+
Braz Coelho Veras Lessa Bueno
Idiomas
Atuação do STJ para definição de parâmetros objetivos de indenização por vazamento de dados

Atuação do STJ para definição de parâmetros objetivos de indenização por vazamento de dados

Publicado em 25 . abril . 2023 . Insights
Autores . Elisa Fernandes
Áreas Relacionadas . Empresarial

A forma como as relações contratuais passaram a ser estabelecidas, a popularização da internet e do comércio digital, evidenciaram o anseio da população por ferramentas legais voltadas à proteção do direito fundamental de liberdade e privacidade, de modo a dar cumprimento efetivo ao comando da Constituição Federal. A partir dessas necessidades e premissas, foi sancionada a Lei Geral de Proteção de Dados (Lei nº 13.709/2018), também conhecida como LGPD.

A LGPD gerou inúmeras alterações no que tange às práticas até então adotadas por Órgãos Públicos e empresas privadas quanto ao sigilo dos dados das pessoas físicas, o que repercute diretamente nas relações estabelecidas entre pessoas físicas e pessoas jurídicas, principalmente no que diz respeito ao vazamento de dados de pessoas, em sua grande maioria, consumidores.

Nesse ensejo, no mês de março de 2023, a Segunda Turma do Superior Tribunal de Justiça (STJ), ao julgar o AREsp nº 2.130.619/SP, estabeleceu balizas para limitar a responsabilidade por vazamento de dados de natureza comum e dados de natureza sensíveis.

Na ocasião se discutia a possibilidade de indenização por danos morais em razão do vazamento e compartilhamento de dados de pessoa física por prestadora de serviço de distribuição de energia elétrica. Tal pedido teve por fundamento a premissa de que o vazamento e compartilhamento de dados pessoais a terceiros, mediante pagamento, representaria potencial perigo de fraude e importunações.

De acordo com a LGPD, os dados, isto é, as informações de cunho pessoal, são divididos em três categorias: a) dados pessoais, relacionados à identificação da pessoa, ou seja, necessários à realização de situações comuns do dia a dia que não são de índole íntima, mas que servem para identificar a pessoa natural (nome, data de nascimento, endereço); b) dados pessoais sensíveis, que dizem respeito a informações de cunho subjetivo (racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político) ou médicas (saúde ou à vida sexual, dado genético) ou biométrico; e, por fim, c) dado anonimizado, disponibilizados por titular não identificado.

De acordo com o entendimento da Segunda Turma do STJ, aquele que tem seus dados pessoais sensíveis vazados, possui direito à indenização, sem a necessidade de comprovar a ocorrência de dano em razão do fato.

Da mesma forma, foi assentado no acórdão que, na hipótese de vazamento de dados pessoais, a obrigação do controlador ou operador (pessoa natural ou jurídica que decide acerca do tratamento de dados pessoais e pessoa natural ou jurídica que realiza o tratamento dos dados pessoais, respectivamente) de indenizar a pessoa que teve seus dados pessoais vazados, ocorrerá apenas quando comprovada a ocorrência de dano em razão do vazamento.

No caso comentado, o recurso interposto pela fornecedora de energia elétrica foi provido, tendo em vista o reconhecimento, pelo STJ, de que o vazamento de dados analisado, continha tão somente dados pessoais, sem que a pessoa natural tivesse comprovado a ocorrência de dano, em decorrência do vazamento.

Dessa maneira, o STJ fixou parâmetros objetivos no que tange à responsabilidade do controlador ou operador nas hipóteses em que há vazamento de dados, devendo ser, portanto, considerada a natureza do dado vazado, se pessoal ou pessoal sensível e a eventual necessidade de comprovação de dano a depender do tipo de dado vazado.

 

Elisa Fernandes
Associada do departamento de Societário, M&A e Empresarial da BCVL – Braz, Coelho, Véras, Lessa e Bueno Advogados.
Pós-Graduanda em Direito Processual Civil pelo Centro de Estudos e Pesquisas no Direito da UERJ – CEPED/UERJ.