Impressões Digitais

TJ/SP limita indenização por dano moral no vazamento de dados pessoais

TJ/SP limita indenização por dano moral no vazamento de dados pessoais

18/3/2022

Em recente decisão proferida no âmbito de ação de obrigação de fazer cumulada com indenização por danos morais ajuizada por uma pessoa física em face da Eletropaulo Metropolitana de Eletricidade de São Paulo S.A., processo 1001311-34.2021.8.26.0564, a 13ª câmara de Direito Privado do TJ/SP deu provimento ao recurso de apelação da concessionária e reformou a sentença proferida pelo juízo da 9ª vara Cível da Comarca de São Bernardo do Campo – que aplicava à espécie a responsabilidade civil objetiva, condenando a ré a “recolher os dados pessoais do autor de todos os locais onde foram compartilhados sem autorização” e a “pagar ao autor a título de danos morais a quantia de R$ 10.000,00” – para julgar improcedentes os pedidos, sob o argumento de que “não se viabiliza a determinação de obrigação de fazer genérica e cujo cumprimento não teve sua viabilidade demonstrada”, bem como de “ausência nos autos do processo de elementos de convicção aptos a demonstrar a alegada violação da dignidade da pessoa humana, da honra ou da imagem do autor”.

Extrai-se da fundamentação do voto da relatora, desembargadora Ana de Lourdes Coutinho Silva da Fonseca, o entendimento de que “a mera constatação de que dados pessoais básicos tenham sido objeto de ilegal vazamento não configura, automaticamente, dano moral; sendo certo que não há nos autos prova de outras reverberações do referido compartilhamento irregular”.

A decisão tende a consolidar esse posicionamento no âmbito do TJSP, que acumula julgados no sentido que o vazamento de dados não configura dano moral in re ipsa1.

Em primeiro lugar, vale registrar que a pacificação da jurisprudência em torno do tema vem em boa hora, na medida em que pretensões de indenização dessa natureza aumentaram significativamente a partir da entrada em vigor da LGPD, baseando-se nas regras de responsabilidade e de ressarcimento de danos pelos agentes de tratamento de dados contidas na Seção III do Capítulo VI da norma, notadamente o comando do artigo 42, segundo o qual “o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo”.

Por outro lado, no que tange especificamente ao mérito da decisão, a linha de entendimento estabilizada pelo tribunal paulista se mostra correta e prudente, inibindo o desenvolvimento da chamada “indústria do dano moral” em torno do vazamento de dados pessoais, sem, no entanto, tolher o direito daqueles titulares cuja personalidade seja de fato violada por incidentes de segurança.

O entendimento do TJ/SP quanto à inexistência de dano moral presumido no vazamento de dados se filia à jurisprudência do STJ, que apenas em hipóteses excepcionais afasta a regra geral que prevê a necessidade de comprovação do dano pleiteado e reconhece o dano moral in re ipsa, no qual o dever de indenizar resulta da simples ocorrência do evento danoso, dispensando a análise dos elementos subjetivos do agente causador e a prova do prejuízo.

As exceções identificadas pelo STJ envolvem situações em que há inquestionável abalo psicológico da vítima e/ou claros reflexos negativos para a sua honra ou imagem, tais como no falecimento de membro da família2, na inscrição indevida em cadastro de inadimplentes3 ou no protesto indevido de título4.

Não é este, em absoluto, o caso dos incidentes de segurança de dados, que, a depender da natureza e da extensão das informações vazadas e do uso que delas é feito, pode não ocasionar nenhum dano moral aos titulares afetados.

Importante ressalvar que a limitação à indenização individual de titulares de dados não impede o sancionamento dos agentes de tratamento na via administrativa, pela Autoridade Nacional de Proteção de Dados, ou mesmo na via judicial, pelo Ministério Público e outras entidades legitimadas, nas situações em que o vazamento de dados decorrer da violação à legislação de proteção de dados e/ou causar danos à coletividade.

Nesse aspecto, vale acrescentar que não há na LGPD nenhum elemento que permita inferir pela responsabilidade objetiva de controladores e operadores. Embora a LGPD não seja explícita quanto à natureza da responsabilidade dos agentes de tratamento, da interpretação lógico-sistemática da lei conclui-se pela adoção do regime da responsabilidade subjetiva, diante da necessidade, nos termos dos seus artigos 43 e 44, de uma avaliação qualitativa da conduta desses agentes para que surja o dever de indenizar.

Inclusive, o dispositivo da LGPD que fazia alusão à responsabilidade objetiva – artigo 35, sobre a transferência internacional de dados – foi alterado logo no início do trâmite legislativo, revelando, ainda que implicitamente, a opção do legislador pela responsabilidade subjetiva. Nessa mesma linha de raciocínio, o fato de a redação do artigo 42 ter sido complementada para incluir a expressão “em violação à legislação de proteção de dados pessoais” indica que os agentes de tratamento somente serão responsabilizados quando o seu comportamento não se enquadrar nos requisitos da lei.

Assim, constata-se que a jurisprudência que se solidifica no tribunal bandeirante se alinha ao espírito da LGPD e coíbe o uso abusivo de demandas indenizatórias ligadas à privacidade e à proteção de dados pessoais, evitando que haja o desvirtuamento da lei.

_______________

1 Confira-se, à guisa de exemplo: AC 1000406-21.2021.8.26.0405; Rel. Des. Pedro Baccarat, 36ª câmara de Direito Privado, DJe de 13/10/2021; AC 1000598-51.2021.8.26.0405; Rel. Des. Marcondes D’Angelo, 25ª câmara de Direito Privado, DJe de 30/9/2021; AC 1000397-59.2021.8.26.0405; Rel. Des. Irineu Fava, 17ª câmara de Direito Privado, DJe de 2/8/2021; e AC 1003108-82.2021.8.26.0002; Rel. Des. Berenice Marcondes Cesar, 28ª câmara de Direito Privado, DJe de 30/6/2021.

2 AgInt no REsp 1.165.102/RJ, Rel. Min. Raul Araújo, 4ª turma, DJe de 7/12/2016.

3 AgInt no REsp 1.828.271/RS, Rel. Min. Raul Araújo, 4ª turma, DJe de 12/3/2020.

4 AgInt no AREsp 1.457.019/PB, Rel. Min. Raul Araújo, 4ª turma, DJe de 21/11/2019.

Veja mais no portal
cadastre-se, comente, saiba mais

Colunistas

Daniel Bittencourt Guariento é sócio da área contenciosa do Machado Meyer Sendacz e Opice Advogados, especialista em Direito Digital e tecnologia. Membro da Comissão Especial de Tecnologia e Informação da OAB, do Conselho de Tecnologia e Informação do IASP e do Comitê de Direito Digital do Centro de Estudos das Sociedades de Advogados (CESA). Ex-assessor de ministros do STJ, na sessão de Direito Privado.

Ricardo Maffeis Martins é advogado especialista no Contencioso Digital e de Proteção de Dados. Professor de Direito Processual Civil da Escola Paulista de Direito e do Curso Damásio. Foi assessor de ministros e coordenador da Segunda Seção do STJ. Certificado em Privacidade e Proteção de Dados pelo Data Privacy Brasil. Membro da Comissão de Direito, Inovação e Tecnologia do IASP.