Indenização por vazamento de dados pessoais na jurisprudência do TJ/SP
Todos os dias surgem notícias de vazamentos de dados pessoais, mas como o Tribunal de Justiça de São Paulo tem lidado com as ações indenizatórias?
terça-feira, 28 de setembro de 2021
Atualizado às 14:09
Este artigo discute a pretensão de indenização por vazamento de dados pessoais e como o tema é tratado no âmbito da jurisprudência do Tribunal de Justiça de São Paulo. O tema será apresentado da seguinte maneira: i) notícias de vazamento de dados pessoais; ii) exemplos de danos que podem ocorrer; iii) as disposições da LGPD sobre reparação de danos; iv) o entendimento adotado pelo Tribunal de Justiça de São Paulo; e v) considerações finais.
- Notícias sobre vazamentos de dados pessoais.
São recorrentes as notícias a respeito de vazamento de dados pessoais que constam em bancos de dados de pessoas jurídicas de direito público e privado e que tais dados são vendidos em ambientes como a deep e a dark web, as camadas mais profundas e não indexadas da Internet.
Este quadro cresceu exponencialmente entre os anos de 2018 a 2019 e entrou em plena evidência a partir do ano de 2020, quando dados de 243 milhões de pessoas foram vazados do banco de dados do Ministério da Saúde.
Pouco tempo depois, no mês de janeiro de 2021, 223 milhões de CPFs e demais dados pessoais foram colocados em comércio por hackers. No mês de julho, soube-se que foram colocados à venda imagens de documentos de 227 milhões de brasileiros. Evidentemente, isto implica que houve comércio de dados pessoais superior à quantidade de brasileiros vivos.
A despeito do vazamento de dados possivelmente inúteis em relação a pessoas mortas, os vivos possuem fortes motivos para se preocupar, pois se encontram a venda dados pessoais referentes a pessoa natural como nome, nome da mãe, CPF, RG, CNH, CNPJ de sociedades empresárias vinculadas à pessoa natural, endereços residenciais, números inscrição no INSS etc.
Vejamos os motivos pelos quais alguém deve se preocupar.
- Exemplos de danos que podem ocorrer.
Via de regra, o primeiro pensamento a respeito de danos que podem advir do vazamento de dados é referente à realização fraudes. Para isto, basta imaginar a importunação causada por um financiamento não solicitado seguida de protestos pelo não pagamento da dívida e discussão judicial.
Desta maneira, o indivíduo terá de comprovar que jamais contratou qualquer espécie de empréstimo e ainda arcará com os gastos de sua representação junto aos órgãos do judiciário.
Contudo, questões igualmente graves podem vir a ocorrer, tais como a utilização dos dados pessoais do titular para a obtenção de outras informações pessoais igualmente relevantes, tais como o acesso a contas de e-mail e números de cartão de crédito.
Além disto, tais dados pessoais podem ser utilizados para criar perfis similares aos do titular dos dados em redes sociais, de modo que o impostor pode se utilizar dos dados para se fazer passar por terceira pessoa cujos dados foram obtidos por meio ilícito e praticar diversas infrações como injúria, calúnia e difamação, exemplificativamente.
Dada a riqueza de possibilidades, evidente que a pessoa natural deve se preocupar com a circulação indevida de seus dados pessoais e a prática de inúmeras fraudes.
- Disposições da LGPD sobre a reparação de danos.
Como se sabe, os agentes de tratamento têm a obrigação de "adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados" (art. 46), sendo que esta obrigação está vinculada ao papel da ANPD na eventual exigência de "padrões técnicos mínimos" (art. 46, §1º).
No que tange à responsabilidade civil dos agentes de tratamento, a LGPD diferencia as responsabilidades entre o controlador e o operador, não sendo o caso de nos debruçarmos especificamente sobre as hipóteses de solidariedade ou não dos agentes de tratamento.
Para os fins deste artigo, importa apenas destacar que o descumprimento da LGPD enseja responsabilização pelos danos patrimoniais e morais (art. 42), salvo nas hipóteses de que o dano é de culpa exclusiva do titular ou de terceiros (art. 43, III). Os demais incisos do art. 43 são peculiares, pois a não realização do tratamento de dados e a ausência de violação à LGPD já estão contempladas no caput do art. 42 como condição para a responsabilização.
Por outro lado, a definição de irregularidade no tratamento de dados pessoais estampada no art. 44 é relevante, pois dispõe que se deve levar em consideração: i) o modo pelo qual o tratamento é realizado; ii) os resultados e riscos razoavelmente esperados; e iii) as técnicas disponíveis à época do tratamento de dados.
Na hipótese do vazamento de dados, há de se questionar o motivo do vazamento dos dados e se os agentes de tratamento utilizaram todos os meios razoáveis à sua disposição para impedir o vazamento.
O que se pode razoavelmente esperar e as técnicas disponíveis no momento do tratamento são questões complexas. Os níveis de segurança esperados entre sociedades empresárias de diferentes portes certamente são diversos, sendo evidente que os agentes de tratamento de maior relevo têm à sua disposição instrumentos técnicos muito superiores aos pequenos e-commerces, por exemplo.
Desta maneira, a definição de parâmetros mínimos de segurança certamente é um tema de relevância ímpar, especialmente porque há uma diferença extrema no que tange à segurança esperada de pessoas jurídicas de direito público e entre os diversos portes de pessoas jurídicas de direito privado.
No que tange ao ônus da prova, deve-se levar em consideração que o titular dos dados é pessoa natural que não possui o mesmo nível de conhecimentos técnicos frente aos agentes de tratamento, sendo possível a inversão dos deveres probatórios na hipótese de: i) verossimilhança da alegação; e ii.a) "hipossuficiência para fins de produção de prova"; ou ii.b) a produção da prova for "excessivamente onerosa" (art. 42, §2º).
Diante de tais afirmações, resta então discutir como o Tribunal de Justiça de São Paulo tem enfrentado a questão do vazamento de dados e de responsabilização dos agentes de tratamento.
- O posicionamento do Tribunal de Justiça de São Paulo nas ações indenizatórias por vazamento de dados pessoais.
Como se sabe, os dispositivos referentes à responsabilidade civil dos agentes de tratamento entraram em vigor 24 meses após a data de publicação da LGPD (art. 65, II), ou seja, 15.08.20.
Consultando os acórdãos do Tribunal de Justiça de São Paulo a partir desta data, nota-se o entendimento de que, ainda que ocorra vazamento de dados pessoais, o titular dos dados deve comprovar a existência do dano1. Além disto, houve decisão a considerar que a atividade de hackers ensejaria excludente de responsabilidade por "culpa exclusiva de terceiro" e que o recebimento de "inúmeras ligações, propagandas via e-mail, mensagens indesejadas" constitui apenas "mero aborrecimento"2. Houve ainda decisão que pontuou que os dados vazados não constituíam dados pessoais sensíveis e nem se relacionavam à intimidade, de modo que o pedido indenizatório foi negado3.
Noutras palavras, o entendimento de parte do Tribunal é o de que o vazamento de dados não constitui dano moral in re ipsa, ou seja, exige-se que para a caracterização do dever de indenizar a comprovação de efetivo prejuízo, não sendo possível argumentar em termos abstratos a respeito dos danos que podem ou não vir a ocorrer e que eventual exposição a publicidade decorrente do vazamento dos dados não enseja reparação.
- Considerações finais.
À luz de todo o exposto, verifica-se que o Tribunal de Justiça do Estado de São Paulo tem variados acórdãos que rejeitam pretensões indenizatórias decorrentes de vazamentos de dados na ausência de comprovação do dano.
O posicionamento do Tribunal é importante porque há pelo menos duas linhas de incentivo que podem decorrer de sua adoção: i) menores cuidados com a proteção dos dados pessoais, pois o consumidor dificilmente poderá comprovar o nexo causal entre o vazamento e o dano; ou ii) manutenção dos níveis de proteção aos dados devido aos possíveis abalos reputacionais aos agentes de tratamento, mas sem o comprometimento financeiro os agentes.
A questão é complexa e polêmica, pois, como visto, se cada um dos brasileiros que sofreram exposição de seus dados pessoais ou de seus parentes já falecidos pelo Ministério da Saúde recebesse a título de indenização a quantia simbólica de R$ 1,00, o total das indenizações alcançaria a impressionante cifra de R$ 243.000.000,00.
Desta maneira, considerando que a jurisprudência deve sopesar os incentivos aos agentes e, ao mesmo tempo, evitar consequências catastróficas do ponto de vista econômico, há um longo caminho de discussão a ser trilhado pelos Tribunais para equalizar diferentes e importantes dimensões da proteção de dados pessoais.
_____________
1 A respeito, veja-se: "APELAÇÃO - Ação de obrigação de fazer c.c. indenização por danos morais - Contrato de prestação de serviços - Energia elétrica - Pretensão fundada em ocorrência de vazamento de dados pessoais da autora - Fato admitido em defesa apresentada - Falha de segurança - Responsabilidade Objetiva configurada - Situação retratada nos autos que, contudo, não basta para configurar dano de natureza imaterial - Pretensão indenizatória calcada em presunção/expectativa de danos - Ausência de comprovação de efetiva ocorrência de prejuízos - Indenização indevida - Sentença de improcedência mantida - Recurso desprovido. (TJSP; Apelação Cível 1000397-59.2021.8.26.0405; Relator (a): Irineu Fava; Órgão Julgador: 17ª Câmara de Direito Privado; Foro de Osasco - 2ª Vara Cível; Data do Julgamento: 28/07/2021; Data de Registro: 02/08/2021)".
2 Veja-se: "Ação de obrigação de fazer c.c. indenizatória moral. Fornecimento de energia elétrica. Vazamento de dados pessoais. Incidência do CDC, nos termos do artigo 43 da LGPD. Excludente de responsabilidade. Culpa exclusiva de terceiro (hacker). Inteligência do artigo 14, § 3º, CDC. Inúmeras ligações, propagandas via e-mail, mensagens indesejadas. Mero aborrecimento. Fato corriqueiro. Dano moral inexistente. Sentença de improcedência. Apelo improvido. (TJSP; Apelação Cível 1000407-06.2021.8.26.0405; Relator (a): Soares Levada; Órgão Julgador: 34ª Câmara de Direito Privado; Foro de Osasco - 2ª Vara Cível; Data do Julgamento: 16/08/2021; Data de Registro: 19/08/2021)"
3 "Veja-se: "Apelação. Responsabilidade civil. Prestação de serviços. Energia elétrica. Vazamento de dados do sistema da prestadora do serviço. Ação de reparação por danos morais. Sentença de improcedência. Invasão de sistema da concessionária. Responsabilidade objetiva da empresa no tratamento de dados (art. 42 da LGPD). Falha na prestação de serviços (art. 14 do CDC). Dados que não se relacionam à intimidade e não envolve dado pessoal sensível (art. 5º, II, da LGPD). Dados básicos informados com frequência em diversas situações, muitos constantes em simples folha de cheque. Ausente utilização dos dados vazados e efetivo dano. Impossibilidade de indenizar expectativa de dano. Sentença mantida. Honorários majorados. RECURSO DESPROVIDO. (TJSP; Apelação Cível 1024481-61.2020.8.26.0405; Relator (a): L. G. Costa Wagner; Órgão Julgador: 34ª Câmara de Direito Privado; Foro de Osasco - 8ª Vara Cível; Data do Julgamento: 23/08/2021; Data de Registro: 29/08/2021)".
Bruno Yudi Soares Koga
Doutorando em Direito Constitucional e mestre em Direito, Justiça e Desenvolvimento pelo IDP. Autor do livro "Precificação Personalizada". Advogado em São Paulo.
