- 2 de maio de 2023
- Gestão , Governo , Jurídico
- Comentários: 0
OPINIÃO – Vazamento de dados: a necessidade de comprovação de danos
Por Thais Arza Monteiro, Thiago Sombra e Helena Villela Parcias
Após dois anos e meio da entrada em vigor da Lei Federal nº 13.709/2018, a conhecida LGPD, o número de ações judiciais envolvendo pedidos de indenização por dano moral e/ou material em casos de vazamento de dados vem crescendo de forma exponencial, sem que haja jurisprudência ainda consolidada sobre o tema. Essas ações são ajuizadas a despeito da possibilidade de aplicação de sanções na esfera administrativa pela ANPD (Autoridade Nacional de Proteção de Dados).
O principal ponto de divergência jurisprudencial vem sendo a necessidade de comprovação dos danos, visto que, na maioria das vezes, o pedido indenizatório é formulado sem que haja qualquer prova de dano ou de quem, efetivamente, o gerou. Ou seja, o mero vazamento de dados seria, sob a ótica do cliente/consumidor, suficiente para se requerer o pagamento de indenização em juízo, não sendo necessária a prova do dano.
Em recente e primeiro precedente do STJ (Superior Tribunal de Justiça) [1] versando sobre o tema, entendeu-se que o dano moral, em casos envolvendo dados pessoais não sensíveis, não pode ser presumido, sendo necessária a prova do dano em casos de vazamento.
O precedente é uma importante sinalização do Poder Judiciário para repelir a propositura de ações infundadas, ainda que esse precedente não tenha sido proferido em âmbito de recurso repetitivo e, portanto, não seja vinculante.
No atual estado da tecnologia, com a velocidade das informações, o vazamento de dados pessoais virou algo corriqueiro, porém cada vez mais presente não apenas na vida dos brasileiros, mas em todo cenário mundial. São milhares de incidentes, de extensões grandiosas, que acontecem mesmo quando empresas adotam as melhores práticas para controle e guarda de dados.
Exatamente por conta disso é que a necessidade de comprovação de danos, no caso de vazamento de dados pessoais não sensíveis, parece ser a decisão mais acertada. Não há como se admitir que dados como CPF ou data de nascimento, fornecidos diariamente nas mais diversas situações presentes na rotina de todo cidadão, gere dano moral indenizável.
É necessário que o indivíduo cujos dados estejam envolvidos em um incidente de dados pessoais comprove o dano sofrido, ainda mais quando se trata de exposição de dados que estão disponíveis em fontes públicas e cadastros de diversas empresas e órgãos públicos, por exemplo. Aliás, justamente pelo fato de muitos desses dados pessoais estarem armazenados em várias bases, presentes na rotina de qualquer cidadão, torna-se bastante difícil mesmo com a inversão do ônus da prova identificar a sua origem, notadamente porque fornecidos para as mais diversas finalidades da vida cotidiana, sem nenhum tipo de controle.
E o mesmo raciocínio nos parece ser aplicável quando se trata de dados pessoais sensíveis — cuja classificação é exaustiva na LGPD —, uma vez que o mero vazamento desses dados, sem comprovação de dano ou prejuízo, não é apto a justificar o acolhimento de pedido indenizatório pelo Judiciário.
Em primeiro lugar, cumpre destacar que a LGPD não faz nenhuma distinção a respeito do regime de responsabilidade que deve ser aplicado a partir da natureza dos dados envolvidos, ou seja, dados pessoais sensíveis ou não, visto que não há regra expressa e distinta na lei. Ambos devem seguir o regramento ali previsto, de modo que se deve analisar os atos praticados pelo controlador dos dados para fins de responsabilidade civil.
Assim, a LGPD estabeleceu standards de conduta que devem ser observados pelos agentes de tratamento de dados a fim de mitigar e prevenir incidentes de segurança de dados pessoais. Se a empresa que faz tratamento de dados comprova que esses standards foram observados antes e após eventual incidente, não há, nos termos da LGPD, ato ilícito passível de indenização. Além disso, a LGPD trouxe a excludente de responsabilidade civil consistente na culpa exclusiva de terceiro, muito comum nos casos de incidentes provocados por hackers.
Essa lei também estabeleceu o regime de responsabilidade civil subjetiva, segundo a qual o agente de tratamento de dados depende da demonstração de culpa para ser condenado ao pagamento de indenização.
Portanto, a análise a respeito da responsabilidade civil do controlador de dados deve, obrigatoriamente, passar por esses aspectos para verificar se há ou não culpa do controlador. O entendimento de que a responsabilidade seria objetiva nestes casos está, sob o nosso olhar, em descompasso com o previsto em lei.
Superada essa primeira discussão, também não há como se afastar a necessidade de comprovação de danos em decorrência do vazamento de dados pessoais, ainda que tidos como sensíveis. Não nos parece correto dar tratamento diverso para esses casos, visto que cabe a cada indivíduo comprovar eventuais prejuízos que tenha efetivamente sofrido em decorrência do vazamento.
Nesses termos, o mero vazamento de dados sensíveis não autoriza concluir que houve o compartilhamento dos dados com terceiro e, principalmente, que há danos decorrentes dessa conduta. É evidente que cabe a análise de caso a caso, com base no regramento da LGPD a respeito dos requisitos para comprovação de culpa e, principalmente, do dano sofrido por cada indivíduo e sua extensão.
Qualquer entendimento contrário pode trazer insegurança ao ambiente de negócios e desenvolvimento tecnológico no Brasil. Aliás, tal entendimento é prejudicial não só aos agentes privados de tratamento, como também ao próprio Estado, que talvez seja o maior e mais relevante agente de tratamento de dados pessoais no Brasil, e que já sofreu com incidentes de segurança a despeito dos relevantes sistemas de prevenção que adota.
A presunção de dano moral significaria, na prática, assombroso risco aos cofres públicos. Imagine-se as graves consequências ao erário se as milhões de pessoas afetadas com o incidente do Ministério da Saúde fizessem jus à indenização pela simples ocorrência do incidente, independentemente da prova de dano [2]?
Logo, o STJ fixou precedente relevantíssimo porquanto contrário à criação de um ecossistema de proteção de dados indevido e de desincentivos à adoção de padrões ótimos de segurança de redes e bancos de dados e que, ao nosso ver, deve ser aplicado também aos casos envolvendo dados pessoais sensíveis.
O debate ainda está longe de ser pacificado e há ainda um rico caminho de argumentação perante o Judiciário, que deve levar em consideração os efeitos decorrentes de decisões judiciais para questões modernas e presentes no nosso dia a dia.
[2] https://www.gov.br/saude/pt-br/acesso-a-informacao/lgpd/registro-de-incidentes-com-dados-pessoais
Fonte: Consultor Jurídico
