De acordo com uma recente decisão do Tribunal de Justiça de São Paulo (TJSP) o vazamento de dados, por si só, não gera automaticamente danos morais.

O caso decorria de uma cliente da empresa ELETROPAULO METROPOLITANA ELETRICIDADE DE SÃO PAULO S.A que foi informada, no dia 15/11/2020, que seus dados foram vazados pela empresa.

Para o magistrado, a ré tinha obrigação de proteger os dados pessoais de seus clientes. Apesar da falha na prestação dos serviços, ainda assim seria necessário aferir se o vazamento de dados causou efetivamente algum dano à autora.

Como não houve o vazamento de dados sensíveis, tendo sido vazados dados como CPF, telefone, e-mail, tal vazamento não justificaria os danos morais. Além disso, a empresa provou que tomou todas as providências necessárias para amenizar os possíveis danos causados pelo vazamento de dados, tendo entrado em contato com os clientes para avisar do ocorrido.

De acordo com a Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018) em seu art. 5º são considerados dados pessoais qualquer informação relacionada a pessoa natural identificada ou identificável.

Já os dados pessoais sensíveis são aqueles dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

No caso, o vazamento de dados pessoais sensíveis, como afetam a intimidade e privacidade da pessoa e podem ser usados para chantageá-la ou envergonhá-la, podem ser aptos a produzir a indenização por dano moral.

Por outro lado, dados de cadastro como nome, e-mail, CPF, de acordo com o magistrado do caso, são dados comuns a cadastros de consumidores e o vazamento deles, por si só, não seria apto a causar dano visto que são facilmente obtidos pelas empresas e não houve comprovação de que a autora sofreu algum dano efetivo.

O que podemos aprender com o caso?

Mesmo que as multas da ANPD não estejam sendo aplicadas, a LGPD já está em vigor e as empresas que não se adequaram à norma podem sofrer reprimendas.

Mostra-se claro que um dos fatores que impediu que empresa fosse condenada a indenizar a autora foi porque ela tinha, de fato, tomado todos os procedimentos necessários para garantir a segurança dos dados.

Ressalta-se que mesmo se tratando de uma relação de consumo, a responsabilidade no caso de vazamento de dados é, em regra, subjetiva. Ou seja, o dano não se presume, sendo assim, obrigatório provar que o agente de tratamento foi negligente ou violou a LGPD, conforme comprova o art. 43 da norma:

Art. 43. Os agentes de tratamento só não serão responsabilizados quando provarem:

I – que não realizaram o tratamento de dados pessoais que lhes é atribuído;

II – que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou

III – que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.

Outro fator é que o dano moral precisa de, cada vez mais, provas da sua ocorrência. Não é suficiente alegar que o autor se sentiu “estressado ou deprimido”. Nesse quesito, orientamos para que se busquem provas como laudo psicológico, como prints de cobranças e, por exemplo, alguma tentativa de fraude ou golpe online.

Para que o agente de tratamento de dados prove que os dados eram tratados de forma regular, é imprescindível que este demonstre qual era o modo de tratamento de dados, os resultados e riscos que se esperava do tratamento e as técnicas de tratamento de dados pessoais. Além disso, uma empresa com um bom programa de compliance e que atenda às boas práticas da LGPD terão um grande diferencial para a sua defesa nos casos contenciosos.

Detalhes do processo

Desde o dia do vazamento, a Autora foi perturbada com diversas mensagens indesejadas via celular e e-mail, além de ligações de telemarketing. Nos pedidos, a consumidora requer que:

a)      a ré fosse compelida a apresentar a informação das entidades públicas e privadas com as quais realizou uso compartilhado de dados, bem como fornecer declaração clara e completa que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento.

b)     A ré seja compelida a recolher os dados de todos os lugares que foram compartilhados sem autorização, sob pena de multa diária

c)     Que a Autoridade Nacional de Proteção de Dados Pessoais (ANPD), o Departamento de Proteção e Defesa do Consumidor (DPDC), a Fundação Procon-SP, a Secretaria Nacional do Consumidor (Senacon) e o Ministério da Justiça e Segurança Pública (MJSP) sejam notificados sobre a violação da Lei Geral de Proteção de Dados.

d)     Seja a ré condenada a fazer ampla divulgação da violação de dados em meios de comunicação.

e)     Seja a ré condenada ao pagamento de indenização por danos morais, no importe de R$ 10.000,00 (dez mil reais).

A ELETROPAULO contestou arguindo que: não houve violação à LGPD ou quaisquer normas técnicas visto que a empresa foi vítima de um incidente de segurança com dados pessoais de seus clientes; que a empresa estava com as investigações em curso, não sendo possível comprovar a forma exata em que o incidente se deu; que cumpriu todas as normas de segurança da informação para manter a integridade dos dados pessoais que lhe foram confiados para mitigar o risco de dano e que não houve a comprovação do dano moral por parte da autora.

O processo está em grau de recurso e ainda aguarda a decisão do tribunal em segundo grau. (Processo de nº1025226-41.2020.8.26.0405 – TJSP)