Na era digital, o vazamento de dados tem se tornado frequente realidade e infelizmente tem propiciado setor promissor de vendas no mercado negro (deep web ou dark web). Atesta essa realidade, por exemplo, o fato de que, conforme pesquisa recente (2019) da ACM (Association for Computing Machinery), os vazamentos de dados no Brasil aumentaram em 493%.

Ora, se para a economia é certo que os dados pessoais constituem hoje a maior commodity do mundo¹; se é certo que até mesmo no campo cultural, como afirma Yuval Noah Harari (Homo Sapiens), por meio da análise de dados, atualmente dispositivos como o kindle nos leem ao invés de nós os lermos, podendo inclusive afirmar "quais partes  do livro você lê depressa e quais lê devagar; em que página fez uma pausa e em que frase abandonou o livro para nunca mais voltar; quais frases abalam seus sentimentos ou não"²; certa também deve ser a necessidade de proteção desses dados íntimos de cada cidadão.

Nesse sentido, a ponderação necessária que se deve buscar com a entrada em vigor da Lei Geral de Proteção de Dados (LGPD) em agosto de 2021 se dará entre o número de demandas judiciais por responsabilidade civil ajuizadas no já abarrotado Poder Judiciário brasileiro e quais medidas este Poder adotará com o nítido papel de contenção dessa enxurrada do porvir. Este rápido esboço cuidará de analisar como têm sido (e como devem ser) julgadas as demandas judiciais individuais de reparação extrapatrimonial em caso de vazamento de dados de particular, sob a perspectiva responsabilidade civil, notadamente do elemento dano.

Pois bem. Antes de mais, veja-se que logo na abertura da Seção III, no capítulo "Da Responsabilidade e do Ressarcimento de Dados", o artigo 42 da Lei 13.709/18 anota que o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. Estão aí colocados os requisitos para a reparação.

Os sujeitos a que podem ser imputadas as sanções legais são o controlador ou o operador, os quais, conforme os incisos do § 1º do mencionado artigo 42, podem responder solidariamente pelos danos causados quando descumprirem as obrigações da legislação de proteção de dados ou quando não tiverem seguido as instruções lícitas do controlador (hipóteses do inciso I do § 1º do artigo 42); igualmente responderá solidariamente pelos danos causados os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados (hipóteses do incido II do § 1º do artigo 42).

Exceções a esta regra verifica-se no artigo 43 da LGPD, o qual é muito similar ao regramento do parágrafo terceiro do artigo 14 do Código de Defesa do Consumidor. São as hipóteses em que os agentes de tratamento conseguem provar: (i) que não realizaram o tratamento de dados pessoais que lhes é atribuído; (ii) que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou (iii) que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros.

O artigo 44 da LGPD, de sua vez, também pontua que respondem pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no artigo 46 desta Lei, der causa ao dano. A diretriz aqui nitidamente é a do dever de segurança quanto aos dados.

Quanto ao sujeito ativo para pleitear pretensão de danos extrapatrimoniais por violação à legislação de proteção de dados veja-se que o artigo 1.º afirma categoricamente que a LGPD tem por objetivo proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da "pessoa natural".

Em consonância com este enunciado normativo, veja-se que o inciso I do artigo 5.º consigna considerar-se dado pessoal informação relacionada a "pessoa natural" identificada ou identificável.

Portanto, pela inteligência desses dois postulados normativos (artigo 5.º, I e 1.º, caput da LGPD), vê-se como contra legem qualquer papel criativo hermenêutico que venha a aplicar o estatuto desta lei protetiva à pessoa jurídica. Vale dizer que essa discussão existe, igualmente, no âmbito da leitura do artigo 82º na Europa (RGPD), por possuir a seguinte redação: "qualquer pessoa que tenha sofrido danos (...) tem direito a receber indenização do responsável". Filia-se aqui a corrente doutrinária de Cícero Dantas Bisneto, qual seja: "não se apresenta possível, à revelia da legislação aplicável, que expressamente limita o âmbito de aplicação da proteção de dados a pessoas naturais, postular-se uma interpretação ampliativa com supedâneo no art. 52 do Código Civil de 2002, que permite aplicar a pessoas jurídicas, no que couber, a proteção dos direitos da personalidade."³

Colocadas essas premissas, e sendo cediço que há tormentosa discussão em sede doutrinária quanto ao regime de responsabilidade civil adotado pela Lei Geral de Proteção de Dados, se subjetivo⁴ ou objetivo⁵, passa-se a observar aspectos na jurisprudência, amparado já na LGPD (ainda que não esteja em vigor), de indenização por dano moral. Também passa a ser mister deste esboço os métodos para a quantificação do dano moral nesses casos.

Ora, já foi dito que violação ao regramento da LGPD gera para o ofendido direito à reparação na esfera patrimonial e extrapatrimonial. Mas aqui chega-se ao questionamento central deste texto: havendo desrespeito ao estatuto da LGPD, o dever de reparar por dano moral é automático, ou seja, caracteriza-se in re ipsa?

Dano moral in re ipsa é aquele em que, como o nome sugere, é caracterizado pelos próprios fatos, sendo desnecessário maior rigor probatório nos autos para que reste patente a responsabilidade civil e a consequente necessidade de reparação do dano extrapatrimonial. Casos assim são observados pela jurisprudência do Superior Tribunal de Justiça, por exemplo, em questões como dano decorrente de atraso de voo (overbooking) - REsp 299.532), ou mesmo por inscrição indevida em cadastro de inadimplentes (REsp 1.059.663).

Pois bem.

O Tribunal de Justiça do Estado de São Paulo (TJ/SP), em decisão de setembro de 2020 (processo 1080233-94.2019.8.26.0100), condenou uma empresa do ramo imobiliário a indenizar em R$ 10.000,00 um consumidor que teve informações pessoais enviadas a outras empresas.

Consta da inicial que o autor comprou um apartamento em novembro de 2018 e, no mesmo ano, começou a ser assediado por instituições financeiras e firmas de decoração, que citavam sua recente aquisição com a parte ré. O juízo entendeu se tratar de hipótese de compartilhamento de dados do consumidor sem o consentimento deste.

Consta da sentença que o dano moral foi verificado in re ipsa: "o dano a esfera extrapatrimonial também fora demonstrado. Justamente por conta do ato ilícito relativo ao acesso de dados titularizados pelo autor a terceiros, houve violação a direitos de personalidade (intimidade, privacidade, nome). O dano, nesta hipótese, decorre do próprio ilícito (in re ipsa), e resta corroborado pelos documentos que comprovam que o requerente fora assediado por diversas empresas por conta da conduta ilícita da requerida". (processo n. 1080233-94.2019.8.26.0100, às fls. 1258).

O mesmo TJ/SP, em decisão de abril de 2021, consignou entendimento diverso do acima analisado. Julgou improcedente pedido de dano moral pleiteado por consumidora que ajuizou ação contra a empresa Eletropaulo "após ser surpreendida com chamada telefônica do IPRODAPE - Instituto de Proteção de Dados Pessoais dizendo que seus dados pessoais haviam sido vazados pela Eletropaulo se encontravam em poder de estranhos. Na Justiça, alegou que passou a enfrentar inúmeros problemas que, até então, não tinha, tais como recebimento mensagens indesejadas via celular e e-mail, ligações de telemarketing, além de ter que se revestir de mais cautela para não adimplir eventuais boletos fraudulentos. Assim, a autora pediu indenização por danos morais argumentando violação à LGPD.⁶"

Nas razões de decidir, o juízo apontou que o vazamento de dados pessoais, per se, não caracteriza dano indenizável. Veja-se: "À parte autora cabia comprovar os fatos constitutivos de seu direito. No entanto, apenas alegou ter sofrido danos morais, sem demonstrá-los, já que não juntou aos autos comprovantes de seu prejuízo. Frise-se que, neste caso, a prova é puramente documental, de fácil acesso da parte autora. Ora, se a parte autora recebeu tantas mensagens em celular, e-mail ou boletos para pagamento como alega, seria muito simples a prova de sua ocorrência. Bastaria apresentar cópia de alguns dos e-mails e dos boletos recebidos, print da tela de seu celular para comprovar o recebimento de mensagens; porém, não trouxe nenhum documento para corroborar suas alegações. Verifica-se, pois, que o vazamento de dados, de per si, não acarretou consequências gravosas à imagem, personalidade ou dignidade da parte autora, vez que, ao menos com base nos elementos probatórios dos autos, o prejuízo foi apenas potencial." (processo n. 1025226-41.2020.8.26.0405, às fls. 705).

Em outra oportunidade o TJ/SP, na fraude conhecida como "golpe do motoboy", decidiu que diante de ausência de demonstração de dano que efetivamente viole direito da personalidade, indevida é indenização por danos morais. Consta da ementa que: "(...) suposto vazamento de dados, por si só, não é causa eficiente de danos morais. Sentença mantida. Recurso não provido". (TJSP; Apelação Cível 1033826- 30.2019.8.26.0100; Relator (a): Tasso Duarte de Melo; Órgão Julgador: 12ª Câmara de Direito Privado; Foro Central Cível - 37ª Vara Cível; Data do Julgamento: 11/06/2020; Data de Registro: 11/06/2020).

Tal raciocínio é acompanhado pela jurisprudência do Tribunal de Justiça do Estado do Rio Grande do Sul (TJ/RS): "(...) 1. Narra o autor que em razão do vazamento de seus dados sigilosos, foi levado a cair em uma fraude. 2. Sentença que julgou parcialmente procedente a ação, a fim de condenar o réu ao pagamento da quantia de R$ 814,02 a título de indenização por danos materiais. 3. Analisando o conjunto probatório, verifica-se que o autor não demonstrou de forma cabal o abalo moral sofrido, a fim de comprovar fato constitutivo de seu direito, ônus que lhe incumbia, nos termos do art. 373, I, do CPC. 4. Com efeito, o autor tinha um acordo com a ré, recuperadora de créditos, sendo que foi contatado por fraudadores, que dispunham dos dados do acordo e, mediante fraude, fizeram-no pagar uma parcela indevida. 5. O presente recurso cinge-se a postular danos morais por conta do manejo de dados fraudulentos. 6. In casu, não se trata de situação excepcional capaz de determinar a incidência de danos morais, porque tal se daria apenas em caráter punitivo. (...)". (TJ-RS, Recurso Inominado n. 0047026- 37.2019.8.21.9000, Relator Desembargador Fábio Vieira Heerdt, 3ª Turma Recursal Cível, j. 26/09/2019).

Em nosso entendimento, têm andado bem os tribunais pátrios, ainda que antes mesmo da entrada em vigor da LGPD, no sentido de não permitir caracterização de dano moral in re ipsa pelo simples fato de ocorrer vazamento de dados.

Isso porque, antes de mais, deve-se, ao invés de tratar a responsabilidade civil como autorizadora de punição civil sem dano, voltar-se cada vez mais os olhos para as sanções administrativas previstas na própria LGPD. Ademais, e como se pode perceber no caso acima (trecho de ementa do TJ/RS), tal condenação por reparação moral sem demonstração de dano teria tão somente caráter punitivo, o que, como sabido, não é permitido pelo ordenamento jurídico pátrio, como afirma Paulo de Tarso Sanseverino em obra já clássica: "malgrado a tentativa de se inserir o instituto no ordenamento nacional, por meio da alteração do art. 16 do CDC e a inclusão de parágrafo ao art. 944 do CC, restou fracassado o intuito de adoção explícita da teoria em âmbito nacional".

A propósito, sobre o tema da aplicação de dano moral em casos em que não se verifica dano efetivo percebe-se, como já tivemos oportunidade de registrar nesta Coluna, verdadeira caracterização de punição civil. Assim⁷: "o que se vê, portanto, é a utilização do instituto da responsabilidade civil para sancionar condutas antijurídicas sem qualquer demonstração efetiva do dano moral. Neste caso, jurisprudencialmente fala-se em indenização por dano moral, mas conceitualmente as condenações pecuniárias tratam propriamente do instituto da punição civil, que acaba sendo de fato aplicada sem qualquer previsão legal expressa. Sanciona-se a mera conduta antijurídica."

Por fim, especificamente em relação à fixação do quantum indenizatório na esfera extrapatrimonial, deve o intérprete da norma levar em consideração duas fases, sendo a primeira consistente em se fixar um valor básico para indenização levando-se em conta a jurisprudência sobre casos semelhantes para, num segundo momento, analisar as particularidades que o caso concreto venha a ter (o que pode majorar ou minorar o valor). Trata-se, a rigor, do método bifásico de adoção do dano moral (capitaneado pelo ministro Paulo de Tarso Sanseverino após estudos doutorais na UFRGS), o qual tem sido adotado no mais das vezes pelo Superior Tribunal de Justiça (REsp 959780).

_________