O direito a proteção aos dados pessoais é um direito que abrange e dialoga com a privacidade1, mas, vai além2 e se relaciona com as próprias instituições democráticas3, por isso, tem proteção jurídica específica, inclusive constitucionalmente garantida como direito fundamental4.
Na seara do direito privado, a sua proteção traz em si a necessária preocupação para com a prevenção dentro da responsabilidade por danos. É que em um caso de incidente de segurança ou vazamento de dados pessoais não há a possibilidade de retornar ao status quo5, ou seja, de recolher os dados que foram acessados por terceiros, sem a devida autorização.
Equipara-se ao conto da fofoca. Neste conto, para punir um cidadão que gostava de espalhar fofocas da vida dos demais, o sacerdote da aldeia determinou que o cidadão subisse na torre da igreja, que era o ponto mais alto da cidade e levasse consigo um travesseiro de penas de ganso. Deste local, ele deveria abrir a fronha e deixar que as penas se espalhassem pela cidade. Feito isso, o cidadão retornou e o sacerdote solicitou então que ele recolhesse todas as penas que foram espalhadas e as colocasse de volta ao travesseiro. Ao tentar executar a tarefa, o indivíduo reclamou e afirmou que era impossível recolher todas as penas de ganso que foram espalhadas, pois o vento as levou para lugares distantes e que não saberia onde procurá-las. Portanto, seria impossível recuperá-las6.
E da mesma forma são os dados. Após um vazamento, não há como saber quem ou quantas pessoas os acessaram. Também, não é possível ter o controle de que serão apagados ou não serão compartilhados para outras pessoas. Por isso, fala-se em prejuízos incomensuráveis7.
O vazamento de dados em si se tornou uma preocupação mais evidente para os estudiosos do tema com a publicação da Lei Geral de Proteção de Dados Pessoais (Lei n.º 13.709, de 14 de agosto de 2018). Imaginava-se e especulava-se que haveria um incentivo para que a sociedade se preocupasse mais com os dados pessoais, próprios e de terceiros, desde o seu manuseamento até a implementação de procedimentos de segurança para evitar ou rapidamente agir quando do vazamento destes dados8.
Neste período da vacatio legis, que durou efetivamente até 2020, foram adotadas medidas para responsabilizar, ao menos civilmente, as empresas que permitiam que os seus dados fossem acessados sem o consentimento do titular. Foi o que ocorreu na Ação Civil Pública proposta pelo Ministério Público do Distrito Federal e Territórios, por meio da Comissão de Proteção de Dados Pessoais, em face do Banco Inter. Neste caso, após a instauração de inquérito civil público, constatou-se que, em razão de um incidente de segurança, houve o vazamento dos dados de mais de cem mil correntistas deste banco digital, por meio de um arquivo de 40 GB (quarenta gigabytes) criptografado e por isso, foi requerido o valor de R$ 10.000.0000,00 (dez milhões de reais) a título de danos morais coletivos. Durante o trâmite do processo, o Banco realizou acordo no valor de R$ 1.500.000,00 (um milhão e quinhentos mil reais), por meio do qual R$ 1.000.000,00 (um milhão) foi destinado a políticas públicas de combates aos crimes cibernéticos e R$ 500.000,00 (quinhentos mil reais) para instituições de caridade9.
Outros casos de vazamentos foram investigados pela mesma comissão do Ministério Público do Distrito Federal e Territórios, com altos valores em danos morais10. Mas, nas cortes especiais, percebe-se um caminho inverso e uma interpretação menos rigorosa para defesa e efetiva proteção dos dados pessoais, o que pode ser verificado no que diz respeito aos valores das indenizações e, especialmente, nas ações individuais11. A preocupação para com os valores de reparação, especialmente diante do infundado receio de criação de uma suposta indústria de dano moral12, por muitas vezes fomenta a análise do custo-benefício pelo ofensor13.
Surge, então, a pergunta, o que fazer para uma reparação que realmente impeça, isto é, tenha o caráter punitivo e preventivo e não seja mero fomentador da lesão ao direito a proteção dos dados pessoais? Uma possível solução seria a reparação por danos transindividuais, pois para estes casos não se aplicaria a preocupação para com o enriquecimento indevido da vítima14.
Assim, há a necessidade em estudar a possível aplicação do dano moral transindividual15 para o caso de tratamento de dados, especificamente o seu vazamento.
No que diz respeito ao dano moral para este sujeito coletivo, uma das possíveis restrições era pensar este tipo de dano como reparação apenas da dor ou sofrimento de uma pessoa identificada16, contudo, esta não é a posição atual que cada mais está desvinculada deste conceito pessoal e subjetivo de mágoa17. A percepção de se tratar de um dano considerado imaterial, isto é, sem características patrimoniais que “pressupõe a frustração de uma utilidade extrapatrimonial tutelada pelo direito”18, permite uma indenização/reparação coletiva.
O dano moral transindividual está vinculado com a injustiça do dano, isto é, com a gravidade da ilicitude configurada que atinge bens de uma coletividade. Configura-se quando há lesão “a valores fundamentais da sociedade e se essa vulneração ocorrer de forma injusta e intolerável"19, assim como vinculado a uma ilicitude inescusável “de modo a não trivializar, banalizar a configuração do aludido dano moral coletivo”20.
Portanto, se não houver lesão a valores considerados como fundamentais da sociedade ou que tenham sido decorrentes de forma injusta e intolerável, afastado será o dano moral coletivo21. Com isso, volta-se ao questionamento, para o caso de proteção de dados pessoais, pode-se tratar deste tipo de dano?
Para isso, parte-se do pressuposto que a responsabilidade civil não pressupõe “a consumação de um suporte fático rigidamente previsto em um tipo legal”22 e a tutela de direitos " deixou uma órbita individual, a fim de alcançar um aspecto coletivo”23. Portanto, presume-se a possibilidade de tutela da lesão pelo viés da coletividade quando se está diante de um bem jurídico da coletividade.
Fato que ocorre no caso do direito em questão. Isto porque é direito fundamental, previsto constitucionalmente no art. 5º, LXXIX, da Constituição Federal24, o que significa que a sua lesão pode ser considerada como uma ofensa a valores fundamentais de uma sociedade como um todo. Ainda, para o caso dos dados pessoais, o artigo 42 da LGPD25 prevê que o tratamento de dados pessoais possa ocasionar dano coletivo. Por isso, entende-se que estariam superados eventuais óbices para a sua configuração como dano moral transindividual, a partir deste contexto da relevância para a coletividade.
Por outro lado, no que diz respeito a gravidade da ilicitude para sua configuração, apesar do Superior Tribunal de Justiça, ao apreciar caso sobre vazamento de dados, ter mencionado que se trata de “falha indesejável”26, é preciso que seja compreendida como conduta repudiada. A expressão utilizada não foi no sentido de analisar a ilicitude em si, mas sim a sua reprovabilidade e por isso, não contenha os melhores signos para a compreensão do significado desejado em caso de danos transindividuais. É que é imprescindível que se tenha um ambiente seguro e controlado27, para evitar incidentes de segurança28, assim como sejam adotadas medidas adequadas para quando da sua ocorrência com o intuito de minimizar os danos29, de acordo com a própria legislação e, portanto, qualquer conduta contrária significa ofensa literal a legislação, isto é, grave a ponto de ser considerada como ilicitude intolerável.
O último ponto a ser analisado é que o dano moral é in re ipsa e para o vazamento de dados, o mesmo julgado acima mencionado que poderia ter minimizado a ilicitude afastou o dano moral presumido30. Mas, no caso da presunção para o dano coletivo essa será diversa do dano individual. É que no coletivo, o dano decorre da violação do direito transindividual em discussão, “sendo o fato, por si mesmo, passível de avaliação objetiva quanto a ter ou não aptidão para caracterizar o prejuízo moral coletivo, este sim nitidamente subjetivo e insindicável.”31
Assim, entende-se que é possível falar em dano moral transindividual para os casos de vazamentos de dados e essa indenização teria a possibilidade de permitir a prevenção e punição necessária para evitar que novos casos ocorram, uma vez que não é possível simplesmente retornar ao status quo, quando se fala em dados pessoais. E a reparação desse dano para além da função sancionatória, contém em si “o fulcro preventivo que desestimula o ofensor a reiterar a prática de ilícitos metaindividuais, bem como o aspecto pedagógico, de alerta a potenciais lesantes que se proponham à prática do mesmo comportamento reprovável”32. Pontos essenciais para casos como o vazamento de dados pessoais.
__________
1 BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro: Forense, 2019, p. 98.
2 A proteção de dados pessoais tem um diálogo constante com a privacidade, “da qual é uma espécie de herdeira, atualizando-a e impondo características próprias. Mediante a proteção de dados pessoais, garantias a princípio relacionadas com a privacidade passam a ser vistas em uma ótica mais abrangente, pela qual outros interesses devem ser considerados, abrangendo as diversas formas de controle tornadas possíveis com o tratamento de dados pessoais.” (DONEDA, Danilo. Da privacidade à proteção de dados pessoais: elementos da formação da Lei geral de proteção de dados. 2ª ed. São Paulo: Thomson Reuters, 2019, p. 173).
3 FRAZÃO, Ana. Objetivos e alcance da Lei Geral de Proteção de Dados. In Lei Geral de Proteção de Dados Pessoais e suas repercussões no Direito brasileiro. Ana Frazão, Gustavo Tepedino, Milena Donato Oliva [coord.]. São Paulo: Thomson Reuters Brasil, 2019, p. 100.
4 “Art. 5º. (...) LXXIX - é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais.” (BRASIL. Constituição Federal. Disponível aqui. Acesso em 20 de jun. de 2023).
5 NORONHA, Fernando. Direito das obrigações: fundamentos do direito das obrigações: introdução à responsabilidade civil. 2.ed. rev. e atual. São Paulo: Saraiva, 2007. v.1. p.436.
6 GONDIM, Glenda Gonçalves. A responsabilidade sem dano: da lógica reparatório à lógica inibitória. Tese de doutorado apresentada no Programa de Pós-Graduação da Universidade Federal do Paraná. Disponível aqui. Acesso em 20 de jun. de 2023.
7 Pode-se tratar como “dano enorme”, ou seja, uma lesão excepcional que atinge uma coletividade. Para este tipo de dano, consideram-se como requisitos: “a) que se trate de danos de proporções catastróficas que causem considerável clamor social; b) que tenham causalidade múltipla, difusa ou indeterminada; c) que se relacionem ao modo de vida moderna” (SANTOS, Romualdo Baptista dos. Responsabilidade civil por dano enorme. Curitiba: Juruá, 2018, p. 204).
8 CARIOCA NETO, Miguel. FREITAS, Ana Carla Pinheiro. HOLANDA, Marcus Mauricius. Os impactos da Lei Geral de Proteção de Dados (LGPD) no caso do Banco Inter S/A. Scientia Iuris. Londrina, v. 26, n. 1, p. 43-55, mar. 2022, p. 48.
9 Banco Inter: acordo destinará R$ 1,5 milhão para caridade e combate a crimes cibernéticos. Disponível aqui. Acesso em 20 de jun. de 2023.
10 MPDFT e Netshoes firmam acordo para pagamento de danos morais após vazamento de dados. Disponível aqui. Acesso em 20 de jun. de 2023.
Vazamento de dados leva MPDFT a ajuizar ação contra grupo que explora criptomoedas. Disponível aqui. Acesso em 20 de jun. de 2023.
11 BRASIL. Superior Tribunal de Justiça. Recurso Especial n.º 1.758.799/MG (2017/0006521-9). Relatora Ministra Nancy Andrighi. Terceira Turma. Julgado em 12 de novembro de 2019, DJe 19 de novembro de 2019.
12 Sobre a indústria do dano moral, “(...) Embora a preocupação seja válida, sob o ponto de vista científico, o certo é que, no Brasil ao menos, sua importância não pode ser exacerbada, já que, na maior parte dos casos, o resultado das ações de danos morais é frustrante que efetivamente enriquecedor.” (SCHREIBER, Anderson. Novos paradigmas da responsabilidade civil: da erosão dos filtros da reparação à diluição dos danos. 4ª ed. São Paulo: Atlas, 2012, p. 192)
13 ROSENVALD, Nelson. As funções da responsabilidade civil: a reparação e a pena civil. São Paulo: Atlas, 2013. p.16-17.
14 VENTURI, Elton. VENTURI, Thaís G. Pascoaloto. O dano moral em suas dimensões coletiva e acidentalmente coletiva. In Dano moral coletivo. Nelson Rosenvald. Felipe Teixeira Neto. [Org.]. Indaiatuba, SP: Editora Foco, p. 397-421, 2018, p. 406-407.
15 Para este presente estudo utiliza-se a nomenclatura do dano moral transindividual como aquele que possa abranger todos os direitos coletivos, tanto difusos, quanto coletivos e individuais homogêneos.
16 Em acórdão proferido pelo Superior Tribunal de Justiça no Recurso Especial no 598.281, foi considerada a impossibilidade de aplicar dano moral coletivo para a ideia de transindividualidade, por entender que o dano moral seria um dano relacionado com a dor e o sofrimento. Este acórdão foi alvo de diversas críticas. Neste sentido: “A decisão é criticável em sua associação do dano moral com a dor e o sofrimento, mas o julgamento, longe de revelar oposição à tutela dos interesses supraindividuais, demonstra uma crescente sensibilidade do Poder Judiciário para a distinção entre os interesses puramente individuais e aqueles que transcendem o indivíduo" (SCHREIBER, Anderson. Novos paradigmas da responsabilidade civil: da erosão dos filtros da reparação à diluição dos danos. 4.ed. São Paulo: Atlas, 2012. p.88-89).
17 ROSENVALD, Nelson; FARIAS, Cristiano Chaves de; BRAGA NETTO, Felipe Peixoto. Responsabilidade Civil.4. ed. rev. atual. Salvador: Juspodivm, 2017, p. 297.
18 TEIXEIRA NETO, Felipe. Ainda sobre o conceito de dano moral coletivo. In Dano moral coletivo. Nelson Rosenvald. Felipe Teixeira Neto. [Org.]. Indaiatuba, SP: Editora Foco, p. 29-51, 2018, p. 44.
19 Superior Tribunal de Justiça. Recurso Especial n.º 1.643.365/RS. Terceira Turma. Relatora Ministra Nancy Andrighi. Julgamento em 05 de junho de 2018. Diário da Justiça eletrônico em 07 de junho de 2018.
20 Superior Tribunal de Justiça. Embargos em Recurso Especial n.º 1.342.846/RS. Corte Especial. Relator Ministro Raul Araújo. Julgamento em 16 de junho de 2021. Diário da Justiça eletrônico de 03 de agosto de 2021.
21 Superior Tribunal de Justiça. Agravo Interno no Recurso Especial n.º 1.962.771/SP. Primeira Turma. Relator Ministro Gurgel de Faria. Julgamento em 08 de maio de 2023. Diário da Justiça eletrônico de 19 de maio de 2023.
22 TEIXEIRA NETO, Felipe. Ainda sobre o conceito de dano moral coletivo. In Dano moral coletivo. Nelson Rosenvald. Felipe Teixeira Neto. [Org.]. Indaiatuba, SP: Editora Foco, p. 29-51, 2018, p. 37.
23 LEVY, Daniel de Andrade. Responsabilidade civil: de um direito de danos a um direito das condutas lesivas. Atlas: São Paulo, 2012. p.11.
24 BRASIL. Constituição Federal. Disponível aqui. Acesso em 20 de jun. de 2023.
25 “Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.” (BRASIL. Lei n.º 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais. Disponível aqui. Acesso em 22 de jun. de 2023).
26 Superior Tribunal de Justiça. Agravo em Recurso Especial n.º 2.130.619/SP. Segunda Turma. Relator Ministro Francisco Falcão. Julgamento em 07 de março de 2023. Diário da Justiça eletrônico de 10 de março de 2023.
27 Art. 52, § 1º, VIII, da LGPD. “Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: (...) § 1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios: (...) VIII - a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei;” (BRASIL. Lei n.º 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais. Disponível aqui. Acesso em 22 de jun. de 2023)
28 Art. 46, caput, da LGPD. “Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.”
29 Art. 48. § 1º, VI, da LGPD. “Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. § 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo: (...) VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
30 Apesar da terminologia utilizada no julgado proferido pelo Superior Tribunal de Justiça é preciso ressaltar que dano moral presumido e dano moral in re ipsa são diferentes. Sobre o tema ler: SOARES, Flaviana Rampazzo. Dano presumido e dano in re ipsa – distinções necessárias. Revista IBERC. v. 6, n. 1, p. IV-X, jan./abr.2023.
31 Superior Tribunal de Justiça. Agravo Interno no Agravo em Recurso Especial n.º 1.330.516/RN. Quarta Turma. Relator Ministro Raul Araújo. Julgamento em 17 de abril de 2023. Diário da Justiça eletrônico de 03 de maio de 2023.
32 ROSENVALD, Nelson. A responsabilidade civil pelo ilícito lucrativo. 2ª ed. rev., atual. e ampl. São Paulo: Editora JusPodivm, 2021, p. 520.