O receio de uso indevido dos dados pessoais vazados é dano indenizável

No contexto do desenvolvimento jurídico da disciplina do direito à proteção de dados pessoais para fazer frente aos novos, graves e recorrentes riscos a que ficam sujeitos os titulares dos dados, devido aos usos que deles se fazem, um tema que tem preocupado os juristas é o da adequada juridicidade da reparação decorrente da violação dos dados pessoais.

Tradicionalmente, a doutrina da responsabilidade civil exige, para a constituição do dever de indenizar, a ocorrência de um dano - material ou moral - que decorra de um ato ilícito, sendo necessária a prova deste dano, do ato ilícito que lhe deu causa, do nexo causal entre ambos e, em regra, do elemento subjetivo da conduta (dolo ou culpa), prescindindo-se da prova deste elemento subjetivo nas hipóteses em que a lei determina que a responsabilidade é objetiva.

A questão da prova do dano decorrente da violação de dados, quando este assume a dimensão imaterial, tem ensejado preocupações no sentido do Direito possibilitar soluções justas. Isto porque a jurisprudência brasileira reconhece situações em que o dano é considerado presumido, "não sendo necessário comprovar a violação aos direitos da personalidade, que seria uma lesão à sua imagem, honra subjetiva ou privacidade" (Tribunal de Justiça do Distrito Federal).

Os dados pessoais são considerados uma manifestação da personalidade do indivíduo, na sua dimensão informacional. No entanto, o Superior Tribunal de Justiça (STJ) brasileiro decidiu, no julgamento do AREsp 2130619 / SP, que o dano por violação de dados pessoais não é presumido, sendo necessário que o titular faça prova do dano moral sofrido. No mesmo sentido decidiu o Tribunal de Justiça da União Europeia (TJUE) em março de 2023 (processo C-300/21), ao definir que o dano não se confunde com a violação da legislação de proteção de dados (GDPR), devendo ser um evento que decorre daquela violação. Mas deixou claro que o dano não se sujeita a um determinado nível de gravidade para ser ressarcido e que deve ser interpretado de forma ampla (dano em sentido lato), como forma de cumprir os objetivos de elevada proteção do seu titular.

Já no recente julgamento do processo C-340/21, em 14 de dezembro de 2023, TJUE avançou no delineamento do conceito de dano por violação de dados pessoais, definindo que o receio, alegado pelo titular de dados, de que os seus dados pessoais vazados possam ser utilizados de modo indevido, deve ser considerado dano passível de indenização, sob pena de não se interpretar o conceito de dano no sentido lato e de se frustrar os objetivos da legislação de proteção de dados. Lembrou o Tribunal que o Considerando 85 do GPDR traz uma lista exemplificativa de danos decorrentes da violação de dados, dentre os quais se encontra "a perda do controle sobre os dados". Conciliando com a decisão anterior, o Tribunal adverte que não significa uma consideração do dano gerado automaticamente pelo ato que viola a legislação de proteção de dados, mas sim que, se um indivíduo "invoca o receio de uma utilização abusiva dos seus dados pessoais no futuro, devido à existência desta violação, o tribunal [nacional da causa] deve verificar se este receio pode ser considerado fundado, nas circunstâncias específicas em causa e em relação à pessoa em questão".

O Tribunal é enfático ao afirmar que "o receio que um titular dos dados sinta de uma eventual utilização abusiva dos seus dados pessoais por terceiros, na sequência de uma violação deste regulamento é suscetível, por si só, de constituir «danos [...] imateriais»" 

Deste entendimento decorre que as circunstâncias do caso concreto é que dirão ser ou não fundado o receio de uso indevido dos dados pessoais, invocado pelo respectivo titular.

A decisão do TJUE obviamente não vincula a jurisdição brasileira, mas lança luz sobre a linha do entendimento que considera a juridicidade na interpretação da conduta que viola o direito fundamental à proteção de dados. E trata-se do entendimento adotado por um Tribunal que tem participado do desenvolvido das bases desta disciplina jurídica na União Europeia e que leva em consideração não somente o âmbito de proteção do direito, mas a atividade de tratamento de dados pessoais como uma necessidade do mundo atual, tanto por entidades públicas, quanto privadas e, dentre estas últimas, as organizações nos seus diversos formatos e dimensões, das pequenas e unipessoais às grandes e de atuação internacional.

Assim como o regime jurídico da proteção de dados pessoais da União Europeia, o regime jurídico brasileiro de proteção de dados se funda no direito fundamental, no Brasil consagrado na Constituição Federal. O Supremo Tribunal Federal (STF), no julgamento conjunto da ADIn 6649 e da ADPF 695, declarou que o direito à proteção de dados diz respeito à proteção do indivíduo contra os riscos que ameaçam a sua personalidade em face da coleta, processamento, utilização e circulação de dados pessoais. Recorda-se que tradicionalmente a jurisprudência brasileira entende prescindível a prova do dano quando se trata de violação de direitos da personalidade, sendo o dano presumido nestes casos.

No mesmo julgado antes mencionado, o STF declarou que, diante dos riscos inerentes à sociedade da informação, cabe ao Tribunal "reconhecer que a disciplina jurídica do processamento e da utilização de dados pessoais acaba por afetar o sistema de proteção de garantias individuais como um todo". E reafirmou que o parâmetro de controle de constitucionalidade de atos [e normas] não se faz pela legislação infraconstitucional, mas pelos contornos dados pelas garantias constitucionais previstas no art. 5º, X, da Constituição Federal, que prevê a inviolabilidade da vida privada (na data deste julgamento o direito à proteção de dados ainda não estava consagrado expressamente na Constituição, sendo o seu reconhecimento decorrente da conjugação das disposições dos incisos X e XII do art. 5º).

A Corte Constitucional brasileira portanto já sinalizou no sentido de que o regime jurídico de proteção de dados deve observar a normatividade constitucional das normas que consagram direitos fundamentais, o que implica numa interpretação constitucional da Lei Geral de Proteção de Dados - LGPD, bem como na efetiva aplicação do direito à proteção de dados imbuído das características e efeitos próprios das normas consagradoras dos direitos fundamentais, como de constituírem critério de interpretação e integração normativas, com eficácia imediata tanto para os três Poderes do Estado, quanto para a iniciativa privada. Neste contexto, a concepção de dano decorrente da violação de dados pessoais (do que o vazamento é apenas uma das possibilidades) deve ser ampla, com foco na tutela do bem jurídico protegido pelo direito à proteção de dados.

O Ordenamento Jurídico brasileiro, portanto, contém as bases para um entendimento na linha daquele definido pelo TJUE, de que o receio de uso indevido dos dados pessoais, na sequência de uma violação da LGPD, pode se qualificar, por si só, como dano indenizável. E o princípio da juridicidade, a guiar a interpretação constitucional, conduz neste sentido.