STJ e LGPD: dano moral por vazamento de dados deve ser comprovado

Recentemente (7/3/2023), o STJ (Superior Tribunal de Justiça) proferiu importante decisão no que tange à LGPD (Lei Geral de Proteção de Dados) e sua aplicabilidade, parametrizando alguns pontos-chaves, sabidamente objetos de inúmeras interpretações divergentes entre os tribunais estaduais do país.

Na origem, trata-se de ação indenizatória por danos morais, ajuizada por uma consumidora em face da Enel, concessionária fornecedora de energia elétrica. A lide em questão gira em torno do vazamento e compartilhamento de seus dados pessoais pela empresa, tais como: nome completo; RG; gênero; data de nascimento; idade; telefone fixo e celular; endereço; e até mesmo dados relativos ao contrato que as partes haviam celebrado.

A sentença julgou improcedentes os pedidos, mas foi reformada pelo TJ-SP (Tribunal de Justiça de São Paulo), que condenou a concessionária ao pagamento de indenização de R$ 5 mil. O acórdão foi fundamentado, resumidamente, a partir do reconhecimento de se tratar de dados pessoais sensíveis e que deveriam ter a privacidade garantida.

Ato contínuo, através do recente AREsp nº 2.130.619-SP, a 2ª Turma do STJ conheceu parcialmente do recurso por unanimidade, parte em que deu provimento para restabelecer o quanto deliberado em sentença.

Em sua fundamentação, a Corte Superior pontuou que o artigo 5º, II, da LGPD, prevê rol taxativo de dados que devem ser considerados como sensíveis e, em razão disto, exigem o tratamento diferenciado previsto no artigo 11 da mesma lei.

Com isso, frisou sua distinção daqueles dados de natureza comum previstos no inciso I do mesmo artigo, que são pessoais mas não íntimos, passíveis apenas de identificação da pessoa natural, os quais não poderiam ser classificados como sensíveis.

Ressalta-se que referido inciso traz a ideia de que, se tratando de dado pessoal sensível, obrigatoriamente fala-se em "dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural".

Muito diferente do inciso I, também do artigo 5º, o qual preceitua que quando simplesmente dado pessoal (compreendido como comum), diz-se respeito apenas à "informação relacionada a pessoa natural identificada ou identificável", exatamente como na situação apresentada.

Reprodução

Partindo dessa premissa, o relator Francisco Falcão apontou que, no caso dos autos, ainda que presente a exposição de dados pessoais, estes não são classificados como sensíveis, mas comuns, no passo em que não há que se falar em violação da intimidade da Autora.

Inclusive, frisou a incorreta interpretação da corte estadual no acórdão recorrido, que expressamente dissertou serem os dados em questão sensíveis, apresentando, portanto, inobservância ao texto legal.

Neste sentido, o ministro ressaltou que os dados expostos "são aqueles que se fornece em qualquer cadastro, inclusive nos sites consultados no dia a dia, não sendo, portanto, acobertados por sigilo, e o conhecimento por terceiro em nada violaria o direito de personalidade da recorrida".

Estabelecida essa distinção, seguiu seu voto fundamentando corretamente que, se tratando de apenas dados comuns, desacompanhados de efetiva comprovação do dano alegado, não se verifica possibilidade de indenização, diferente do que seria no caso de dados pessoais sensíveis.

De forma clara e acertada, esclareceu que "o vazamento de dados pessoais, a despeito de se tratar de falha indesejável no tratamento de dados de pessoa natural por pessoa jurídica, não tem o condão, por si só, de gerar dano moral indenizável. Ou seja, o dano moral não é presumido, sendo necessário que o titular dos dados comprove eventual dano decorrente da exposição dessas informações. Diferente seria se, de fato, estivéssemos diante de vazamento de dados sensíveis, que dizem respeito à intimidade da pessoa natural".

De plano, a decisão se mostra correta e muito significante. A exposição de dados pessoais de pessoas naturais, especialmente ocasionado por empresas dentro da relação de consumo, é um tema de grande presença nos tribunais há bons anos. Tanto é verdade, que se pode dizer ser este o fato gerador para a edição da LGPD em comento.

É dizer, tem-se dado tamanha importância para a segurança da intimidade das pessoas naturais, presente em seus dados pessoais, que se passou a verificar verdadeira inversão dos dispositivos e propósitos da lei. A segurança deve ser assegurada e a importância a ela dada deve ser mantida, de fato, mas sem que se deixe de aplicar a norma de forma adequada, respeitando o texto legal redigido pelo legislador justamente para o sistema em questão.

A ideia aqui não é discorrer sobre a separação e independência dos três poderes, asseveradas pela Constituição, mas notar que por vezes, temas notoriamente importantes, com regramentos relativamente novos, pode inflamar não só as partes litigantes como também o próprio Poder Judiciário, acarretando decisões precipitadas e em desarmonia com a legislação.

Para além disso, como consequência, um problema é criado de forma reversa, dado que muitos controladores de dados, geralmente empresas, são condenados ao pagamento de indenizações vultuosas ainda que não tenham praticado qualquer ato que efetivamente acarrete dano ao titular. Isto justamente pela interpretação inadequada, até mesmo precipitada, do regramento em evidência.

Por óbvio, uma coisa é aplicar determinada tutela jurisdicional com base na regra geral, por exemplo por eventual condenação fundamentada no ato ilícito, preconizado nos artigos 186, 187 e 927 do Código Civil. Outra, é tratar de tema regrado por legislação especial, inclusive se utilizando de conceitos por ela estabelecidos, mas ignorar suas especificações (inclusive taxativas) e a aplicar genericamente. Isto é, não se percebe aplicação harmônica entre as normas, mas sim verdadeira sobreposição inversa.

Diante disso, por bem sobreveio referida decisão do STJ, objeto desta opinião, que acertadamente serviu para não só pacificar o ponto em questão, mas também para chamar a atenção quanto à aplicação precipitada da norma. É dizer, em uma análise mais atenta, o entendimento pode servir de "alerta" para todo o Judiciário sobre a aplicação de outras normas de grande importância que sobrevenham, seja qual tema for.

Por fim, deixa-se um questionamento quanto à comparação feita pela decisão. Como já repisado, o voto mencionou que o dano moral não deve ser presumido no caso, situação que seria diferente se tratando de dados pessoais sensíveis, frisou.

É sabido que se tratando de violação à direitos de personalidade, neste caso relacionada à intimidade e privacidade, há a dificuldade ou impossibilidade na respectiva produção de provas, razão pela qual existem diversas hipóteses de incidência do dano moral in re ipsa (presumido, que independe de prova) já consolidadas pela jurisprudência.

A questão que fica é: se tratando de dados pessoais sensíveis, nos termos do rol do artigo 5º, II, da LGPD, poder-se-á dizer automaticamente em hipótese de dano presumido? O acórdão em comento já terá o condão de inferir este entendimento para aplicação para os próximos julgados?

A verdade é que estamos diante de uma jurisprudência em construção, que ainda "engatinha" nos Tribunais Superiores, e naturalmente essas questões serão respondidas com o passar do tempo. O que não se pode, evidentemente, é deixar de questionar e provocar a inércia do Judiciário, principalmente diante de um assunto que tende a ser cada dia mais importante para a sociedade.