CJEU e STJ: ausência de danos morais presumidos em incidentes de segurança
Autores
15 de junho de 2023, 17h23
Recentemente, o Tribunal de Justiça da União Europeia (Court of Justice of the European Union — CJEU) proferiu importante decisão acerca do direito de indenização por danos morais decorrente de violação ao Regulamento Geral sobre a Proteção de Dados no Case 300/21 (UI v. Österreichische Post). A decisão visa a definição da correta interpretação do artigo 82 [1] do GDPR, que trata do direito ao recebimento de indenização por violação ao regulamento, buscando esclarecer se o dano capaz de configurar o dever de indenizar seria, ou não, presumido.
No Brasil, considera-se o dano presumido — chamado de "dano moral em re ipsa" — quando o evento danoso é elemento suficiente para atestar a existência de prejuízo, dispensando, portanto, a apresentação de arcabouço probatório apto a comprovar a existência do dano. Nestes casos, seria possível constatar de pronto o sofrimento e a dor do lesionado, razão pela qual considera-se desnecessária qualquer outra prova para demonstração da ocorrência do dano moral.
A título de exemplo, o Superior Tribunal de Justiça já reconheceu a configuração do dano presumido nas hipóteses de 1) de inscrição indevida em cadastro de inadimplentes, 2) de contaminação de alimento com corpo estranho, independentemente da efetiva ingestão do alimento, já que o dano emanaria da mera aquisição do produto insalubre (REsp n° 1.899.304 [2]) e 3) de violência contra a mulher no âmbito doméstico e familiar, pois compreendeu que a própria atuação ilícita do agressor já carregaria os efeitos de menosprezo à dignidade da vítima sendo, em si, suficiente a comprovar o dano (Tema 983 [3]).
Em março de 2023, a 2ª Turma do STJ teve a oportunidade de enfrentar o tema da aplicabilidade do dano moral in re ipsa em demandas movidas com fundamento no vazamento de dados pessoais. Na ocasião, o tribunal reformou acórdão proferido pelo TJ-SP (Tribunal de Justiça do Estado de São Paulo) que, em 2ª instância, adotara o dano moral in re ipsa em um caso de exposição de dados pessoais não sensíveis. No entendimento do tribunal superior, "incidentes de privacidade envolvendo dados pessoais não sensíveis não geram danos morais presumidos de forma automática".
O STJ posicionou-se pela inexistência de presunção de prejuízo de ordem moral apenas pela mera ocorrência de um incidente de privacidade e vinculou a modalidade do dano moral in re ipsa às hipóteses de disponibilização descuidada ou inescrupulosa de dados pessoais sensíveis, como aqueles relativos à origem racial ou étnica, à saúde, vida sexual, de caráter religioso, dentre outros dispostos expressamente no artigo 5°, II, da LGPD.
A turma entendeu que, apesar de indesejável, o incidente de segurança que resulta no vazamento de dados pessoais não classificados como sensíveis, por si só, não seria capaz de gerar dano moral indenizável. Além disso, esclareceu que o artigo 5º, II, da LGPD apresenta um rol taxativo daquilo que pode ser entendido como dados pessoais sensíveis, sendo certo que o vazamento de dados de natureza comum — como CPF e RG — e o simples conhecimento por terceiro, não violaria o direito de personalidade do titular dos dados.
O acórdão ainda aponta que o incômodo decorrente do recebimento de mensagens — a exemplo do e-mail marketing — não merece desprezo, mas o reparo deve ser dirigido aos causadores e não necessariamente à empresa em que teve origem o incidente de segurança.
A decisão é oportuna e explora pontos importantes. Em primeiro lugar, destaca que os dados pessoais são costumeiramente fornecidos em estabelecimentos comerciais, portarias de acesso a imóveis, sites, dentre outros. Em razão disto, sua divulgação por meio de incidente não estaria apta a violar automaticamente a privacidade ou intimidade do indivíduo, sendo por isto necessária a demonstração da lesão a qualquer dos componentes da dignidade da pessoa humana.
Por outro lado, dá a entender que, ao contrário dos dados pessoais, os dados pessoais sensíveis teriam o poder de presumir o dano moral. Sobre esse ponto, o tribunal superior não foi tão feliz. Por serem passíveis de gerar discriminação, a LGPD atribui uma proteção extra aos dados pessoais sensíveis, o que não significa que, obrigatoriamente, o tratamento de tais dados trará resultados discriminatórios e sim que, por haver, comparativamente, uma possibilidade maior de que isso aconteça e, observado o impacto que tal violação poderia causar, a Lei estabelece que só poderão ser tratados em ocasiões específicas, definidas no artigo 11.
É evidente que a avaliação da gravidade de qualquer incidente envolvendo dados pessoais deve considerar a categoria dos dados envolvidos e as informações extraídas deles. Essa interpretação é inclusive compartilhada pela Autoridade Nacional de Proteção de Dados em relação à necessidade de comunicar incidentes de segurança aos titulares e à própria ANPD, além de ser considerada na aplicação de sanções administrativas, razão pela qual não deve ser negligenciada durante a análise dos danos morais.
Por outro lado, a categoria dos dados não deve ser o único critério observado no momento de definir a existência ou não de dano moral, ainda que seja um bom indicativo. É certo que devem ser também observados outros critérios como, por exemplo, o contexto do tratamento, não só para definição da existência de dano moral, mas também para arbitrar seu valor. Pode- se dizer então, que um incidente que envolva essa categoria de dados pessoais representa, naturalmente, um risco maior de dano aos titulares e deve ser passível de repressão, o que não significa que a exposição desses dados necessariamente causará tais danos.
Sobre o tema, na Europa, devido ao aumento significativo das demandas de indenização com base no artigo 82 da GDPR, havia grande expectativa em relação ao julgamento do UI v. Österreichische Post, que teve origem em uma demanda decidida pela Suprema Corte da Áustria, na qual a causa de pedir estava relacionada ao tratamento de dados de usuários do serviço postal para a categorização dos interesses políticos dos cidadãos sem consentimento.
Assim como o artigo 42 [4] da LGPD, o artigo 82 do GDPR não deixa claro se, para a configuração do dever de indenizar, basta a violação aos dispositivos da Lei ou se seriam necessários outros elementos. Ao analisar, a CJEU estabeleceu parâmetros para a aplicação do artigo 82. Ficou definido então que a mera violação da GDPR não seria suficiente para configurar danos morais. Para isso, seria necessário que o indivíduo demonstrasse a existência de três condições cumulativas: 1) a violação da GDPR, 2) a ocorrência de dano – material ou moral – decorrente da violação; e 3) o estabelecimento de um nexo de causalidade entre o dano e a violação.
A CJEU também concluiu que o artigo 82 da GDPR não exigiria nenhum grau de seriedade específico para os danos morais suportados, motivo pelo qual deveria ficar sob a responsabilidade dos tribunais domésticos dos Estados-Membros a apreciação, caso a caso, do cabimento de indenização por mero aborrecimento decorrente da perda do controle do titular sobre seus dados pessoais.
Tanto a decisão proferida pela CJEU, quanto aquela proferida pelo STJ, revelam um avanço para as discussões acerca do espectro de ilicitude do tratamento de dados pessoais e as suas consequências. Em ambas as decisões, com a definição de que não se aplicam danos morais in re ipsa na hipótese de vazamento de dados pessoais, revela-se um pequeno passo em direção à construção de um arcabouço jurisprudencial consistente, que garanta vinculação e segurança jurídica em um cenário macro e, por outro lado, desestimule o ajuizamento de demandas por titulares que buscam obter vantagem econômica sem qualquer demonstração de dano ou prejuízo efetivo decorrente de eventual violação.
Contudo, no tocante aos dados pessoais sensíveis, observamos que interpretação dada pelo tribunal superior brasileiro acerca da presunção de dano moral in re ipsa exige amadurecimento. É certo que a questão será enfrentada novamente e, quando isto acontecer, espera-se que a discussão leve em conta o impacto efetivamente causado à dignidade da pessoa humana e não a simples aplicação de fórmulas reducionistas, sob pena de prejuízos à adequada proteção dos direitos dos titulares de dados pessoais e de assistirmos o aumento da banalização dos processos judiciais infundados.
[1] Article 82. Right to compensation and liability
1. Any person who has suffered material or non-material damage as a result of an infringement of this Regulation shall have the right to receive compensation from the controller or processor for the damage suffered. (…)
[2] RECURSO ESPECIAL. DIREITO DO CONSUMIDOR. AÇÃO DE INDENIZAÇÃO DE DANOS MATERIAIS E COMPENSAÇÃO POR DANOS MORAIS. AQUISIÇÃO DE ALIMENTO (PACOTE DE ARROZ) COM CORPO ESTRANHO (CONGLOMERADO DE FUNGOS, INSETOS E ÁCAROS) EM SEU INTERIOR. EXPOSIÇÃO DO CONSUMIDOR A RISCO CONCRETO DE LESÃO À SUA SAÚDE E INCOLUMIDADE FÍSICA E PSIQUÍCA. FATO DO PRODUTO. INSEGURANÇA ALIMENTAR. EXISTÊNCIA DE DANO MORAL MESMO QUE NÃO INGERIDO O PRODUTO. (…). 5. Nesse sentido, o artigo 4º, IV, da Lei 11.346/2006 prevê, expressamente, que a segurança alimentar e nutricional abrange "a garantia da qualidade biológica, sanitária, nutricional e tecnológica dos alimentos". 6. Ao fornecedor incumbe uma gestão adequada dos riscos inerentes a cada etapa do processo de produção, transformação e comercialização dos produtos alimentícios. Esses riscos, próprios da atividade econômica desenvolvida, não podem ser transferidos ao consumidor, notadamente nas hipóteses em que há violação dos deveres de cuidado, prevenção e redução de danos. 7. A presença de corpo estranho em alimento industrializado excede aos riscos razoavelmente esperados pelo consumidor em relação a esse tipo de produto, sobretudo levando-se em consideração que o Estado, no exercício do poder de polícia e da atividade regulatória, já valora limites máximos tolerados nos alimentos para contaminantes, resíduos tóxicos outros elementos que envolvam risco à saúde. 8. Dessa forma, à luz do disposto no artigo 12, caput e §1º, do CDC, tem-se por defeituoso o produto, a permitir a responsabilização do fornecedor, haja vista a incrementada — e desarrazoada — insegurança alimentar causada ao consumidor. 9. Em tal hipótese, o dano extrapatrimonial exsurge em razão da exposição do consumidor a risco concreto de lesão à sua saúde e à sua incolumidade física e psíquica, em violação do seu direito fundamental à alimentação adequada. 10. É irrelevante, para fins de caracterização do dano moral, a efetiva ingestão do corpo estranho pelo consumidor, haja vista que, invariavelmente, estará presente a potencialidade lesiva decorrente da aquisição do produto contaminado. 11. Essa distinção entre as hipóteses de ingestão ou não do alimento insalubre pelo consumidor, bem como da deglutição do próprio corpo estranho, para além da hipótese de efetivo comprometimento de sua saúde, é de inegável relevância no momento da quantificação da indenização, não surtindo efeitos, todavia, no que tange à caracterização, a priori, do dano moral. 12. Recurso especial conhecido e provido. (STJ, REsp n° 1.899.304/SP: ministra relatora Nancy Andrighi, 2ª Seção, j. 25 de agosto de 2023).
[3] "Nos casos de violência contra a mulher praticados no âmbito doméstico e familiar, é possível a fixação de valor mínimo indenizatório a título de dano moral, desde que haja pedido expresso da acusação ou da parte ofendida, ainda que não especificada a quantia, e independentemente de instrução probatória".
[4] Artigo 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
Encontrou um erro? Avise nossa equipe!