7
Abr

Por Karine Saggin

Em vigor desde o ano de 2020, a Lei n° 13.709/2018 (Lei Geral de Proteção de Dados – LGPD) foi criada com o objetivo de garantir que as empresas tratem os dados pessoais de pessoas físicas de maneira transparente, segura e respeitosa. A lei define regras claras sobre como esses dados devem ser coletados, armazenados e compartilhados, além de garantir ao titular desses dados o direito de acessar, corrigir, excluir e se opor ao uso de suas informações pessoais.

O texto da LGPD diferencia os dados pessoais sensíveis dos não sensíveis (comuns), de acordo com a natureza contextual da privacidade. A lei traz um rol taxativo dos dados que exigem tratamento diferenciado (dados sensíveis), quais sejam: dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização religiosa, filosófica ou política, além de dados referentes à saúde, à vida sexual, dados genéticos ou biométricos (artigo 5°, II). O que não está abarcado neste rol é tratado como de natureza comum, revelando-se informações gerais fornecidas e veiculadas de forma cotidiana, sem evidente violação aos direitos da personalidade.

Além disso, a LGPD prevê a possibilidade de responsabilização do coletor de dados pelo vazamento destas informações, independentemente de culpa, seja no âmbito administrativo, penal ou civil, incluindo a indenização por danos morais, conforme exposto no caput do seu artigo 42: “O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.”

Entretanto, não basta a prova do vazamento de dados para fazer jus à indenização por dano moral. Para o reconhecimento do dever de indenizar decorrente de vazamento de dados, especialmente os considerados não sensíveis (de natureza comum), exige-se mais do que o que está disposto na letra da lei. Não há presunção automática, sendo necessária a análise quanto à natureza dos dados vazados, a observância dos limites do exercício do direito à informação e ainda a real ofensa aos direitos da personalidade.

Sendo assim, quando falamos de dados pessoais sensíveis, os quais exigem um tratamento diferenciado diante da evidente correspondência aos aspectos mais íntimos da personalidade, há uma tendência de que o dano moral seja presumido, ou seja, independente de prova de sua ocorrência, como entende a maioria dos julgados sobre a questão, ressalvada, porém, alguma questão fática peculiar.

Em contrapartida, quando falamos dos dados não sensíveis, comuns, fora do rol taxativo previsto na Lei, como exemplo do nome completo, CPF, endereço, telefone, não há como reconhecer dano moral na simples ocorrência de incidente de segurança (vazamento e acesso por terceiros). Este foi o entendimento estabelecido precedente do Superior Tribunal de Justiça – AgREsp n° 2130619-SP.

No caso julgado, pretendia-se a condenação de concessionária de energia elétrica por supostos danos morais que seriam decorrentes do vazamento e acesso, por terceiros, de dados de particular (data de nascimento, RG, CPF, gênero, endereço e números de telefone), os quais não são considerados essenciais pela LGPD pois não dizem respeito à intimidade da pessoa natural e, portanto, não exigem tratamento diferenciado previsto na Lei.

Ou seja, afora o rol taxativo legal de dados sensíveis, portanto, e como exemplo dos dados vazados no julgado em análise, tais informações são fornecidas em qualquer cadastro, inclusive em sites consultados livremente e diariamente na internet, até mesmo em plataformas de buscas, e, portanto, não são dados acobertados por sigilo, o que resulta no entendimento de que o conhecimento por terceiros em nada violaria o direito de personalidade, como assim entendeu o julgado, ao dispor que “o vazamento de dados pessoais, a despeito de se tratar de falha indesejável no tratamento de dados de pessoa natural por pessoa jurídica, não tem o condão, por si só, de gerar dano moral indenizável. Ou seja, o dano moral não é presumido, sendo necessário que o titular dos dados comprove eventual dano decorrente da exposição dessas informações”.

Tal julgamento trouxe um primeiro olhar técnico jurisdicional lançado pouco mais de 3 (três) anos após a entrada em vigor, na íntegra, da Lei Geral de Proteção de Dados – LGPD, a quem vem acompanhando de forma contínua pelos tribunais estaduais os casos envolvendo a matéria.

Isto porque a exposição de dados pessoais deve ser analisada de forma cautelosa e sistemática quando se trata de avaliar a ocorrência de danos morais em razão de incidente de segurança, a fim de se evitar o excesso de litigiosidade e o desvio de finalidade da proteção da privada garantia na Constituição Federal (artigo 5°, LXXIX).

Portanto, em se tratando de situações de vazamento de dados, especialmente os de natureza comum, se faz necessária a prova do efetivo prejuízo à vida privacidade do titular dos dados vazados como condição para o dano moral presumido, sob pena de transformar o simples cenário de corriqueiros acidentes de segurança, cada vez mais comuns na era digital, em fomento em uma nova indústria do dano moral presumido, o que não se pode permitir.