Apesar de ser uma falha indesejável no tratamento de informações pessoais, o vazamento de dados não tem a capacidade, por si só, de gerar dano moral indenizável. Assim, em eventual pedido de indenização, é necessário que o titular dos dados comprove o efetivo prejuízo gerado pela exposição dessas informações.
O entendimento foi estabelecido pela Segunda Turma do Superior Tribunal de Justiça (STJ) ao dar provimento a recurso especial da Eletropaulo e, por unanimidade, reformar acórdão do Tribunal de Justiça de São Paulo (TJSP) que havia condenado a concessionária a pagar indenização por danos morais de R$ 5 mil, em virtude do vazamento dos dados de uma cliente.
Na ação de reparação de danos, a cliente alegou que foram vazados dados pessoais como nome, data de nascimento, endereço e número do documento de identificação. Ainda segundo a consumidora, os dados foram acessados por terceiros e, posteriormente, compartilhados com outras pessoas mediante pagamento – situação que, para ela, gerava potencial perigo de fraude e de importunações.
O pedido foi julgado improcedente em primeiro grau, mas o TJSP reformou a sentença por entender que o vazamento de dados reservados da consumidora configurou falha na prestação de serviços pela Eletropaulo.
Dados vazados são de natureza comum, não classificados como sensíveis
O ministro Francisco Falcão, relator do recurso da Eletropaulo, explicou que o artigo 5º, inciso II, da Lei Geral de Proteção de Dados Pessoais (LGPD) traz um rol taxativo dos dados pessoais considerados sensíveis, os quais, segundo o artigo 11, exigem tratamento diferenciado.
Entre esses dados, apontou, estão informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização religiosa, assim como dados referentes à saúde sexual e outros de natureza íntima.
De acordo com o ministro, o TJSP entendeu que os dados vazados da cliente deveriam ser classificados como sensíveis, porém foram indicados apenas dados de natureza comum, não de índole íntima.
“Desse modo, conforme consignado na sentença reformada, revela-se que os dados objeto da lide são aqueles que se fornece em qualquer cadastro, inclusive nos sites consultados no dia a dia, não sendo, portanto, acobertados por sigilo, e o conhecimento por terceiro em nada violaria o direito de personalidade da recorrida”, esclareceu o relator.
Dano moral pelo vazamento de dados não é presumido
Em seu voto, Francisco Falcão também afirmou que, no caso dos autos, o dano moral não é presumido, sendo necessário que o titular dos dados demonstre ter havido efetivo dano com o vazamento e o acesso de terceiros.
“Diferente seria se, de fato, estivéssemos diante de vazamento de dados sensíveis, que dizem respeito à intimidade da pessoa natural. No presente caso, trata-se de inconveniente exposição de dados pessoais comuns, desacompanhados de comprovação do dano”, concluiu o ministro ao acolher o recurso da Eletropaulo e restabelecer a sentença.
O recurso ficou assim ementado:
PROCESSUAL CIVIL E ADMINISTRATIVO. INDENIZAÇÃO POR DANO MORAL. VAZAMENTO DE DADOS PESSOAIS. DADOS COMUNS E SENSÍVEIS. DANO MORAL PRESUMIDO. IMPOSSIBILIDADE. NECESSIDADE DE COMPROVAÇÃO DO DANO.
I – Trata-se, na origem, de ação de indenização ajuizada por particular contra concessionária de energia elétrica pleiteando indenização por danos morais decorrentes do vazamento e acesso, por terceiros, de dados pessoais.
II – A sentença julgou os pedidos improcedentes, tendo a Corte Estadual reformulada para condenar a concessionária ao pagamento da indenização, ao fundamento de que se trata de dados pessoais de pessoa idosa.
III – A tese de culpa exclusiva de terceiro não foi, em nenhum momento, abordada pelo Tribunal Estadual, mesmo após a oposição de embargos de declaração apontando a suposta omissão. Nesse contexto, incide, na hipótese, a Súmula n. 211/STJ. In casu, não há falar em prequestionamento ficto, previsão do art. 1.025 do CPC/2015, isso porque, em conformidade com a jurisprudência do STJ, para sua incidência deve a parte ter alegado devidamente em suas razões recursais ofensa ao art. 1022 do CPC/2015, de modo a permitir sanar eventual omissão através de novo julgamento dos embargos de declaração, ou a análise da matéria tida por omissa diretamente por esta Corte. Tal não se verificou no presente feito. Precedente:
AgInt no REsp 1737467/SC, Rel. Ministro Napoleão Nunes Maia Filho, Primeira Turma, julgado em 8/6/2020, DJe 17/6/2020.
IV – O art. 5º, II, da LGPD, dispõe de forma expressa quais dados podem ser considerados sensíveis e, devido a essa condição, exigir tratamento diferenciado, previsto em artigos específicos. Os dados de natureza comum, pessoais mas não íntimos, passíveis apenas de identificação da pessoa natural não podem ser classificados como sensíveis.
V – O vazamento de dados pessoais, a despeito de se tratar de falha indesejável no tratamento de dados de pessoa natural por pessoa jurídica, não tem o condão, por si só, de gerar dano moral indenizável. Ou seja, o dano moral não é presumido, sendo necessário que o titular dos dados comprove eventual dano decorrente da exposição dessas informações.
VI – Agravo conhecido e recurso especial parcialmente conhecido e, nessa parte, provido.
Leia o acórdão no AREsp 2.130.619.