O vazamento de dados pessoais comuns — como nome, RG, endereço, data de nascimento e telefone —, sem prova do prejuízo causado, não leva à indenização por danos morais, mesmo após a entrada em vigor da Lei Geral de Proteção de Dados (LGPD). Assim decidiu  oSuperior Tribunal de Justiça (STJ), pela primeira vez, sobre o assunto.

A decisão unânime da 2ª Turma poderá ser usada por outras empresas, como jurisprudência, para barrar processos judiciais semelhantes propostos contra elas, com base na LGPD, a Lei nº 13.709, de 2018. No caso concreto, os ministros negaram indenização de R$ 15mil a uma consumidora que entrou com ação contra a Eletropaulo (hoje Enel) por supostamente vazar dados cadastrais.

Na decisão, ainda entenderam que o rol da LGPD sobre o que são dados pessoais sensíveis é taxativo, o, que, portanto, excluiria do alcance da lei dados comuns. O artigo 5º, inciso II da LGPD traz que são dados pessoais sensíveis as informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político. Ou também dados referentes à saúde ou à vida sexual, ou genético ou biométrico, quando vinculado a uma pessoa.

O julgamento é importante para as empresas porque houve um crescimento da litigiosidade após a edição da LGPD, segundo o advogado que assessorou a Enel no processo, Thiago Sombra, especialista em proteção de dados e tecnologia do Mattos Filho Advogados.

O número de ações que discutem a aplicação da LGPD no país cresceu de menos de 20 para cerca de 120 entre os anos de 2020 a 2022, um aumento de mais de 500%, segundo levantamento do Mattos Filho. O balanço considera apenas decisões de natureza cível, com foco em Tribunais de Justiça Estaduais, no STJ e no Supremo Tribunal Federal (STF). Nos casos de condenação por danos morais, o valor fixado variou de R$ 2 mil a R$ 20 mil.

Para Sombra, essa decisão deve barrar novas ações judiciais. Principalmente ações coletivas, que pedem danos morais sem que existam provas dos danos causados, somente por ter ocorrido um vazamento de dados. “A simples ocorrência de vazamento por si só não é capaz de justificar uma indenização por danos morais”, afirma.

No caso, a consumidora alegou na ação que a concessionária vazou e compartilhou indevidamente seus dados pessoais como nome completo, RG, gênero, data de nascimento, idade, telefone fixo, telefone celular e endereço, além de dados do contrato de fornecimento de energia elétrica, carga instalada, consumo estimado, tipo de instalação e leitura de consumo. Por isso, pedia indenização por danos morais.

A primeira instância negou o pedido de indenização. Ela então recorreu ao Tribunal de Justiça de São Paulo (TJ-SP) que condenou a Eletropaulo a pagar indenização por danos morais no valor de R$ 5 mil, com o fundamento de que se tratam de dados pessoais de pessoa idosa. Inconformada, a empresa recorreu ao STJ.

A concessionária alegou que os dados foram vazados por terceiros, estranhos à relação comercial, e que a segunda instância se equivocou ao enquadrar essas informações como sensíveis, nos termos do artigo 5º, inciso II, da LGPD. “Uma vez que estes seriam básicos de qualificação de qualquer pessoa, muitos dos quais fornecidos corriqueiramente pelos indivíduos nas mais variadas e simples operações diárias da vida civil”.

Segundo o relator, ministro Francisco Falcão, o artigo 5º, inciso II, da LGPD, dispõe de forma expressa quais dados podem ser considerados sensíveis e, devido a essa condição, exigir tratamento diferenciado, previsto em artigos específicos. “Os dados de natureza comum, pessoais mas não íntimos, passíveis apenas de identificação da pessoa natural não podem ser classificados como sensíveis”, diz. 

Ele afirma que os dados vazados, no caso, são aqueles que se fornece em qualquer cadastro, “não sendo,portanto, acobertados por sigilo, e o conhecimento por terceiro em nada violaria o direito de personalidade da recorrida”.

Para o ministro, o vazamento de dados pessoais,“a despeito de se tratar de falha indesejável no tratamento de dados de pessoa natural por pessoa jurídica, não tem o condão, por si só, de gerar dano moral indenizável”. Segundo Falcão, o dano moral não é presumido, “sendo necessário que o titular dos dados comprove eventual dano decorrente da exposição dessas informações”.

A decisão foi publicada na sexta-feira. Ainda cabe recurso à Seção do STJ, mas será difícil porque a defesa da consumidora teria que apresentar decisão divergente da 1ª Turma da Corte para ser analisado. (Resp 2130619).

O advogado da consumidora no processo, Luís Eduardo Borges da Silva, afirma que ainda avalia a possibilidade de recorrer. “É a primeira vez que a matéria é enfrentada pelo Superior Tribunal de Justiça e, particularmente, acredito que as decisões futuras serão aprimoradas”, diz.

Para ele, a LGPD não pode ser aplicada ou interpretada isoladamente. No caso específico, afirma que houve flagrante afronta ao Código de Defesa do Consumidor. Ele cita o artigo 14, que diz que o fornecedor de serviços responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores.

O advogado Daniel Becker, sócio das áreas de Proteção de Dados e Resolução de Disputas do BBL Advogados, destaca que o acórdão do STJ define uma dúvida que existia sobre o caráter taxativo ou exemplificativo do rol de dados sensíveis da LGPD.

Se a lista fosse considerada exemplificativa, outros dados vazados, que não constam expressos na lei, também poderiam ser considerados sensíveis, como certidão de antecedentes criminais ou dados que constam de currículos (nome, endereço) ou até mesmo da folha de salários. No caso dos dados considerados sensíveis, para ele, o dano moral poderia ser presumido.

“A decisão delimita bem e dá segurança jurídica de que somente aqueles dados citados [na lei] serão considerados sensíveis”, diz Becker. Isso confirma a doutrina predominante até agora e o posicionamento de alguns tribunais estaduais. Para ele, a decisão também é relevante porque demonstra que a LGPD está passando pelo crivo do Poder Judiciário.

A decisão demonstra que não haverá espaço para a instalação da chamada “indústria do dano moral” em matéria de privacidade e proteção de dados, de acordo com Paulo Vidigal, sócio do escritório Prado Vidigal Advogados, especializado em Direito Digital, Privacidade e Proteção de Dados. “Isso é algo muito positivo porque esses vazamentos, por mais que sejam indesejados, continuam a ocorrer”, diz.

Segundo Vidigal, é necessário cobrar das organizações que de fato tenham um programa robusto de proteção das informações e a aplicação das melhores práticas. “Mas não se pode fazer com que as pessoas ganhem dinheiro com ações injustificadas, onde não há dano comprovado”, diz.

Procurada pelo Valor, a assessoria de imprensa da Enel informou por meio de nota que não vai comentar

Fonte: Valor Econômico