Análise
conforme decisão recente do STJ.
A questão que
devemos inicialmente observar refere-se sobre a caracterização por vazamento de
dados, que ocorre quando informações confidenciais e pessoais são
divulgadas ou expostas sem autorização ou consentimento do titular desses
dados. Essas informações podem incluir dados pessoais, como nome, endereço,
data de nascimento, informações de contato, número de CPF, RG ou passaporte,
dados bancários e informações de cartão de crédito, entre outros.
Em relação às
formas de vazamento de dados, pode se dar por ataques cibernéticos a sistemas
de empresas, roubo ou perda de dispositivos móveis ou armazenamento físico,
erro humano, entre outras causas.
As
consequências decorrentes de vazamentos de dados podem ser graves, como a
exposição de informações pessoais e sensíveis, a possibilidade de fraudes
financeiras, o uso indevido de informações para marketing ou monitoramento, ou
mesmo a perda de privacidade e segurança para o indivíduo afetado.
Na prática, as
empresas são responsáveis pela proteção e segurança dos dados de seus clientes
e usuários, e a divulgação de informações sem autorização pode resultar em
sanções e multas, além de possíveis processos judiciais por danos morais e
materiais.
É neste
sentido que empresas e organizações adotem medidas de segurança adequadas para
proteger os dados de seus clientes e usuários e garantir a privacidade e a
segurança dessas informações.
E como a Legislação trata sobre o tratamento de dados?
A Lei Geral de
Proteção de Dados (LGPD) que entrou em vigor em setembro de 2020, e tem como
objetivo regulamentar a coleta, armazenamento, tratamento e compartilhamento de
dados pessoais por empresas e organizações, garantindo a privacidade e a
proteção dos dados dos cidadãos brasileiros.
É preciso
observar que, o vazamento de dados pessoais é uma violação da LGPD e pode
resultar em sanções e multas para as empresas ou organizações responsáveis pelo
tratamento desses dados.
Conforme
mencionado, as empresas e organizações tem a obrigação prevista em lei para
implementar medidas de segurança adequadas para proteger os dados pessoais,
como a adoção de políticas de segurança, a implementação de tecnologias
adequadas de proteção de dados, a realização de auditorias regulares e o
treinamento de funcionários para lidar com dados pessoais.
Assim, em caso
de vazamento de dados pessoais, a LGPD exige que as empresas e organizações
afetadas comuniquem imediatamente aos titulares dos dados e à Autoridade
Nacional de Proteção de Dados (ANPD) sobre a violação, e adotem as medidas
necessárias para minimizar os danos e prevenir novos vazamentos.
Note-se que a
LGPD tem como objetivo garantir a proteção dos dados pessoais dos cidadãos
brasileiros e incentivar a adoção de boas práticas de segurança da informação
por empresas e organizações, criando um ambiente mais seguro e confiável para a
coleta, armazenamento e compartilhamento de dados pessoais.
E o que a Justiça tem decidido sobre indenização por vazamento de dados?
Apesar de ser
uma falha indesejável no tratamento de informações pessoais conforme mencionado
anteriormente, o vazamento de dados não tem a capacidade, por si só, de gerar
dano moral indenizável, segundo entendimento recente do Superior Tribunal de
Justiça.
É neste ponto que podemos
destacar que o Tribunal decidiu, sobre eventual pedido de indenização será
necessário que o titular dos dados comprove o efetivo prejuízo gerado pela
exposição dessas informações.
Desta forma,
nas lições que jurisprudência exige até o momento, é a existência de um
prejuízo decorrente de vazamento de dados. Podemos citar, por exemplo, a
divulgação de informações pessoais e sensíveis de um indivíduo, como dados
bancários, informações de saúde ou dados de identificação, que podem ser usados
para fraudes, phishing ou roubo de identidade.
Entendemos
como prejuízos financeiros, como a abertura de contas fraudulentas, cobranças
indevidas ou compras não autorizadas. Também pode levar a prejuízos
psicológicos, como a sensação de invasão de privacidade e a preocupação com
possíveis consequências futuras.
Ademais, o
efetivo prejuízo para fins de indenização se refere aos danos reais e
comprováveis sofridos pela vítima em decorrência de um evento ou situação que
deu origem a uma ação de indenização. Em outras palavras, é a demonstração de
que a vítima sofreu algum tipo de prejuízo em decorrência do fato ocorrido.
No caso de uma
ação de indenização por vazamento de dados, por exemplo, o efetivo prejuízo
pode incluir os danos materiais, como prejuízos financeiros decorrentes de
fraudes ou outras atividades ilícitas realizadas com os dados vazados, e os
danos morais, como o constrangimento, a angústia e a violação da privacidade.
Entretanto,
aos danos morais, o STJ reconheceu que o dano moral não é presumido, sendo
necessário que o titular dos dados demonstre ter havido efetivo dano com o
vazamento e o acesso de terceiros.
Vejamos o
breve argumento do Ministro Francisco Falcão (AREsp 2.130.619):
"Diferente seria se, de fato, estivéssemos
diante de vazamento de dados sensíveis, que dizem respeito à intimidade da
pessoa natural. No presente caso, trata-se de inconveniente exposição de dados
pessoais comuns, desacompanhados de comprovação do dano", concluiu o
ministro ao acolher o recurso da Eletropaulo e restabelecer a sentença.
Nesses casos,
é possível que o indivíduo prejudicado por vazamento de dados ainda possa
buscar indenização por danos morais e/ou materiais, porém, exige-se na prática
que a empresa responsável pelo vazamento de dados arque com as consequências
financeiras e emocionais decorrentes do incidente, cabendo ao lesado à
demonstração de dano.
Por fim, o
valor da indenização pode variar dependendo da gravidade do vazamento e do
impacto causado ao indivíduo afetado.
É possível que o STJ altere seu entendimento neste caso?
Regra geral, a
jurisprudência do Superior Tribunal de Justiça (STJ) é estabelecida através de
seus julgamentos, que interpretam e aplicam a legislação federal, bem como a
Constituição Federal. A alteração da jurisprudência do STJ só pode ocorrer
através de uma mudança de entendimento pelos ministros da Corte em julgamentos
futuros ou pela atuação do legislador.
Os julgamentos
do STJ são proferidos por uma composição colegiada de ministros, que se reúnem
para decidir os casos que lhes são apresentados. Cada julgamento é fundamentado
em argumentos jurídicos, doutrina e jurisprudência, além da interpretação da
legislação aplicável ao caso.
Se houver um
caso em que a jurisprudência do STJ esteja sendo questionada e os ministros
decidam mudar o entendimento, a jurisprudência será atualizada a partir da
publicação do acórdão do julgamento, que passará a ser considerada a nova
orientação da Corte.
No entanto,
vale lembrar que a jurisprudência não é algo imutável, mas sim uma construção
contínua que se adapta às mudanças sociais, políticas e econômicas do país.
Portanto, a jurisprudência do STJ pode ser alterada ao longo do tempo, desde
que haja uma nova interpretação do direito, inclusive, a negativa de dano moral
por vazamento de dados é consolidada no sentido de que nem todo vazamento de
dados gera automaticamente o dever de indenizar por danos morais.
Neste ponto, para
que se configure a indenização, é necessário que o vazamento seja capaz de
gerar efetivamente uma lesão aos direitos da personalidade do titular dos
dados, como a privacidade, a intimidade, a honra ou a imagem.
Observe-se
que, tecnicamente alterar essa jurisprudência, seria necessário que um novo
caso, com argumentos e fatos diferentes daqueles que já foram analisados pela
Corte, seja levado ao STJ e que os ministros decidam de forma diferente em
relação à indenização por danos morais. A partir desse julgamento, a jurisprudência
poderia ser alterada, nesse sentido.
Não podemos
deixar de frisar que, a jurisprudência
do nosso País é pautada num processo dinâmico, que pode ser alterado ao longo
do tempo em razão da evolução da sociedade e do próprio entendimento dos
tribunais.
Dessa forma, é
possível que a jurisprudência do STJ sobre a negativa de dano moral por vazamento
de dados seja modificada no futuro (ainda que próximo), mesmo sem um novo
julgamento específico sobre o assunto.