Desde a entrada em vigor da lei 13.709/2018, a Lei Geral de Proteção de Dados (LGPD), em setembro do ano passado, a discussão sobre a obrigação das empresas de garantir a segurança dos dados aos quais têm acesso se intensificou e ganhou os tribunais. Um questionamento, em especial, tem se destacado. O vazamento de informações gera direito a indenização por danos morais? Ou o titular dos dados precisa comprovar que resultaram danos dessa exposição?
As decisões judiciais sobre o tema ainda não alcançaram as Cortes Superiores, existindo ainda orientações bastante divididas. Enquanto algumas concedem a indenização, levando em conta o fato de haver exposição dos dados, outras condicionam o pagamento de danos morais à vinculação entre o vazamento das informações e danos sofrido pelos autores das ações.
Parece-nos cedo para dizer qual o entendimento que irá prevalecer na jurisprudência pátria, pois somente agora, com a aprovação da LGPD, o número de ações na Justiça vem crescendo paulatinamente, demonstrando que o cenário ainda é impreciso.
Sob o meu ponto de vista, o vazamento de informações por si só não gera indenização. A disposição está na própria LGPD, que em seu artigo 42 estabelece que “o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo”.
A lei não mexe no conceito e na caracterização de dano moral. O artigo 186 do Código Civil diz que ‘aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano, ainda que exclusivamente moral, comete ilícito’. A LGPD tem exatamente a mesma estrutura. A única coisa de novo é o dano moral coletivo.
Vê-se assim, que, também está sendo avaliado se o mero vazamento não deveria ser passível de indenização.
Incidentes de segurança, infelizmente, não são situações excepcionais. Há situações esdrúxulas em que devido à exposição de um CPF, ou só de um nome, a empresa tem que pagar um dano moral. Isso vai contra o objetivo principal da lei, que é fomentar inovação em um ecossistema.
Decisões recentes mostram que o entendimento não é pacífico. Em 16 de abril de 2021, o juiz Mario Sergio Leite, da 2ª Vara Cível da Comarca de Osasco (SP), decidiu, no processo 1025226-41.2020.8.26.0405, negar indenização de R$ 10 mil a uma usuária da Eletropaulo, cujos dados ficaram expostos, o que foi reconhecido pela empresa.
A autora da ação alegou que a situação “tirou seu sono, causando angústia e sentimento de tristeza”, uma vez que os dados vazados são irrecuperáveis e estão sujeitos a ser negociados para propaganda ou usados para possíveis golpes.
No entanto, para o juiz, embora fosse “inequívoco que a ré tem a obrigação de proteger os dados pessoais de seus clientes (…) para o surgimento do dever de indenizar, faz-se necessário aferir se tal vazamento de dados causou efetivamente à parte autora algum dano”.
Ainda de acordo com o magistrado, “a parte autora informa genericamente que sofreu abalos psicológicos pelo vazamento de seus dados, não havendo, todavia, demonstração alguma de que, após a invasão, tais dados foram utilizados de forma indevida” e, além disso, também “não demonstrou que eventuais e-mails indesejados e ligações de empresas tenham relação com o vazamento de dados, até porque, é muito comum recebê-los sem o referido vazamento”.
Por outro lado, em 22 de junho, os desembargadores da 26ª Câmara de Direito Privado do TJSP decidiram em sentido oposto, no processo 1003122-23.2020.8.26.0157. O caso envolvia um cliente que efetuou uma compra no site da empresa Sodimac.
Horas depois, foi contatado por um desconhecido via WhatsApp, que o informou que seus dados estavam expostos na página eletrônica da empresa. Em sua defesa, a companhia alegou que adota diversos protocolos de segurança e que “pequenos problemas como esses” são rapidamente resolvidos.
Ainda assim, os desembargadores entenderam que “a divulgação de dados pessoais do autor em página eletrônica, acessível por terceiros, ainda que por curto período de tempo, é hábil a ensejar indenização por danos morais” e determinaram o pagamento de R$ 2 mil ao cliente.
Vê-se assim que construção de uma jurisprudência consolidada em torno da LGPD ainda deve levar algum tempo.
Em uma outra decisão, de 23 de fevereiro, em resposta à apelação, no processo 0418456-71.2013.8.19.0001, uma ação civil pública, proposta pelo Ministério Público do Rio de Janeiro, as empresas Smarty Solutions, BV Financeira, Bracom e Grupo Líder foram condenadas a pagar R$ 500 mil por dano moral coletivo e R$ 1 mil por danos materiais e morais aos consumidores, individualmente considerados, devido a um vazamento de dados que deixou expostos por pelo menos três meses de informações dos clientes da BV Financeira.
Segundo os autos, “a Bracom, integrante do Grupo Líder, possuía os dados dos clientes da BV Financeira em função de seu papel mercadológico, já que a prestadora utiliza os serviços da financeira. Por outro lado, delegou a manutenção do banco de dados para a empresa Smarty Solutions”.
Para os julgadores, houve negligência da BV Financeira: “Não há como deixar de se constatar a culpa in eligendo, pela má escolha do preposto, que inobservou as cláusulas contratuais referentes ao sigilo, como também pela culpa in vigilando, pois o descaso como dever de cuidado sobre as funções delegadas a Smarty, é de tal ordem que a empresa BV só tomou conhecimento do vazamento do seu banco de dados meses depois.”
Diante de interpretações como essa, uma forma de as empresas se protegerem é adotar sempre as melhores práticas em segurança da informação. A preocupação da empresa com a proteção dos dados dos clientes é levada em conta pelas autoridades judiciária e administrativa.
A LGPD é discutida em ações judiciais desde o ano passado, mas somente em 1º de agosto de 2021 passaram a valer as sanções administrativas para empresas que não se enquadrarem nas novas regras. As punições previstas na legislação vão de advertência à multa, no valor de até 2% do faturamento da empresa, limitada a R$ 50 milhões.
Na esfera administrativa, a situação é diferente da esfera judiciária, aplicando-se multa no caso de mero vazamento de dados. O que você vai olhar em termos de conduta da parte, é se agiu de forma culposa ou dolosa, sendo este o critério influenciador na dosimetria.
Não podemos ignorar que a Autoridade Nacional de Proteção de Dados (ANPD), responsável por fiscalizar a aplicação da LGPD, divulgou que nos primeiros meses adotará o que chamou de uma postura responsiva.
“Ela vai adotar uma postura muito mais responsiva, tentar mostrar quais medidas as empresas devem adotar para remediar o problema e, se o agente não cooperar, vai estabelecer um procedimento administrativo, ou aplicar sanção”, comenta.
O assunto ainda tem muitas águas para rolar. Vejamos o desenrolar desse tema, tão recente.
#julianacostaadvocacia #advocaciaonline #consultoriaonline #direitodeumjeitodiferente #direitodescomplicado #lgpd #vazamentodedados #danomoral #danomoralcoletivo #zelocomosdados #sigilodosdados #indenizacao #advocaciamoderna #advocaciaresolutiva