Com LGPD, discussão se intensificou e ganhou os tribunais, cujas decisões mostram que entendimento não é pacífico
Desde a entrada em vigor da lei 13.709/2018, a Lei Geral de Proteção de Dados (LGPD), em setembro do ano passado, a discussão sobre a obrigação das empresas de garantir a segurança dos dados aos quais têm acesso se intensificou e ganhou os tribunais. Um questionamento, em especial, tem se destacado. O vazamento de informações gera direito a indenização por danos morais? Ou o titular dos dados precisa comprovar que resultaram danos dessa exposição?
Segundo especialistas, as decisões judiciais sobre o tema, que ainda não alcançou as cortes superiores, têm orientações divididas. Enquanto algumas concedem a indenização levando em conta o fato de haver exposição dos dados, outras condicionam o pagamento de danos morais à vinculação entre o vazamento das informações e danos sofrido pelos autores das ações.
Para o advogado Renato Moraes, sócio da área contenciosa do Cascione, Pulino e Boulos, é cedo para dizer qual entendimento irá prevalecer na jurisprudência. “Os casos estão começando a aparecer e estamos analisando”, diz.
De acordo com o advogado, as ações na Justiça envolvendo o tema cresceram com a aprovação da LGPD. Ele informa que um levantamento do escritório identificou mais de 600 pedidos de indenização por vazamento de dados somente em 2021.
A avaliação de Moraes é que o vazamento de informações por si só não gera indenização. O advogado argumenta que a disposição está na própria LGPD, que em seu artigo 42 estabelece que “o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo”.
“A lei não mexe no conceito e na caracterização de dano moral. O artigo 186 do Código Civil diz que ‘aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano, ainda que exclusivamente moral, comete ilícito’. A LGPD tem exatamente a mesma estrutura. A única coisa de novo é o dano moral coletivo. Eu não vejo razão para os tribunais usarem isso como desculpa para mexer em uma coisa que está bem sedimentada”, argumenta.
“Tem julgados nos dois sentidos”, comenta Fernando Bousso, sócio e advogado especialista em Privacidade e Proteção de Dados do Baptista Luz, que também avalia que o mero vazamento não deveria ser passível de indenização.
“Incidentes de segurança, infelizmente, não são situações excepcionais. Há situações esdrúxulas em que devido à exposição de um CPF, ou só de um nome, a empresa tem que pagar um dano moral. Isso vai contra o objetivo principal da lei, que é fomentar inovação em um ecossistema. Simplesmente dizer que você sofreu um abalo não deveria gerar dano moral nos tribunais, na minha avaliação”, opina.
Receba gratuitamente a newsletter Impacto nas Instituições
A Impacto nas Instituições traz um resumo dos principais acontecimentos do dia e análises de quem conhece os bastidores dos Três Poderes
Decisões opostas
Decisões recentes mostram que o entendimento não é pacífico. Em 16 de abril de 2021, o juiz Mario Sergio Leite, da 2ª Vara Cível da Comarca de Osasco (SP), decidiu no processo 1025226-41.2020.8.26.0405 negar indenização de R$ 10 mil a uma usuária da Eletropaulo cujos dados ficaram expostos, o que foi reconhecido pela empresa.
A autora da ação alegou que a situação “tirou seu sono, causando angústia e sentimento de tristeza”, uma vez que os dados vazados são irrecuperáveis e estão sujeitos a ser negociados para propaganda ou usados para possíveis golpes.
No entanto, para o juiz, embora fosse “inequívoco que a ré tem a obrigação de proteger os dados pessoais de seus clientes (…) para o surgimento do dever de indenizar, faz-se necessário aferir se tal vazamento de dados causou efetivamente à parte autora algum dano”.
Ainda de acordo com o magistrado, “a parte autora informa genericamente que sofreu abalos psicológicos pelo vazamento de seus dados, não havendo, todavia, demonstração alguma de que, após a invasão, tais dados foram utilizados de forma indevida” e, além disso, também “não demonstrou que eventuais e-mails indesejados e ligações de empresas tenham relação com o vazamento de dados, até porque, muito comum recebê-los sem o referido vazamento”.
Por outro lado, em 22 de junho os desembargadores da 26ª Câmara de Direito Privado do TJSP decidiram em sentido oposto no processo 1003122-23.2020.8.26.0157. O caso envolvia um cliente que efetuou uma compra no site da empresa Sodimac.
Horas depois, foi contatado por um desconhecido via WhatsApp, que o informou que seus dados estavam expostos na página eletrônica da empresa. Em sua defesa, a companhia alegou que adota diversos protocolos de segurança e que “pequenos problemas como esses” são rapidamente resolvidos.
Ainda assim, os desembargadores entenderam que “a divulgação de dados pessoais do autor em página eletrônica, acessível por terceiros, ainda que por curto período de tempo, é hábil a ensejar indenização por danos morais” e determinaram o pagamento de R$ 2 mil ao cliente.
Para Fernanda Girardi, coordenadora da área de Proteção de Dados do Souto Correa, a construção de uma jurisprudência consolidada em torno da LGPD ainda deve levar algum tempo. “O que a gente acaba tendo são ainda decisões de primeiro grau. Essa do foro de Osasco eu considero muito emblemática. É o posicionamento que eu sigo, de que a gente não pode conceder indenização por danos morais pelo simples fato da ocorrência de vazamento”.
Dano moral coletivo
Em uma outra decisão, de 23 de fevereiro, em resposta à apelação no processo 0418456-71.2013.8.19.0001, uma ação civil pública proposta pelo Ministério Público do Rio de Janeiro, as empresas Smarty Solutions, BV Financeira, Bracom e Grupo Líder foram condenadas a pagar R$ 500 mil por dano moral coletivo e R$ 1 mil por danos materiais e morais aos consumidores, individualmente considerados, devido a um vazamento de dados que deixou expostos por pelo menos três meses de informações dos clientes da BV Financeira.
Segundo os autos, “a Bracom, integrante do Grupo Líder, possuía os dados dos clientes da BV Financeira em função de seu papel mercadológico, já que a prestadora utiliza os serviços da financeira. Por outro lado, delegou a manutenção do banco de dados para a empresa Smarty Solutions”.
Para os julgadores, houve negligência da BV Financeira: “Não há como deixar de se constatar a culpa in eligendo, pela má escolha do preposto, que inobservou as cláusulas contratuais referentes ao sigilo, como também pela culpa in vigilando, pois o descaso como dever de cuidado sobre as funções delegadas a Smarty, é de tal ordem que a empresa BV só tomou conhecimento do vazamento do seu banco de dados meses depois.”
Diante de interpretações como essa, Fernando Buosso afirma que uma forma de as empresas se protegerem é adotar sempre as melhores práticas em segurança da informação. Segundo ele, a preocupação da empresa com a proteção dos dados dos clientes é levada em conta pelas autoridades judiciária e administrativa.
“A lei é baseada em risco, não podemos dizer que todos estão livres. Incidentes vão ocorrer. Então, elas [empresas] devem ser capazes de demonstrar que se preocuparam, sim, com esse tema”, comenta.
Sanções administrativas
A LGPD é discutida em ações judiciais desde o ano passado, mas somente em 1º de agosto de 2021 passaram a valer as sanções administrativas para empresas que não se enquadrarem nas novas regras. As punições previstas na legislação vão de advertência a multa no valor de até 2% do faturamento da empresa, limitada a R$ 50 milhões.
Para Renato Moraes, na esfera administrativa a situação é diferente da esfera judiciária, aplicando-se multa no caso de mero vazamento de dados. “Pelos contornos objetivos que a lei coloca, o mero vazamento de dados gera multa. O que você vai olhar em termos de conduta da parte, se agiu de forma culposa, vai influenciar na dosimetria.”
No entanto, Fernando Bousso lembra que a Autoridade Nacional de Proteção de Dados (ANPD), responsável por fiscalizar a aplicação da LGPD, divulgou que nos primeiros meses adotará o que chamou de uma postura responsiva.
“Ela vai adotar uma postura muito mais responsiva, tentar mostrar quais medidas as empresas devem adotar para remediar o problema e, se o agente não cooperar, vai estabelecer um procedimento administrativo, ou aplicar sanção”, comenta.
A reportagem entrou em contato com a ANPD pedindo um posicionamento sobre o tema do vazamento de dados na esfera administrativa, mas não houve retorno.
Fonte: JOTA. por Mariana Branco