Embora seja uma falha indesejável, o vazamento de dados pessoais por uma empresa não tem força, por si só, para gerar dano moral indenizável ao consumidor. Assim, em casos do tipo, o dano moral não será presumido, cabendo ao titular dos dados comprovar o suposto dano causado pela exposição de informações.

Com esse entendimento, a 2ª Turma do Superior Tribunal de Justiça acolheu agravo em recurso especial e reformou decisão do Tribunal de Justiça de São Paulo que havia condenado a concessionária Eletropaulo a indenizar em R$ 5 mil, por dano moral, uma consumidora que teve seus dados pessoais vazados.

Ao pedir a reparação, a consumidora alegou ter sofrido danos morais devido ao "vazamento" e compartilhamento de dados pessoais como nome completo, RG, idade, telefones fixo e celular e endereço. Segundo ela, os dados foram acessados no sistema da concessionária e, depois, vendidos a um grande número de pessoas sem relação comercial entre as partes, o que a expôs a perigo de fraude.

A ação foi julgada improcedente em primeira instância. Em recurso, porém, o TJ-SP considerou que houve falha na prestação de serviços em razão do vazamento de dados reservados, que deveriam ter a privacidade garantida. Assim, invocou a "plena aplicação do CDC" e reconheceu os danos morais, condenando a empresa de energia elétrica ao pagamento de R$ 5 mil.

A Eletropaulo recorreu, alegando que a condenação não poderia ter se fundamentado exclusivamente na legislação consumerista. Para a defesa, o tribunal deveria ter considerado também a Lei Geral de Proteção de Dados Pessoais (LGPD), "lei de regência da matéria enfrentada na lide".

A concessionária também sustentou que o vazamento resultou da ação de terceiro, estranho à relação firmada com a consumidora, o que justificaria a excludente de responsabilidade. Além disso, alegou que a corte se equivocou ao enquadrar os dados como sensíveis, nos termos do artigo 5º, II, da LGPD, já que as informações vazadas seriam básicas, muitas das quais fornecidas corriqueiramente. "Tanto assim que podem ser encontrados nos próprios autos, os quais, por opção da recorrida, não foram acobertados pelo segredo de justiça, já que não houve pedido nesse sentido", afirmou.

Assim, de acordo com a empresa, o vazamento de dados não sensíveis não poderia, por si só, causar lesão à esfera íntima da autora. A Justiça estadual negou o recurso, porém, e a Eletropaulo acionou o STJ.

Relator do caso, o ministro Francisco Falcão concordou com o argumento da concessionária em relação ao artigo da LGPD. Ele lembrou que o dispositivo traz um rol taxativo daquilo que seriam dados pessoais sensíveis que, por essa condição, exigem tratamento diferenciado.

Conforme a norma, dado sensível é aquele que contém informações "sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico".

Diante disso, o relator entendeu que os dados vazados foram aqueles que se fornece em qualquer cadastro, "não sendo, portanto, acobertados por sigilo, e o conhecimento por terceiro em nada violaria o direito de personalidade da recorrida". Assim, concluiu que não cabe indenizar por dano moral o vazamento que expõe dados fornecidos de forma corriqueira.

"Ou seja, o dano moral não é presumido, sendo necessário que o titular dos dados comprove eventual dano decorrente da exposição dessas informações. Diferente seria se, de fato, estivéssemos diante de vazamento de dados sensíveis, que dizem respeito à intimidade da pessoa natural. No presente caso, trata-se de inconveniente exposição de dados pessoais comuns desacompanhados de comprovação do dano", anotou o relator. A decisão foi unânime.

Especialista em proteção de dados pessoais e tecnologia, o advogado Leonardo Melo, do escritório Cascione Advogados, avalia que a decisão do STJ enfraquece a corrente que defende a tese de dano moral presumido em caso de vazamento envolvendo dados pessoais.

"O STJ repisou o que fora decidido inicialmente em primeiro grau: trata-se de inconveniente exposição de dados pessoais comuns desacompanhados de comprovação do dano que não enseja indenização por dano moral."

Clique aqui para ler o voto do relator
AREsp 2.130.619

Fonte: Conjur - Consultor Jurídico - 16/03/2023