O Superior Tribunal de Justiça
decidiu recentemente que o dano moral quando houver um vazamento de dados não é
presumido. Na ação, uma senhora teve seus dados pessoais, relacionados à um
contrato com uma companhia elétrica, vazados por um terceiro que invadiu o
sistema da empresa.
Nessa situação, mesmo que a idosa
seja uma pessoa mais suscetível a sofrer golpes envolvendo seu nome, o STJ
entendeu que ela deveria provar ter sofrido algum prejuízo em virtude do vazamento
de dados pessoais simples, como nome, CPF, RG e endereço.
Isso beneficia essencialmente as
empresas vítimas de rackeamento, porém impõe um encargo excessivo à parte,
afinal, como essa senhora poderia provar que qualquer golpe que tenha sofrido
ocorreu por esse vazamento em específico? Fato é que a empresa possui o dever
de proteger seus bancos de dados, conforme a LGPD em seus artigos 42 e 46, utilizando
os meios aptos disponíveis no mercado, além de adotando medidas de segurança da
informação e cibersegurança.
Cabe o questionamento, se ela vier
a sofrer um golpe em alguns meses, ou tenha seu nome envolvido em alguma prática
cibercriminosa, pois é possível que seus dados sejam utilizados para a abertura
de conta em bancos digitais, como ela poderia comprovar que isso aconteceu em
virtude do vazamento de dados pela companhia elétrica, numa era em que todas as
empresas utilizam dados pessoais?
Sabe-se que na relação de consumo,
as pessoas são consideradas hipossuficientes, e por isso, as empresas são quem devem
provar que não concorreram para o fato, é a inversão do dever de provar. A
resposta é simples, a empresa deve provar que utilizou as medidas técnicas e
administrativas aptas a protegerem os dados, caso contrário, ainda que os dados
sejam simples, o dano moral deve ser presumido, dada a probabilidade do risco.
Neste caso, o dano moral não precisaria ser comprovado pela autora se a empresa
não adota medidas técnicas e administrativas aptas a neutralizar a invasão ao
seu banco de dados.
Também remanesce a desnecessidade
de provar a ocorrência de prejuízo quando esses dados pessoais forem sensíveis,
pois, por sua natureza, são dados que não devem chegar a conhecimento de terceiros,
afinal, são passíveis de utilização discriminatória.
Leia a ementa do acórdão do AGRAVO
EM RECURSO ESPECIAL Nº 2.130.619 - SP (2022/0152262-2) publicado em 07 de março
de 2023 pelo STJ:
PROCESSUAL CIVIL E ADMINISTRATIVO.
INDENIZAÇÃO POR DANO MORAL. VAZAMENTO DE DADOS PESSOAIS. DADOS COMUNS E
SENSÍVEIS. DANO MORAL PRESUMIDO. IMPOSSIBILIDADE. NECESSIDADE DE COMPROVAÇÃO DO
DANO. I - Trata-se, na origem, de ação de indenização ajuizada por particular
contra concessionária de energia elétrica pleiteando indenização por danos
morais decorrentes do vazamento e acesso, por terceiros, de dados pessoais. II
- A sentença julgou os pedidos improcedentes, tendo a Corte Estadual
reformulada para condenar a concessionária ao pagamento da indenização, ao
fundamento de que se trata de dados pessoais de pessoa idosa. III - A tese de
culpa exclusiva de terceiro não foi, em nenhum momento, abordada pelo Tribunal
Estadual, mesmo após a oposição de embargos de declaração apontando a suposta
omissão. Nesse contexto, incide, na hipótese, a Súmula n. 211/STJ. In casu, não
há falar em prequestionamento ficto, previsão do art. 1.025 do CPC/2015, isso
porque, em conformidade com a jurisprudência do STJ, para sua incidência deve a
parte ter alegado devidamente em suas razões recursais ofensa ao art. 1022 do
CPC/2015, de modo a permitir sanar eventual omissão através de novo julgamento
dos embargos de declaração, ou a análise da matéria tida por omissa diretamente
por esta Corte. Tal não se verificou no presente feito. Precedente: AgInt no
REsp 1737467/SC, Rel. Ministro Napoleão Nunes Maia Filho, Primeira Turma,
julgado em 8/6/2020, DJe 17/6/2020. IV - O art. 5º, II, da LGPD, dispõe de
forma expressa quais dados podem ser considerados sensíveis e, devido a essa
condição, exigir tratamento diferenciado, previsto em artigos específicos. Os
dados de natureza comum, pessoais, mas não íntimos, passíveis apenas de
identificação da pessoa natural não podem ser classificados como sensíveis. V -
O vazamento de dados pessoais, a despeito de se tratar de falha indesejável no
tratamento de dados de pessoa natural por pessoa jurídica, não tem o condão,
por si só, de gerar dano moral indenizável. Ou seja, o dano moral não é
presumido, sendo necessário que o titular dos dados comprove eventual dano
decorrente da exposição dessas informações. VI - Agravo conhecido e recurso
especial parcialmente conhecido e, nessa parte, provido.
(Superior Tribunal de Justiça.
Rel. MINISTRO FRANCISCO FALCÃO. AGRAVO EM RECURSO ESPECIAL Nº 2130619 - SP
(2022/0152262-2. Publicado em 07/03/2023).
Thaynara Cruz, advogada especialista em direito digital e proteção de dados atuante em lei geral de proteção de dados.
Comentários
Postar um comentário