Danos morais no vazamento de dados: Comprovação dos danos morais em caso de vazamento de dados pessoais

O STJ julgou recentemente um caso (Agravo em Recurso Especial 2.130.619 - SP) de uma ação de indenização ajuizada por particular contra concessionária de energia elétrica pleiteando indenização por danos morais decorrentes do vazamento e acesso, por terceiros, de dados pessoais, tendo fixado o entendimento de que o dano moral por vazamento de dados não é presumido, mas estabelecido uma distinção quanto à necessidade de comprovação de alegados danos morais em relação à natureza dos dados pessoais, se comuns ou sensíveis.

Há dois importantes aspectos nesse precedente que merecem destaque. O primeiro reside no afastamento da tese adotada, em alguns julgados de Tribunais de Justiça Estaduais, de que o simples vazamento de dados importaria na ocorrência de danos morais, tendo o referido julgado do Superior Tribunal de Justiça fixado o entendimento de que o  vazamento de dados pessoais, a despeito de se tratar de falha indesejável no tratamento de dados de pessoa natural por pessoa jurídica, não tem o condão, por si só, de gerar dano moral indenizável. Ou seja, o dano moral não é presumido, sendo necessário que o titular dos dados comprove eventual dano decorrente da exposição dessas informações.

Esse entendimento tem como principal fundamento, conforme assente no acórdão, a premissa de que o conhecimento por terceiro de dados que se fornece em qualquer cadastro em nada violaria o direito de personalidade do titular dos dados. É, portanto, uma importante decisão que se coaduna com a realidade inescapável de nossos tempos, qual seja, a de que qualquer sistema possuí algum grau de vulnerabilidade e está sujeito a vazamento de dados.

É de se celebrar essa parte da referida decisão, vez que o Poder judiciário deve estar atento e com redobrada cautela para que não haja a formação de verdadeiro mercado na judicialização do dano moral por simples vazamento de dados. Felizmente esta não é uma decisão isolada, diversas são as decisões judiciais em diferentes Tribunais de Justiça estaduais em que pedidos de danos morais por vazamento de dados vêm sendo afastados, isso sob o fundamento de que o mero incidente, sem nenhuma repercussão na esfera extrapatrimonial do titular dos dados, não importa em dano moral, não sendo possível afirmar que todo e qualquer vazamento de dados pessoais importe diretamente em efetivo atingimento da honra, da imagem e de outros direitos da personalidade.

Não é demais acrescentar que o dano moral presumido (dano moral in re ipsa) é um instituto presente na jurisprudência de nossos tribunais, mas cumpre observar que nas hipóteses em que é aplicado a própria conduta já é por si reprovável e danosa, ao exemplo de casos de violência cometida contra mulher praticados no âmbito doméstico e familiar. Esse aspecto é de extrema importância quando se trata de vazamento de dados, na medida em que a própria Lei Geral de Proteção de Dados traz qual a conduta esperada - e irrepreensível - na relação das empresas com os titulares de dados.

Com efeito, essa conduta esperada no tratamento de dados encontra previsão específica nos termos incisos do art. 44 e do art. 46 da LGPD: a adoção, pelo fornecedor, da tecnologia disponível no mercado que seja apta (proporcional ao estado da tecnologia) a minimizar os riscos de incidentes de segurança e a observância da regulamentação existente, confira-se:

Art. 44. O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:

I - o modo pelo qual é realizado;

II - o resultado e os riscos que razoavelmente dele se esperam;

III - as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.

Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano.

Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

O segundo aspecto nesse precedente que destacamos é a distinção em relação à natureza dos dados pessoais para que seja necessária a comprovação de alegados danos morais. Com todas as vênias, mercê da louvável preocupação do Superior Tribunal de Justiça com a proteção a dados sensíveis, essa distinção assente naquele precedente fere de morte o princípio hermenêutico de que onde a lei não distingue, não cabe ao intérprete distinguir (ubi lex non distinguit nec nos distinguere debemus) além de invadir a competência da ANPD.

Nesse aspecto, é assinalável que a Lei Geral de Proteção de Dados confere maior proteção aos dados pessoais sensíveis quando, ao disciplinar as hipóteses de tratamento¹, qualifica o consentimento, exigindo que este seja "de forma específica e destacada, para finalidades específicas", não prevê como hipóteses legais de tratamento as bases legais de execução de contrato, interesses legítimos do controlador ou de terceiro e de proteção do crédito, e, restringe a comunicação ou o uso compartilhado desses dados.

Entretanto, a Lei Geral de proteção de Dados não faz qualquer distinção em relação a dados sensíveis no capítulo da responsabilidade e do ressarcimento de danos, no qual se encontra a norma que determina a conduta esperada no tratamento de dados (art. 44 da LGPD), sejam eles sensíveis ou não.

Eventual distinção que se possa vir a fazer em relação à segurança de dados sensíveis reside na disposição acerca dos padrões técnicos mínimos de segurança (e não na disposição sobre responsabilização por danos) considerados a natureza dos dados sensíveis, as características específicas do tratamento e o estado atual da tecnologia. Contudo, a competência para dispor sobre essa distinção é da Autoridade Nacional de Proteção de Dados (ANPD), na forma do art. 46, §1º da Lei Geral de Proteção de Dados².

É de se acrescentar, ainda, que mesmo que pudesse ser feita tal distinção por via da jurisprudência, os seus potenciais efeitos são extremamente nocivos a fomentar nova modalidade de "indústria do dano moral", agora voltada aos casos de simples vazamento de dados. Isso porque não são incomuns as decisões judiciais em que se reputam sensíveis, dados que não o são à luz da Lei Geral de Proteção de Dados.

Nesse ponto, não se pode esquecer a notória frase de Pedro Aleixo de que o problema não é a autoridade maior, é o guarda da esquina. Uma vez que um Tribunal de Justiça estadual deixe assente em um acórdão, equivocadamente, que houve um vazamento de dados sensíveis, mesmo não os sendo dessa natureza à luz da LGPD, estarão os Superior Tribunal de Justiça e Supremo Tribunal Federal obstados em corrigir tal equívoco, na medida em que qualquer recurso encontrará óbice na súmula 7 do STJ.

É de se concluir que esse precedente do agravo em RE 2.130.619/SP, embora traga aspectos positivos para refrear a judicialização do dano moral por simples vazamento de dados, por outro lado, atenua indevidamente essa contenção ao excepcionar, para o caso de dados sensíveis, o entendimento de inexistência de dano moral presumido por vazamento de dados. É, sem dúvida, um importante precedente que contribuí para a formação de jurisprudência, mas que merece ser aprimorada no que se refere à indevida distinção da natureza dos dados pessoais para efeitos de necessária comprovação de danos morais.

----------