A forma como as relações contratuais passaram a ser estabelecidas, a popularização da internet e do comércio digital, evidenciaram o anseio da população por ferramentas legais voltadas à proteção do direito fundamental de liberdade e privacidade, de modo a dar cumprimento efetivo ao comando da Constituição Federal. A partir dessas necessidades e premissas, foi sancionada a Lei Geral de Proteção de Dados (Lei nº 13.709/2018), também conhecida como LGPD.
A LGPD gerou inúmeras alterações no que tange às práticas até então adotadas por Órgãos Públicos e empresas privadas quanto ao sigilo dos dados das pessoas físicas, o que repercute diretamente nas relações estabelecidas entre pessoas físicas e pessoas jurídicas, principalmente no que diz respeito ao vazamento de dados de pessoas, em sua grande maioria, consumidores.
Nesse ensejo, no mês de março de 2023, a Segunda Turma do Superior Tribunal de Justiça (STJ), ao julgar o AREsp nº 2.130.619/SP, estabeleceu balizas para limitar a responsabilidade por vazamento de dados de natureza comum e dados de natureza sensíveis.
Na ocasião se discutia a possibilidade de indenização por danos morais em razão do vazamento e compartilhamento de dados de pessoa física por prestadora de serviço de distribuição de energia elétrica. Tal pedido teve por fundamento a premissa de que o vazamento e compartilhamento de dados pessoais a terceiros, mediante pagamento, representaria potencial perigo de fraude e importunações.
De acordo com a LGPD, os dados, isto é, as informações de cunho pessoal, são divididos em três categorias: a) dados pessoais, relacionados à identificação da pessoa, ou seja, necessários à realização de situações comuns do dia a dia que não são de índole íntima, mas que servem para identificar a pessoa natural (nome, data de nascimento, endereço); b) dados pessoais sensíveis, que dizem respeito a informações de cunho subjetivo (racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político) ou médicas (saúde ou à vida sexual, dado genético) ou biométrico; e, por fim, c) dado anonimizado, disponibilizados por titular não identificado.
De acordo com o entendimento da Segunda Turma do STJ, aquele que tem seus dados pessoais sensíveis vazados, possui direito à indenização, sem a necessidade de comprovar a ocorrência de dano em razão do fato.
Da mesma forma, foi assentado no acórdão que, na hipótese de vazamento de dados pessoais, a obrigação do controlador ou operador (pessoa natural ou jurídica que decide acerca do tratamento de dados pessoais e pessoa natural ou jurídica que realiza o tratamento dos dados pessoais, respectivamente) de indenizar a pessoa que teve seus dados pessoais vazados, ocorrerá apenas quando comprovada a ocorrência de dano em razão do vazamento.
No caso comentado, o recurso interposto pela fornecedora de energia elétrica foi provido, tendo em vista o reconhecimento, pelo STJ, de que o vazamento de dados analisado, continha tão somente dados pessoais, sem que a pessoa natural tivesse comprovado a ocorrência de dano, em decorrência do vazamento.
Dessa maneira, o STJ fixou parâmetros objetivos no que tange à responsabilidade do controlador ou operador nas hipóteses em que há vazamento de dados, devendo ser, portanto, considerada a natureza do dado vazado, se pessoal ou pessoal sensível e a eventual necessidade de comprovação de dano a depender do tipo de dado vazado.
Elisa Fernandes
Associada do departamento de Societário, M&A e Empresarial da BCVL – Braz, Coelho, Véras, Lessa e Bueno Advogados.
Pós-Graduanda em Direito Processual Civil pelo Centro de Estudos e Pesquisas no Direito da UERJ – CEPED/UERJ.