestão de riscos e direito dos titulares, gera eficiência e resguarda as empresas de possíveis litígios", diz.

Clique aqui para ler o acórdão
Apelação Cível 1008308-35.2020.8.26.0704