O dano moral por violação à LGPD

O contencioso judicial que se forma a partir da Lei Geral de Proteção de Dados Pessoais (LGPD) possui um grande ponto de atenção: há configuração automática de dano moral oriundo de violação à proteção de dados pessoais? Um incidente de segurança é, per se, suficiente para caracterizar o dano moral, independentemente de se provar a ofensa moral? A divulgação involuntária de dados como Cadastro de Pessoas Físicas (CPF) autoriza a indenização por danos morais presumidos, mesmo se tratando de informação já de grande circulação no mercado de consumo?

O Superior Tribunal de Justiça tem entendimento consolidado quanto à dispensa de prova do dano moral para a configuração do dever de indenizar para situações muito específicas, como inscrição ou manutenção indevida de nome do consumidor em cadastro de devedores sem a prévia comunicação ou, ainda, a recusa indevida do plano de saúde de realização de procedimento cirúrgico necessário. Nesses casos, o tribunal entende pela configuração de hipótese de dano moral in re ipsa, tendo em vista o atingimento da própria dignidade do ser humano com o ato ilícito, o que dispensaria a produção de qualquer prova do dano, já que o prejuízo decorreria do próprio fato danoso.

O dano moral coletivo, por sua vez, é entendido como uma figura jurídica com funções punitiva e preventiva e, ainda, compensatória, que se mostra aferível in re ipsa mediante a mera constatação da prática de conduta ilícita que, de maneira injusta e intolerável, viole direitos de conteúdo extrapatrimonial da coletividade.

Nesse sentido, inclusive, tem havido a condenação a pagar indenização por danos morais coletivos em casos como tempo de espera para o atendimento em estabelecimentos bancários, em razão de violação injusta e intolerável ao interesse social de máximo aproveitamento dos recursos produtivos; ou vulnerabilização de crianças e adolescentes na exibição de programação de televisão, em razão de verificada lesão ao direito transindividual da coletividade.

Há fortes precedentes dos tribunais brasileiros, a exemplo do REsp nº 1726270/BA, que apontam para a preocupação com a banalização do instituto dos danos morais, quer individuais, quer coletivos. Nesse caso citado, afastou-se a configuração do dano moral presumido em caso de utilização de banco de dados. Para o Superior Tribunal de Justiça, o fato transgressor deve ser grave o suficiente para produzir verdadeiros sofrimentos, intranquilidade social e transbordar os limites da tolerabilidade, devendo-se evitar a condenação por danos morais para qualquer ato tido como atentado aos interesses dos consumidores (REsp nº 1.303.014/RS; REsp nº 1.438.815/RN e REsp nº 1.221.756/RJ).

Vale destacar que, inclusive, o entendimento da corte já conduzia para o sentido de evitar o excesso de condenações por danos morais quando do julgamento do REsp 1419697/RS — afetado pelo sistema dos recursos repetitivos em 2014 — ao afastar a configuração de dano moral presumido pelo simples ato de utilização de dados de consumidores para o chamado escore de crédito sem consentimento do consumidor, desde que não evidenciada a utilização indevida de dados excessivos ou sensíveis.

Por outro lado, há casos recentes em que a jurisprudência entendeu que a inobservância de deveres associados ao tratamento de dados, em especial o dever de informação, gera o dever de indenizar (dano moral in re ipsa), bem como o dever de cessar a ofensa aos direitos de personalidade (REsp 1758799/ MG). Nesse sentido, ainda, a recente sentença proferida por juiz do Tribunal de Justiça do Estado de São Paulo (TJ-SP) (Processo 1080233-94.2019.8.26.0100), já embasada pelas previsões contidas na Lei Geral de Proteção de Dados, ao entender pela configuração de dano moral presumido ante a violação aos direitos de privacidade.

Não nos parece que a maioria das situações mais corriqueiras que envolvem proteção à privacidade de dados pessoais configura tamanha gravidade e perturbação social. A mera divulgação não autorizada de um dado pessoal causada por falha de segurança, por exemplo, sem que tenha havido qualquer utilização indevida desse dado por terceiros para outros fins, não gera automática presunção de prejuízo ao titular.

O ideal é caminhar para uma apreciação casuística, a fim de que se verifique a ocorrência de efetiva violação extraordinária, injusta e intolerável quer aos direitos de personalidade e à própria dignidade da pessoa humana, quer aos valores fundamentais da coletividade e que possam justificar a configuração dos danos morais.