O Superior Tribunal de Justiça julgou caso paradigmático no que atine à proteção da privacidade em meios virtuais, bem como à interpretação da Lei Geral de Proteção de Dados. A corte decidiu que o vazamento de dados, por si só, não é capaz de ensejar a indenização por danos morais ao titular dos dados. No entendimento do STJ, que reformou decisão do TJSP, a comprovação do dano causado pela exposição das informações pessoais é imprescindível para que o dano moral seja indenizável.
A indenização por danos morais por vazamento de dados não se confunde com as multas e demais sanções para as infrações às regras da Lei Geral de Proteção de Dados (LGPD). Enquanto essas buscam coibir práticas que afrontam a privacidade das informações pessoais e são aplicáveis pela Autoridade Nacional de Proteção de Dados (ANPD), as indenizações buscam reparar os danos e são objeto de deliberação do Poder Judiciário. A própria LGPD estabelece que os agentes de tratamento de dados podem ser condenados quando causarem danos morais e/ou patrimoniais.
Importante destacar que, mesmo nos casos de acesso indevido ou vazamento de dados que afete um único indivíduo, a aplicação de multa e das demais sanções encartadas na LGPD pela Autoridade serão aplicáveis – quando tentativa de conciliação restar infrutífera.
A Lei Geral de Proteção de Dados pessoais também estabelece que, em processo judicial, o juiz pode determinar a inversão do ônus da prova em favor do titular de dados, desde que as suas alegações possuam verosimilhança, ou ainda quando a produção de provas pelo titular for difícil ou impossível.
No caso julgado pelo Superior Tribunal de Justiça, se observou que os dados vazados não seriam sensíveis, nos termos do inciso II do art. 5º da LGPD, de modo que foram considerados dados meramente cadastrais, sem índole íntima.
Para o Ministro Francisco Falcão, relator do caso, o dano moral em caso de vazamento de dados não deve ser considerado presumido, de modo que caberia ao promovente evidenciar a existência de danos decorrentes de acesso de terceiros aos dados. Nas palavras do Ministro, “diferente seria se, de fato, estivéssemos diante de vazamento de dados sensíveis, que dizem respeito à intimidade da pessoa natural. No presente caso, trata-se de inconveniente exposição de dados pessoais comuns, desacompanhados de comprovação do dano”.
Não obstante o julgamento do STJ ter descartado a existência de danos morais indenizáveis de dados não sensíveis caso não haja efetiva comprovação do dano pelo promovente, a negligência no tratamento de dados pode ser desistimulada no campo extrajudicial através das aplicação das punições encartadas no art. 52. A ANPD, por sua vez, editou regra que atine ao tratamento de dados
De outro lado, nos termos do art. 42 da LGPD, a reparação de dados não se limita à esfera individual, uma vez que o ordenamento jurídico pátrio reconhece a existência de danos morais coletivos. Diferentemente dos danos morais individuais, que possuem caráter eminentemente reparador, os danos morais coletivos possuem natureza reparatória e pedagógica. Buscam evitar a repetição dos eventos que causaram danos morais à coletividade – especialmente quando não há possibilidade de individualizar as pessoas que sofreram os danos. É necessário, portanto, refletir acerca da possibilidade de cumulação de aplicação de multa pela ANPD com a condenação em sede de danos morais coletivos pelo Poder Judiciário.
Coluna em parceria com
Ricardo Magalhães – Mestre em Direito e Desenvolvimento Sustentável, Especialista em Direito Digital e Compliance
Romulo Palitot
Criminalista. Doutor em Direito Penal. Professor de Direito Penal (UFPB / UNIPÊ). Presidente da Associação Nacional da Advocacia Criminal- ANACRIM-PB. Procurador do STJD, do Automobilismo.