O vazamento de dados tem se tornado cada vez mais frequente, inclusive com o comércio ilícito (e lucrativo) deles na deep web ou dark web. Em pesquisa recente, a Association for Computing Machinery (ACM) apontou que esse tipo de incidente de segurança no Brasil cresceu 493% em 12 meses.
Diante desse cenário, como os titulares de dados podem se proteger e ter seus direitos à intimidade e à vida privada preservados? A Constituição Federal, em seu artigo 5º, X, prevê que tais direitos são invioláveis e passíveis de indenização por dano moral e dano material em caso de violação.
Já o Código Civil, no artigo 21, determina que “a vida privada da pessoa natural é inviolável, e o juiz, a requerimento do interessado, adotará as providências necessárias para impedir ou fazer cessar ato contrário a esta norma”. Ainda, a Lei 12.965/2014 (Marco Civil da Internet) traz, no artigo 3º, incisos II e III, a proteção à privacidade e aos dados pessoais.
Em setembro de 2020, entrou em vigor a Lei 13.709/2018, a Lei Geral de Proteção de Dados (LGPD), que tem como um dos fundamentos (art. 2º) o respeito à privacidade e a inviolabilidade da intimidade, da honra e da imagem. No artigo 52, a LGPD trata das sanções administrativas, de competência exclusiva da Autoridade Nacional de Proteção de Dados (ANPD), que entram em vigor a partir do próximo 1º de agosto.
Mas, antes mesmo dessa data, os tribunais brasileiros têm sido acionados para dirimir conflitos cujo objeto é a violação a dados pessoais, com pedidos de dano moral. O que se observa, atualmente, é a tentativa de construção de jurisprudência, que, por enquanto, está dividida entre os conceitos de dano moral in re ipsa e a necessidade da comprovação efetiva do dano.
Dano moral in re ipsa
O dano moral in re ipsa é aquele dano presumido, bastando, para gerar o dever de indenizar, a comprovação da ocorrência do ilícito (por ação ou omissão).
A LGPD prevê, no artigo 42, que, se em razão do exercício da atividade de tratamento de dados, o controlador ou o operador causar dano a alguém, terá o dever de indenizar. Essa discussão já existe na Europa, no âmbito do artigo 82 do General Data Protection Regulation (GDPR), segundo o qual quem sofrer danos devido à violação do GDPR tem direito a receber indenização do responsável.
Foi com base na LGPD que o Tribunal de Justiça de São Paulo (TJ/SP), em setembro do ano passado, condenou empresa da área imobiliária a indenizar em R$ 10 mil consumidor cujas informações pessoais foram compartilhadas com outras companhias, sem que houvesse sua expectativa para tanto. De acordo com o autor, após a compra do imóvel, ele passou a receber telefonemas de instituições financeiras e firmas de decoração, que citavam o negócio feito por ele com a ré.
O juízo entendeu que se tratava da hipótese de compartilhamento de dados pessoais sem o consentimento do consumidor, sendo que o ato ilícito, por si só, gerou o direito ao reconhecimento do dano moral (in re ipsa), já que houve, segundo a decisão, violação aos direitos de personalidade.
Em decisão recente, a 4ª Turma Recursal dos Juizados Especiais Cíveis e Criminais da Bahia condenou empresa de consórcios de veículos a indenizar consumidor em R$ 9,6 mil, a título de danos morais e materiais, após alegar ter sido vítima de fraude em razão de vazamento de dados pessoais.
Nesse caso, de acordo com entendimento da relatora, que foi seguida por unanimidade, a LGPD garante a reparação dos danos independentemente de culpa, bastando, para tanto, a comprovação de que houve, de fato, vazamento de dados, o que, segundo a magistrada, facilitou a fraude.
Dano não indenizável
No entanto, apesar de a LGPD ser objeto frequente de ações judiciais, nem sempre os tribunais decidem pelo dano moral in re ipsa. O mesmo TJ/SP, por exemplo, em decisão de abril deste ano, decidiu de modo diverso ao julgar improcedente pedido de dano moral em ação movida por vazamento de dados pessoais.
No processo, a autora alegou que foi surpreendida com telefonemas de instituto de proteção de dados, relatando que seus dados pessoais tinham sido vazados por concessionária de energia elétrica e se encontravam em poder de estranhos. Ainda de acordo com a ação, ela passou a enfrentar problemas oriundos do vazamento, como recebimento de mensagens indesejadas no celular e no e-mail, ligações de telemarketing, motivos pelos quais pediu indenização por danos morais sob o argumento de violação à LGPD.
Ao decidir, o juízo competente defendeu que o vazamento de dados pessoais, por si só, não caracteriza dano indenizável, uma vez que caberia à autora a comprovação dos fatos constitutivos do seu direito por meio da juntada de provas do prejuízo alegado, o que não aconteceu. Com isso, o entendimento, segundo a decisão, é que o vazamento, por si só, não acarreta consequências gravosas à imagem, personalidade ou dignidade da pessoa. O processo está no segundo grau, após interposição de recurso.
Da mesma forma, o Tribunal de Justiça do Rio Grande do Sul (TJ/RS) julgou parcialmente procedente ação indenizatória, decidindo caber apenas a restituição dos danos materiais provocados pelo vazamento de dados pessoais. Nesse caso, entendeu-se que o autor não comprovou o abalo moral sofrido, não cabendo, portanto, a reparação do dano moral pretendido.
Decisões judiciais
Desde a entrada em vigor da LGPD, em setembro do ano passado, os tribunais brasileiros estão se debruçando na análise de ações que têm por objeto a violação de dados, sendo que os titulares nem sempre, como observamos, obtêm êxito ao pedir a reparação de danos morais. Diante disso, o que se percebe é que os tribunais têm proferido decisões tanto no sentido de reconhecer o dano moral in re ipsa quanto exigindo a comprovação efetiva do abalo moral sofrido.
Como escrevemos anteriormente, aLGPD prevê, ainda, sanções administrativas, de competência exclusiva da ANPD, que entram em vigor a partir de 1º de agosto.O artigo 52 da LGPD traz penalidades aplicáveis para as situações em que há dano decorrente do tratamento irregular de dados pessoais por controladores e operadores, dentre as quais está a aplicação de multa de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, no seu último exercício, sendo esse valor limitado a R$ 50 milhões por infração.
Sobre as sanções administrativas da LGPD, clique aqui para visualizar infográfico bem completo que publicamos recentemente. Nesse infográfico, confira, ainda, um panorama da aplicação de sanções com base no GDPR, em vigor na União Europeia desde 2018. Já foram aplicadas mais de 700 multas, com valor que ultrapassa 293 milhões de euros.
Para mais informações, nossas equipes permanecem à disposição.