O Caso da condenação por tratamento ilícito de dados pessoais no metrô paulista: extraindo ensinamentos

Introdução:

A decisão proferida pela 8ª Câmara de Direito Público do Tribunal de Justiça de São Paulo representa um avanço significativo no campo da proteção de dados pessoais e dos direitos do consumidor ( Apelação nº 1090663-42.2018.8.26.0100). 

Ao confirmar uma sentença condenatória e aumentar a indenização por dano moral coletivo para meio milhão de reais, o tribunal envia uma mensagem clara de que o tratamento ilícito de dados pessoais não será tolerado e que as empresas devem respeitar o direito à informação clara e adequada dos consumidores.

Leia: https://www.tjsp.jus.br/Noticias/Noticia?codigoNoticia=91605 

O contexto do caso:

No caso em análise, constatou-se a ocorrência de tratamento ilícito de dados pessoais em uma das linhas do metrô paulista. 

É importante ressaltar que os usuários não receberam as informações adequadas nem foram comunicados previamente ou posteriormente acerca da utilização ou captação de suas imagens pelos totens instalados nas plataformas. 

Tal situação configura uma clara violação do direito dos usuários à informação clara e adequada sobre o uso de seus dados pessoais.

Essa prática viola o direito à informação, previsto no Código de Defesa do Consumidor, bem como a proteção contra a publicidade enganosa e abusiva, métodos comerciais coercitivos ou desleais.

A relevância do direito à informação:

A garantia do direito à informação assume um papel de extrema importância em uma sociedade democrática e desempenha um papel fundamental na proteção dos direitos dos consumidores. 

No caso em questão, é inegável que os consumidores têm o direito de estar plenamente informados sobre como suas informações pessoais estão sendo tratadas, assim como o direito de consentir ou recusar o uso de tais dados. 

A ausência de transparência e comunicação adequada por parte da empresa responsável pelo metrô paulista claramente configura uma violação desse direito fundamental.

A proteção dos dados pessoais como direito fundamental:

A salvaguarda dos dados pessoais é cada vez mais amplamente reconhecida como um direito fundamental e inalienável. 

No cerne dessa questão reside a prerrogativa das pessoas de manter o controle sobre suas informações pessoais e exercer seu direito de determinar a forma como esses dados são utilizados. 

O tratamento ilícito de dados pessoais representa uma grave violação à privacidade, à intimidade e à dignidade dos indivíduos. 

Diante desse contexto, é imperativo que as empresas e instituições sejam proativas ao respeitarem esses direitos e implementarem medidas adequadas para assegurar a proteção dos dados pessoais dos consumidores.

A responsabilidade das empresas e a condenação:

No presente caso, a empresa incumbida da operação do metrô foi devidamente responsabilizada por sua falha em prover informações adequadas aos usuários acerca da captação e uso de suas imagens. 

A imposição de uma indenização no montante de meio milhão de reais, visando reparar o dano moral coletivo, evidencia a seriedade da conduta ilícita e estabelece um precedente de suma importância para casos futuros que envolvam a proteção de dados pessoais e os direitos dos consumidores.

Essa decisão judiciária ressalta a necessidade premente de as empresas cumprirem seu dever de transparência, fornecendo informações claras e completas aos indivíduos afetados pelo tratamento de seus dados pessoais. 

A ausência de comunicação adequada por parte da empresa em questão representou uma violação flagrante aos direitos fundamentais dos usuários, sobretudo o direito à privacidade e à autodeterminação informacional.

Além disso, a fixação de uma indenização substancial por dano moral coletivo busca não apenas compensar as vítimas, mas também desencorajar práticas abusivas e negligentes no tratamento de dados pessoais. 

Trata-se, portanto, de uma medida que visa reafirmar a importância da proteção dos direitos dos consumidores e fortalecer a cultura de respeito à privacidade e à segurança dos dados pessoais.

É importante salientar que, essa decisão consolida-se como um marco relevante na defesa da privacidade dos usuários e no reconhecimento da responsabilidade das empresas em resguardar os dados pessoais que lhes são confiados. Ela ressalta a necessidade de uma atuação diligente e consciente por parte das empresas, a fim de garantir a conformidade com as leis e regulamentações de proteção de dados, bem como a promoção de uma cultura de transparência e respeito aos direitos dos consumidores.

A importância de medidas preventivas:

O caso em análise ressalta a importância incontestável da adoção de medidas preventivas por parte das empresas e instituições públicas no que tange à proteção de dados pessoais. Nesse sentido, torna-se imperativo estabelecer políticas de privacidade claras e abrangentes, que definam de forma inequívoca os procedimentos e finalidades para as quais os dados serão utilizados.

A obtenção do consentimento informado dos usuários é uma etapa crucial nesse processo, visto que garante que as pessoas tenham conhecimento pleno e prévio sobre como suas informações serão tratadas. É mediante o consentimento esclarecido que os indivíduos podem exercer sua autonomia e decidir, de forma consciente, se desejam ou não permitir o acesso e uso de seus dados pessoais.

Ademais, a transparência no tratamento de dados é um princípio fundamental que deve ser observado pelas empresas. Isso implica em comunicar aos usuários, de maneira clara e acessível, as práticas adotadas no que diz respeito à coleta, armazenamento, processamento e compartilhamento de suas informações pessoais. Somente através de uma divulgação transparente é que os consumidores poderão tomar decisões informadas acerca do compartilhamento de seus dados.

Outro aspecto crucial é a conscientização dos consumidores sobre seus direitos em relação à proteção de dados e a importância de preservar sua privacidade. É necessário investir em campanhas educativas que esclareçam os direitos que os indivíduos possuem e os alertem para as possíveis ameaças relacionadas ao uso indevido de suas informações pessoais. A conscientização é uma ferramenta essencial para empoderar os consumidores, permitindo que eles exerçam seu papel ativo na defesa de sua privacidade e na exigência do cumprimento das normas de proteção de dados.

Em suma, diante das complexidades e desafios inerentes à era digital, as empresas e instituições públicas têm a responsabilidade de implementar medidas preventivas eficazes para a proteção de dados pessoais. 

Isso implica em estabelecer políticas de privacidade robustas, obter o consentimento informado dos usuários, garantir a transparência nas práticas de tratamento de dados e promover a conscientização dos consumidores sobre seus direitos. Somente através dessas ações conjuntas será possível construir um ambiente seguro e confiável, onde a privacidade e a proteção de dados sejam valores primordiais.

Conclusão:

Este caso de condenação por tratamento ilícito de dados pessoais no metrô paulista representa um avanço significativo na proteção da privacidade dos usuários e ressalta a relevância do direito à informação e à proteção dos dados pessoais. 

A decisão destaca a importância de preservar a privacidade dos indivíduos, especialmente em um cenário em que a tecnologia assume um papel cada vez mais central em nossas vidas. Com o aumento do armazenamento, coleta e utilização de dados pessoais, é fundamental que as pessoas sejam devidamente informadas sobre como suas informações serão utilizadas e tenham controle sobre o uso desses dados.

Além disso, essa violação de direitos não apenas configura uma violação do direito à privacidade, mas também uma violação dos direitos do consumidor. Os consumidores têm o direito de saber como suas informações estão sendo utilizadas e têm o direito de consentir ou recusar o uso de seus dados pessoais. 

A falta de transparência e comunicação adequada por parte da empresa responsável pelo metrô paulista resultou em uma clara violação desses direitos fundamentais. A condenação em meio milhão de reais por dano moral coletivo é um reflexo da gravidade da conduta ilícita e estabelece um importante precedente para casos futuros envolvendo a proteção de dados pessoais e direitos dos consumidores.

Este caso destaca a necessidade de as empresas e instituições públicas adotarem medidas preventivas para garantir a proteção dos dados pessoais dos usuários. É fundamental que sejam estabelecidas políticas claras de privacidade, mecanismos de consentimento informado e comunicação transparente sobre o uso de dados. Além disso, é necessário conscientizar os usuários sobre seus direitos e a importância de proteger sua privacidade.

À medida que a tecnologia continua a se desenvolver, a proteção da privacidade e dos dados pessoais torna-se uma questão cada vez mais importante e urgente. As empresas e instituições públicas precisam estar cientes da responsabilidade que têm em proteger a privacidade dos usuários e garantir que seus dados pessoais sejam tratados de forma adequada e transparente. A condenação por tratamento ilícito de dados pessoais no metrô paulista serve como um exemplo importante de como as empresas podem ser responsabilizadas por violações de privacidade e direitos do consumidor.

Em resumo, a decisão da 8ª Câmara de Direito Público do Tribunal de Justiça de São Paulo representa um marco na proteção da privacidade dos usuários e destaca a importância do direito à informação e à proteção dos dados pessoais, inclusive serve como um precedente significativo para casos futuros e enfatiza a importância de as empresas e instituições públicas adotarem medidas preventivas para garantir a proteção dos dados pessoais dos usuários e conscientizar os usuários sobre seus direitos de privacidade.

Consulte sempre um advogado!

LUIZ FERNANDO PEREIRA - Advogado

WhatsApp (11) 98599-5510

drluizfernandopereira@yahoo.com.br

Site: https://www.luizfernandopereira.com

COMO COMPROVAR EFETIVO PREJUÍZO PARA INDENIZAÇÃO POR VAZAMENTO DE DADOS?

Análise conforme decisão recente do STJ.

A questão que devemos inicialmente observar refere-se sobre a caracterização por vazamento de dados,  que ocorre quando informações confidenciais e pessoais são divulgadas ou expostas sem autorização ou consentimento do titular desses dados. Essas informações podem incluir dados pessoais, como nome, endereço, data de nascimento, informações de contato, número de CPF, RG ou passaporte, dados bancários e informações de cartão de crédito, entre outros.

Em relação às formas de vazamento de dados, pode se dar por ataques cibernéticos a sistemas de empresas, roubo ou perda de dispositivos móveis ou armazenamento físico, erro humano, entre outras causas.

As consequências decorrentes de vazamentos de dados podem ser graves, como a exposição de informações pessoais e sensíveis, a possibilidade de fraudes financeiras, o uso indevido de informações para marketing ou monitoramento, ou mesmo a perda de privacidade e segurança para o indivíduo afetado.

Na prática, as empresas são responsáveis pela proteção e segurança dos dados de seus clientes e usuários, e a divulgação de informações sem autorização pode resultar em sanções e multas, além de possíveis processos judiciais por danos morais e materiais.

É neste sentido que empresas e organizações adotem medidas de segurança adequadas para proteger os dados de seus clientes e usuários e garantir a privacidade e a segurança dessas informações.

E como a Legislação trata sobre o tratamento de dados?

 A Lei Geral de Proteção de Dados (LGPD) que entrou em vigor em setembro de 2020, e tem como objetivo regulamentar a coleta, armazenamento, tratamento e compartilhamento de dados pessoais por empresas e organizações, garantindo a privacidade e a proteção dos dados dos cidadãos brasileiros.

É preciso observar que, o vazamento de dados pessoais é uma violação da LGPD e pode resultar em sanções e multas para as empresas ou organizações responsáveis pelo tratamento desses dados.

Conforme mencionado, as empresas e organizações tem a obrigação prevista em lei para implementar medidas de segurança adequadas para proteger os dados pessoais, como a adoção de políticas de segurança, a implementação de tecnologias adequadas de proteção de dados, a realização de auditorias regulares e o treinamento de funcionários para lidar com dados pessoais.

Assim, em caso de vazamento de dados pessoais, a LGPD exige que as empresas e organizações afetadas comuniquem imediatamente aos titulares dos dados e à Autoridade Nacional de Proteção de Dados (ANPD) sobre a violação, e adotem as medidas necessárias para minimizar os danos e prevenir novos vazamentos.

Note-se que a LGPD tem como objetivo garantir a proteção dos dados pessoais dos cidadãos brasileiros e incentivar a adoção de boas práticas de segurança da informação por empresas e organizações, criando um ambiente mais seguro e confiável para a coleta, armazenamento e compartilhamento de dados pessoais.

E o que a Justiça tem decidido sobre indenização por vazamento de dados?

Apesar de ser uma falha indesejável no tratamento de informações pessoais conforme mencionado anteriormente, o vazamento de dados não tem a capacidade, por si só, de gerar dano moral indenizável, segundo entendimento recente do Superior Tribunal de Justiça.

         É neste ponto que podemos destacar que o Tribunal decidiu, sobre eventual pedido de indenização será necessário que o titular dos dados comprove o efetivo prejuízo gerado pela exposição dessas informações.

Desta forma, nas lições que jurisprudência exige até o momento, é a existência de um prejuízo decorrente de vazamento de dados. Podemos citar, por exemplo, a divulgação de informações pessoais e sensíveis de um indivíduo, como dados bancários, informações de saúde ou dados de identificação, que podem ser usados para fraudes, phishing ou roubo de identidade.

Entendemos como prejuízos financeiros, como a abertura de contas fraudulentas, cobranças indevidas ou compras não autorizadas. Também pode levar a prejuízos psicológicos, como a sensação de invasão de privacidade e a preocupação com possíveis consequências futuras.

Ademais, o efetivo prejuízo para fins de indenização se refere aos danos reais e comprováveis sofridos pela vítima em decorrência de um evento ou situação que deu origem a uma ação de indenização. Em outras palavras, é a demonstração de que a vítima sofreu algum tipo de prejuízo em decorrência do fato ocorrido.

No caso de uma ação de indenização por vazamento de dados, por exemplo, o efetivo prejuízo pode incluir os danos materiais, como prejuízos financeiros decorrentes de fraudes ou outras atividades ilícitas realizadas com os dados vazados, e os danos morais, como o constrangimento, a angústia e a violação da privacidade.

Entretanto, aos danos morais, o STJ reconheceu que o dano moral não é presumido, sendo necessário que o titular dos dados demonstre ter havido efetivo dano com o vazamento e o acesso de terceiros.

Vejamos o breve argumento do Ministro Francisco Falcão (AREsp 2.130.619)[1]:

"Diferente seria se, de fato, estivéssemos diante de vazamento de dados sensíveis, que dizem respeito à intimidade da pessoa natural. No presente caso, trata-se de inconveniente exposição de dados pessoais comuns, desacompanhados de comprovação do dano", concluiu o ministro ao acolher o recurso da Eletropaulo e restabelecer a sentença.

Nesses casos, é possível que o indivíduo prejudicado por vazamento de dados ainda possa buscar indenização por danos morais e/ou materiais, porém, exige-se na prática que a empresa responsável pelo vazamento de dados arque com as consequências financeiras e emocionais decorrentes do incidente, cabendo ao lesado à demonstração de dano.

Por fim, o valor da indenização pode variar dependendo da gravidade do vazamento e do impacto causado ao indivíduo afetado.

 

É possível que o STJ altere seu entendimento neste caso?

Regra geral, a jurisprudência do Superior Tribunal de Justiça (STJ) é estabelecida através de seus julgamentos, que interpretam e aplicam a legislação federal, bem como a Constituição Federal. A alteração da jurisprudência do STJ só pode ocorrer através de uma mudança de entendimento pelos ministros da Corte em julgamentos futuros ou pela atuação do legislador.

Os julgamentos do STJ são proferidos por uma composição colegiada de ministros, que se reúnem para decidir os casos que lhes são apresentados. Cada julgamento é fundamentado em argumentos jurídicos, doutrina e jurisprudência, além da interpretação da legislação aplicável ao caso.

Se houver um caso em que a jurisprudência do STJ esteja sendo questionada e os ministros decidam mudar o entendimento, a jurisprudência será atualizada a partir da publicação do acórdão do julgamento, que passará a ser considerada a nova orientação da Corte.

No entanto, vale lembrar que a jurisprudência não é algo imutável, mas sim uma construção contínua que se adapta às mudanças sociais, políticas e econômicas do país. Portanto, a jurisprudência do STJ pode ser alterada ao longo do tempo, desde que haja uma nova interpretação do direito, inclusive, a negativa de dano moral por vazamento de dados é consolidada no sentido de que nem todo vazamento de dados gera automaticamente o dever de indenizar por danos morais.

Neste ponto, para que se configure a indenização, é necessário que o vazamento seja capaz de gerar efetivamente uma lesão aos direitos da personalidade do titular dos dados, como a privacidade, a intimidade, a honra ou a imagem.

Observe-se que, tecnicamente alterar essa jurisprudência, seria necessário que um novo caso, com argumentos e fatos diferentes daqueles que já foram analisados pela Corte, seja levado ao STJ e que os ministros decidam de forma diferente em relação à indenização por danos morais. A partir desse julgamento, a jurisprudência poderia ser alterada, nesse sentido.

Não podemos deixar de frisar que,  a jurisprudência do nosso País é pautada num processo dinâmico, que pode ser alterado ao longo do tempo em razão da evolução da sociedade e do próprio entendimento dos tribunais.

Dessa forma, é possível que a jurisprudência do STJ sobre a negativa de dano moral por vazamento de dados seja modificada no futuro (ainda que próximo), mesmo sem um novo julgamento específico sobre o assunto.

---

[1] https://www.stj.jus.br/sites/portalp/Paginas/Comunicacao/Noticias/2023/17032023-Titular-de-dados-vazados-deve-comprovar-dano-efetivo-ao-buscar-indenizacao--decide-Segunda-Turma.aspx