TJ-SP cita LGPD para julgar casos de nome sujo, notícias, condomínio e assédio

No segundo semestre de 2021, o Tribunal de Justiça de São Paulo citou a Lei 13.709/2018 (Lei Geral de Proteção de Dados) em pelo menos 24 julgamentos. No mesmo período, foram ao menos 13 sentenças de primeiro grau embasadas na LGPD. Os dados fazem parte de um levantamento do Grupo de Apoio ao Direito Privado do TJ-SP.

Reprodução

Em um dos casos, a 31ª Câmara de Direito Privado condenou a Serasa por manter, na plataforma "Serasa Limpa Nome", dívidas já prescritas de um consumidor. De acordo com a relatora, desembargadora Rosângela Telles, tal conduta viola os termos da Lei Geral de Proteção de Dados.

"A LGPD passou a tratar os dados pessoais como bens pertencentes à pessoa a qual se referem. Aquele que realiza o tratamento dos dados (coleta, armazenamento, classificação, uso etc) lida com direitos alheios e tal diretriz embasa todo o regramento relativo ao tratamento dos dados", afirmou.

Neste contexto, a magistrada afirmou que possibilidade de incluir o nome de devedores em cadastros de inadimplentes sem autorização não se aplica a casos de dívidas prescritas: "Se não visam à proteção do crédito e, portanto, a indicação de dívidas prescritas não se submete ao artigo 7º, inciso X da LGPD, conclui-se que o tratamento dos dados exige consentimento do titular".

Vazamento de dados
A 34ª Câmara de Direito Privado isentou a Eletropaulo de indenizar um cliente por vazamento de dados. O autor invocou a LGPD para justificar a responsabilidade da concessionária pelo vazamento de suas informações. No entanto, o relator, desembargador Soares Levada, destacou que a empresa não teve culpa pelo episódio, que se deu por ação de hackers.

"A responsabilidade do detentor de dados é excluída por culpa de terceiro, vide artigo 43 da LGPD. Na hipótese dos autos, o vazamento de dados deu-se por culpa de terceiros (hackers) que, não obstante a adoção de medidas de segurança das informações, invadiram o sistema da apelada", explicou o magistrado.

Esse mesmo entendimento foi adotado pela 29ª Câmara de Direito Privado para negar um pedido de indenização por danos morais feito por um cliente da Eletropaulo que também teve os dados vazados. Na visão do relator, desembargador Fabio Tabosa, não houve aborrecimento de tal dimensão a justificar o reconhecimento da lesão a valores da personalidade do autor.

"Em casos como o presente, em tal sentido, para além da constatação da irregularidade no tratamento dos dados do usuário, necessária à reparação pretendida a comprovação, a título de exemplo, da efetiva utilização das referidas informações por terceiros, ou ao menos a mínima especificação das consequências decorrentes do uso indevido, o que, indubitavelmente, não houve na espécie", afirmou.

Marcelo Casal Jr./Agência Brasil

Já a 4ª Câmara de Direito Privado condenou duas construtoras a bloquear os dados pessoais, financeiros e bancários de um cliente, que foram acessados por outras empresas. O consumidor alegou que, após firmar um contrato com as rés, passou a receber ligações e mensagens de terceiros estranhos à relação comercial, oferecendo serviços para o imóvel adquirido.

Para o relator, desembargador Enio Zuliani, ao permitir o compartilhamento ou não possuir meios de evitar a divulgação dos dados de seus clientes, as rés violaram não só a LGPD, mas também direitos previstos pela própria Constituição, tais como os direitos à honra, à privacidade, à autodeterminação informativa e à inviolabilidade da intimidade.

Ele afastou o argumento das construtoras de que a LGPD não se aplicaria ao caso, uma vez que o contrato com o cliente foi firmado em 2019 e a norma só entrou em vigor em 2021: “Esses direitos não passaram a existir a partir da LGPD, pelo contrário: deram origem à lei específica, pois estavam presentes há muito tempo no nosso ordenamento jurídico. Enfim, houve falha na prestação do serviço, e essa falha é que deve ser censurada”.

Ainda segundo o relator, a vida moderna exige que as relações sociais e jurídicas sejam estabelecidas dentro dos mais rígidos sistemas de segurança, de forma a assegurar às partes envolvidas o máximo sigilo, garantindo que dados são importantes e terão destinação adequada para serviços contratados ou autorizados por seu titular.

Assédio sexual após vazamento de celular
Uma empresa de serviços educacionais foi condenada pela 30ª Câmara de Direito Privado após um funcionário passar o número do telefone de uma cliente para outra pessoa. A aluna, além de não ter autorizado o envio do número, ainda passou a ser assediada por mensagens de WhatsApp.

A relatora, desembargadora Maria Lúcia Pizzotti, afastou a tese de ilegitimidade passiva levantada pela empresa. Segundo ela, o fato gerador dos danos foi o repasse do celular da autora por um preposto da ré a um terceiro. "Essa quebra do dever de proteção de dados atrai para si a responsabilidade pelos danos morais (Lei Geral de Proteção de Dados, artigo 42)", pontuou.

Reprodução

Conforme a desembargadora, como a empresa possuía o celular da autora por conta de um contrato de prestação de serviços, passou a figurar como controladora dos dados pessoais (LGPD, artigo 5º, VI): "A violação ao dever de proteção de dados pessoais, vazamento de dados, é a causa dos danos aqui narrados, não excluindo eventuais danos causados pelo ‘galanteador’, cuja insistência beira o novo crime de stalker, CP, artigo 147-A".

Retirada de reportagens do ar
A 7ª Câmara de Direito Privado negou pedido de um homem condenado por violação de direitos autorais para que seu nome e imagem fossem excluídos de notícias publicadas na internet em 2014. Ele alegou já ter cumprido a pena, mas, quando faz buscas com seu nome no Google, aparecem as notícias da época em que foi preso.

O homem invocou o direito ao esquecimento. Porém, o relator, desembargador Rômolo Russo, citou o julgamento do Supremo Tribunal Federal, no RE 1.010.606, que concluiu pela inconstitucionalidade do direito ao esquecimento. Além disso, conforme o magistrado, no mesmo julgamento, ao tratar da questão em âmbito digital, o STF definiu a inaplicabilidade da LGPD às publicações jornalísticas.

"Por conseguinte, considerando-se licitude da matéria jornalística ao tempo de sua publicação, o superveniente sigilo dados processuais penais não autoriza a exclusão do fato verídico noticiado, o que compromete a identificação da probabilidade do direito à remoção das matérias jornalísticas impugnadas", afirmou Russo.

Transferência internacional de dados
A 2ª Câmara de Direito Privado manteve decisão que obriga o Google Brasil a fornecer o IP de um usuário que publicou denúncias falsas na internet contra uma empresa de telecomunicações. Um dos argumentos do Google Brasil, ao recorrer da decisão, foi de que o e-mail em questão estaria vinculado ao Google Ireland.

O relator, desembargador Álvaro Passos, disse que as duas empresas integram o mesmo grupo econômico e, por isso, devem responder por todos os serviços prestados no território brasileiro. Segundo ele, o envio de dados entre empresa do mesmo grupo, ainda que estejam em países distintos, não configura transferência internacional, como previsto na LGPD.

"O conceito de ‘transferência internacional de dados’ colocado no inciso XV do artigo 5º da LGPD institui que se trata propriamente de ‘transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro’. A hipótese vertente é específica de empresas que compõem um mesmo grupo e que regularmente prestam serviço no território brasileiro e, no caso, teve operação de provedor de aplicação de comunicação com ocorrência vinculada ao Brasil", disse.

Reprodução

Portanto, prosseguiu o relator, não há enquadramento do caso na LGPD, pois não se trata de fornecimento de dados pessoais de país estrangeiro ou organização internacional sem qualquer relação com o território nacional, mas sim de episódio com resultado diretamente ligado ao Brasil. “O artigo 33 da LGPD não é parâmetro a ser aplicado no caso em apreço, mas sim a referida legislação nacional, o conhecido Marco Civil da Internet”, concluiu Passos.

Assembleia de condomínio
A 31ª Câmara de Direito Privado determinou que uma administradora de condomínio forneça os dados pessoais dos moradores (como nome completo, e-mail e telefone) a um grupo de condôminos que pretende convocar uma assembleia-geral extraordinária para discutir a destituição do síndico.

A administradora havia se recusado a passar os dados com base na LGPD. Entretanto, o relator, desembargador Antonio Rigolin, considerou que a situação se enquadra no artigo 11, inciso II, a, da Lei 13.709/2018, que permite o tratamento de dados pessoais sensíveis, sem autorização dos titulares.

“Naturalmente, o fornecimento das informações pode ocorrer em situações excepcionais, justamente em cumprimento de obrigação legal. Existe o dever de viabilizar a realização da assembleia, e a ré, detentora dos dados, não pode se recusar ao fornecimento dos dados necessários, situação que se enquadra no permissivo do artigo 11, inciso II, a, da Lei 13.709/2018”, disse.

1003948-79.2020.8.26.0438
1000407-06.2021.8.26.0405
1049939-28.2020.8.26.0002
2014100-28.2020.8.26.0000
1006311-89.2020.8.26.0001
2191959-94.2021.8.26.0000
1000580-66.2021.8.26.0005
1023988-53.2020.8.26.0577