Vazamento de dados pessoais e o dano moral in re ipsa

Os incidentes envolvendo tratamento irregular de dados pessoais têm ganhado cada vez mais relevância nos últimos anos, sobretudo após a entrada em vigor da lei 13.709/18 (Lei Geral de Proteção de Dados Pessoais - LGPD). O aumento da quantidade de informações que circulam na internet e a necessidade de armazená-las em servidores e outros dispositivos, aliado ao movimento de migração de muitas atividades para o meio virtual no cenário pós-pandemia, fizeram surgir novos litígios sobre o tema.

Nesse contexto, é comum que os tribunais sejam chamados a julgar demandas nas quais titulares de dados pleiteiam indenização por danos morais decorrentes de vazamento de dados pessoais, e, muitas vezes, há alegação de dano moral in re ipsa, ou seja, presumido. Diz-se dano moral presumido aquele cuja própria ofensa aos direitos personalíssimos já é considerada ato ilícito e ofensivo, capaz de gerar constrangimento, humilhação e sofrimento psicológico à vítima. Dessa forma, a lei presume que houve um dano moral e a vítima tem direito à reparação pelos danos sofridos.

Não obstante, o Superior Tribunal de Justiça enfrentou recentemente o tema pela primeira vez quando do julgamento do AREsp 2.130.619/SP. No caso em questão, uma empresa foi condenada a pagar indenização por danos morais a uma pessoa, cujos dados pessoais foram acessados por terceiros. No julgamento, que ocorreu em 7/3/23, o STJ, reformando o acórdão proferido pelo Tribunal de Justiça de São Paulo, entendeu que não havia prova suficiente para comprovar o dano moral, sendo que a simples exposição dos dados pessoais não é suficiente para presumir o dano. Vejamos a ementa do julgado:

PROCESSUAL CIVIL E ADMINISTRATIVO. INDENIZAÇÃO POR DANO MORAL. VAZAMENTO DE DADOS PESSOAIS. DADOS COMUNS E SENSÍVEIS. DANO MORAL PRESUMIDO. IMPOSSIBILIDADE. NECESSIDADE DE COMPROVAÇÃO DO DANO. I - 

... IV - O art. 5º, II, da LGPD, dispõe de forma expressa quais dados podem ser considerados sensíveis e, devido a essa condição, exigir tratamento diferenciado, previsto em artigos específicos. Os dados de natureza comum, pessoais, mas não íntimos, passíveis apenas de identificação da pessoa natural não podem ser classificados como sensíveis. V - O vazamento de dados pessoais, a despeito de se tratar de falha indesejável no tratamento de dados de pessoa natural por pessoa jurídica, não tem o condão, por si só, de gerar dano moral indenizável. Ou seja, o dano moral não é presumido, sendo necessário que o titular dos dados comprove eventual dano decorrente da exposição dessas informações. VI - Agravo conhecido e recurso especial parcialmente conhecido e, nessa parte, provido.  

A necessidade de comprovação do dano moral em casos de vazamento de dados pessoais é uma medida que se mostra importante do ponto de vista jurisprudencial, pois evita a proliferação de demandas infundadas e garante a adequada proteção dos direitos do titular dos dados.

Não se ignora o fato de que o vazamento de dados pessoais pode ter consequências negativas para seu titular, como a exposição de informações privadas, no entanto, a mera violação ou divulgação dos dados não é suficiente para gerar um dano moral indenizável. É necessário que o titular dos dados comprove que sofreu um prejuízo em decorrência do vazamento das informações.

Embora seja apenas o início da construção de um arcabouço jurisprudencial sobre o tema, o entendimento adotado no julgado é um indicativo de qual posicionamento os tribunais poderão adotar, representando grande avanço na discussão do assunto, enfrentado pela Corte Superior pela primeira vez.

Por fim, é importante destacar que o vazamento de dados pessoais pode ter consequências não somente para os titulares, mas também para os agentes de tratamento, tendo em vista os impactos econômicos e reputacionais decorrentes dos incidentes de segurança da informação.  Assim, é fundamental que as empresas que realizam o tratamento de dados pessoais possuam um efetivo programa de adequação à LGPD, bem como adotem medidas de segurança adequadas e estejam preparadas para lidar com eventuais vazamentos e violações de segurança.