Vazamento de dados e a necessidade de comprovação do efetivo dano extrapatrimonial para que se reconheça o dever de indenizar

Em evento realizado na Cidade de São Paulo no ano de 2019, Ajay Banga, então CEO da Mastercard, disse o seguinte: "Os dados são o novo petróleo".

Esta frase, que na verdade foi cunhada pelo matemático Clive Humby, ilustra bem a importância que se tem conferido aos "dados pessoais", a partir do qual se criou uma nova indústria, um novo campo de estudo, e, diante dos litígios que possivelmente surgirão em decorrência do tratamento destes dados, um novo leque de temas a serem debatidos nos tribunais.

Neste cenário, começa a se replicar nos tribunais brasileiros ações judiciais relacionadas ao tratamento irregular de dados, nas quais as partes formulam, dentre outros pedidos, indenizações por danos morais, trazendo à tona a seguinte discussão:

"O vazamento de dados pessoais configura hipótese de dano moral in re ipsa?" 

Pois bem.

Na busca por um conceito de dano moral, a renomada professora Maria Helena Diniz¹, amparando-se também em Wilson Melo da Silva, preleciona:

"O dano moral vem a ser a lesão de interesses não patrimoniais de pessoa física ou jurídica, provocada pelo fato lesivo". Em seguida, acrescenta que que o dano moral pode consistir na lesão a um interesse jurídico extrapatrimonial relacionado aos "direitos da personalidade (como a vida, a integridade corporal, a liberdade, a honra, o decoro, a intimidade, os sentimentos afetivos, a própria imagem) ou aos atributos da pessoa (como o nome, a capacidade, o estado de família)", além daqueles que decorrem do valor afetivo atribuído a qualquer bem material, caso em que a sua perda pode vir a representar um menoscabo.

O dano moral in re ipsa, por sua vez, ocorre quando este dano é presumido, bastando, para gerar o dever de indenizar, a comprovação da ocorrência do ato apontado como ilícito.

Acerca da possibilidade de responsabilização do controlador/operador em decorrência de vazamento de dados, o caput do art. 42 da LGPD dispõe que:

Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

(...)

Ademais, por ser matéria já protegida pelo art. 5º, inciso X da Constituição Federal, a responsabilização pelo dano proveniente da utilização irregular de dados pessoais é tema já há tempos tratado pela jurisprudência pátria.

Sobre tal questão, destaque-se importante decisão do Superior Tribunal de Justiça, no julgamento pela terceira turma do REsp: 1758799 MG 2017/0006obi1-9, sob relatoria da ministra NANCY ANDRIGHI, na data de 12/11/2019, que ao decidir sobre o tema registrou que:

(...) A inobservância dos deveres associados ao tratamento (que inclui a coleta, o armazenamento e a transferência a terceiros) dos dados do consumidor - dentre os quais se inclui o dever de informar - faz nascer para este a pretensão de indenização pelos danos causados e a de fazer cessar, imediatamente, a ofensa aos direitos da personalidade (...)

Por meio desta decisão, entendeu a terceira turma da referida corte superior que o tratamento irregular de dados se mostra como hipótese de dano moral in re ipsa:

(...) Do mesmo modo, o fato de alguém publicar em rede social uma informação de caráter pessoal não implica o consentimento, aos usuários que acessam o conteúdo, de utilização de seus dados para qualquer outra finalidade, ainda mais com fins lucrativos. Hipótese em que se configura o dano moral in re ipsa. (...)

Ocorre que diferentemente de situações como a de inserção indevida de nome em cadastro de inadimplentes - tema sedimentado na jurisprudência como espécie de dano moral in re ipsa - em que, pela mera inclusão no rol de inadimplentes, o negativado sofre abalo de crédito na praça, manchando a sua reputação e inviabilizando a realização de possíveis operações comerciais, a disponibilização irregular de informações pessoais para terceiro, por si só, não se mostra capaz de gerar a presunção de ocorrência de danos extrapatrimoniais.

Não é razoável presumir que este fato, isoladamente, gera para o titular dos dados, sofrimento, angustia, vexame, que, fugindo à normalidade, interfira intensamente no comportamento psicológico da parte autora.

Para ilustrar o que ora se defende, imagine que uma instituição de ensino tem sua base de dados invadida por hackers que obtêm sucesso em coletar os dados dos alunos, sem que se tenha, até então, conhecimento da destinação dada a tais informações.

Considere, ainda, que estes alunos nunca sofreram qualquer dano/consequência em decorrência do referido vazamento de dados.

Porque esta situação deveria gerar, para tais alunos, o direito a uma indenização de ordem extrapatrimonial? A mera expectativa de que algum dia estes dados possam ser usados em desfavor dos alunos é suficiente para justificar o arbitramento de indenização por danos morais em seu favor?

O vazamento de dados, embora possa ser considerado um ato ilícito (um dos requisitos adotados pela legislação brasileira para a responsabilização civil), não pode ser interpretado como causador de um dano moral em si, já que aquele que teve seus dados vazados poderá não ter qualquer prejuízo extrapatrimonial. Se o prejuízo vier a ocorrer, é certo que a partir de então nascerá o direito à respectiva indenização.

Corroborando com este entendimento, isto é, pela necessidade de comprovação de efetivo dano decorrente do vazamento de dados para que haja o dever de indenizar, destaque-se acórdão prolatado pelo Tribunal de Justiça do Estado do Rio Grande do Sul²:

RECURSO INOMINADO. AÇÃO DE INDENIZAÇÃO POR DANOS MATERIAIS E MORAIS. FRAUDE PERPETRADA. VAZAMENTO DE INFORMAÇÕES CADASTRAIS E NEGOCIAIS DO AUTOR. DANOS MORAIS NÃO CONFIGURADOS. AUSÊNCIA DE PREVISÃO LEGAL PARA IMPOR DANOS MORAIS COM CARÁTER MERAMENTE PUNITIVO. SENTENÇA MANTIDA PELOS PRÓPRIOS FUNDAMENTOS. RECURSO IMPROVIDO. 1. Narra o autor que em razão do vazamento de seus  dados sigilosos, foi levado a cair em uma fraude.

2. Sentença que julgou parcialmente procedente a ação, a fim de condenar o réu ao pagamento da quantia de R$ 814,02 a título de indenização por danos materiais.

3. Analisando o conjunto probatório, verifica-se que o autor não demonstrou de forma cabal o abalo moral sofrido, a fim de comprovar fato constitutivo de seu direito, ônus que lhe incumbia, nos termos do art. 373, I, do CPC.

4. Com efeito, o autor tinha um acordo com a ré, recuperadora de créditos, sendo que foi contatado por fraudadores, que dispunham dos dados do acordo e, mediante fraude, fizeram-no pagar uma parcela indevida.

5. O presente recurso cinge-se a postular danos morais por conta do manejo de dados fraudulentos.

6. In casu, não se trata de situação excepcional capaz de determinar a incidência de danos morais, porque tal se daria apenas em caráter punitivo.

7. Desta forma, entende-se que não restaram caracterizados os danos morais, já que a parte autora não comprovou que tivesse tido abalo em algum dos atributos da sua personalidade, em função da situação vivenciada, tratando-se de mero aborrecimento, o que não é capaz de gerar dano moral indenizável, salvo em situações excepcionais.

No mesmo sentido decidiu o juízo da 2ª vara cível de Osasco/SP em sentença prolatada em 16/4/2021, no processo 1025226-41.2020.8.26.0405:

(...) Inequívoco que a ré tem a obrigação de proteger os dados pessoais de seus clientes. Porém, por falha na segurança ou falta de aperfeiçoamento e modernização de seu sistema, permitiu que terceiros tivessem acesso a esses dados. A falha na prestação do serviço é, portanto, evidente, não havendo que se falar na excludente do artigo 14, § 3º, II, do CDC, por se tratar de fortuito interno. Por outro lado, para o surgimento do dever de indenizar, faz-se necessário aferir se tal vazamento de dados causou efetivamente à parte autora algum dano. Observa-se que a parte autora informa genericamente que sofreu abalos psicológicos pelo vazamento de seus dados, não havendo, todavia, demonstração alguma de que, após a invasão, tais dados foram utilizados de forma indevida, o que poderia lhe acarretar transtornos. Nenhuma fraude foi praticada em seu desfavor. Não demonstrou que eventuais e-mails indesejados e ligações de empresas tenham relação com o vazamento de dados, até porque, muito comum recebê-los sem o referido vazamento.

E ainda:

À parte autora cabia comprovar os fatos constitutivos de seu direito. No entanto, apenas alegou ter sofrido danos morais, sem demonstrá-los, já que não juntou aos autos comprovantes de seu prejuízo. Frise-se que, neste caso, a prova é puramente documental, de fácil acesso da parte autora. Ora, se a parte autora recebeu tantas mensagens em celular, e-mail ou boletos para pagamento como alega, seria muito simples a prova de sua ocorrência. Bastaria apresentar cópia de alguns dos e-mails e dos boletos recebidos, print da tela de seu celular para comprovar o recebimento de mensagens; porém, não trouxe nenhum documento para corroborar suas alegações. Verifica-se, pois, que o vazamento de dados, de per si, não acarretou consequências gravosas à imagem, personalidade ou dignidade da parte autora, vez que, ao menos com base nos elementos probatórios dos autos, o prejuízo foi apenas potencial. (...)

Verifica-se, portanto, que o vazamento de dados tem potencial para causar um efetivo prejuízo passível de reparação extrapatrimonial da mesma forma que uma cobrança indevida tem para gerar para o lesado o direito ao recebimento de uma indenização desta ordem, no entanto, acerca da cobrança indevida, não há presunção absoluta de ocorrência do dano quando a cobrança se consolida. Porque pensar diferente em relação ao vazamento de dados?

Obviamente, é necessário que existam mecanismos destinados a compelir os controladores/operadores a se cercarem das cautelas necessárias ao tratamento dos dados coletados, a fim de evitar vazamentos. Para tanto, a lei 13.719/2018 prevê em seu art. 52 uma série penalidades aplicáveis para esta situação, dentre estas, a aplicação de multa de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício.

Defende-se, portanto, no tratamento regular de dados que por falha no processo venha a ocasionar o vazamento de informações pessoais, havendo pedido de indenização por danos morais proveniente de tal ato, seja analisado o caso concreto, a fim de verificar se este vazamento gerou para o proprietário das informações algum dano efetivo, hipótese em que, sim, este fará jus à indenização correspondente.

De outro modo, estaremos descaracterizando o conceito de indenização, na medida em que, para sua fixação, exige-se a ocorrência de dano, e não a simples possibilidade deste vir a ocorrer, além de se instituir um precedente com enorme potencial para multiplicação de demandas em massa, sobretudo de aventuras jurídicas propostas com o único intuito de obtenção de vantagens indevidas.

----------