No recente acórdão proferido no Processo C-590/221, o TJUE - Tribunal de Justiça da União Europeia abordou importantes questões relacionadas à interpretação do art. 82.°, 1, do regulamento (UE) 2016/679, conhecido como Regulamento Geral sobre a Proteção de Dados (RGPD)2, ou GDPR - General Data Protection Regulation, em inglês. Esta decisão tem implicações significativas para a proteção dos dados pessoais e o direito à indenização decorrente de violações de dados pessoais a partir das definições do regulamento.
Antes de comentar o precedente, convém lembrar que, no RGPD, a expressão "violação de dados pessoais" é definida no art. 4.º, 123, como qualquer incidente de segurança que resulte, acidentalmente ou de maneira ilícita, na destruição, perda, alteração, divulgação ou acesso não autorizados a dados pessoais que estão sendo transmitidos, armazenados ou sujeitos a qualquer outra forma de processamento. Esta definição abrange uma ampla gama de possíveis incidentes, desde falhas técnicas que levam à perda de informações até ataques cibernéticos que expõem dados pessoais. A amplitude da definição assegura que todas as formas de comprometimento da segurança dos dados pessoais sejam consideradas, independentemente de terem ocorrido por acidente ou por ação deliberada.
A importância de uma definição tão abrangente reside na necessidade de garantir a integridade e a confidencialidade dos dados pessoais em todas as etapas do seu ciclo de vida. Uma violação de dados pode ter consequências significativas para os indivíduos afetados, incluindo riscos à sua privacidade e à sua segurança. Portanto, o RGPD impõe obrigações rigorosas aos responsáveis pelo tratamento de dados para prevenir tais violações e, em caso de ocorrência, exige a adoção de medidas imediatas para mitigar os danos, notificar as autoridades competentes e, se necessário, informar os titulares dos dados.
Em publicação da coluna Migalhas de Proteção de Dados de setembro de 20214, tive a oportunidade de comparar o conceito europeu de violação de dados pessoais, conforme definido no art. 4.º, inciso 12, do RGPD, com a figura do incidente de segurança, prevista de forma tímida no art. 48 da LGPD brasileira, que define o dever de comunicação de tais incidentes, embora não o conceitue.5
Comparações à parte, entender claramente o conceito europeu de violação de dados pessoais é fundamental em matéria de responsabilidade civil, pois é preciso estabelecer os parâmetros pelos quais os danos sofridos pelos titulares dos dados pessoais são reconhecidos e compensados, especialmente para suplantar dúvidas interpretativas em relação ao tormentoso debate da natureza presumida ou “in re ipsa” do dano extrapatrimonial decorrente desses eventos.
O entendimento firmado na União Europeia é crucial para determinar quando e como os responsáveis pelo tratamento de dados devem responder por falhas na segurança que causem prejuízos, sejam esses danos materiais ou imateriais. O precedente do TJUE no Processo C-590/22 é especialmente relevante, pois clarifica que a mera violação do RGPD não é suficiente para garantir uma indenização, exigindo-se a demonstração do dano e seu nexo causal com a violação. Esta decisão orienta tanto os titulares dos dados quanto os responsáveis pelo tratamento na correta aplicação do RGPD, promovendo maior segurança jurídica e assegurando que os direitos individuais sejam efetivamente protegidos, enquanto se evitam pretensões infundadas.
Como dito, o TJUE firmou o entendimento de que a mera violação do RGPD não é suficiente, por si só, para fundamentar um direito de indenização. Para que tal direito seja reconhecido, o titular dos dados deve demonstrar a existência de um dano causado pela violação. Essa interpretação reforça a necessidade de que haja nexo de causalidade entre a violação de preceitos do regulamento ou da legislação doméstica que o internalizou em cada país-membro da União Europeia e o dano sofrido, embora não seja necessário que o dano atinja um grau de reprovabilidade específico.
Adicionalmente, o TJUE esclareceu que o receio de que dados pessoais tenham sido divulgados a terceiros, devido a uma violação do RGPD, pode ser suficiente para fundamentar um direito de indenização. No entanto, é imprescindível que esse receio, juntamente com suas consequências negativas, seja devidamente comprovado. Esse aspecto da decisão destaca a importância de considerar os efeitos psicológicos das violações de dados, que são de difícil mensuração.
No que diz respeito à determinação do montante da indenização, o TJUE decidiu que não se deve aplicar, “mutatis mutandis”, os critérios de fixação do montante das multas previstos no art. 83.° do RGPD. Isso significa que os critérios utilizados para calcular sanções administrativas de natureza pecuniária, por violações do regulamento, não devem ser automaticamente aplicados para determinar o valor das indenizações por danos, sendo mister do juiz a adequada fixação do valor da indenização.
Além disso, o TJUE rejeitou a ideia de que o direito à indenização deva ter uma função dissuasora. Segundo a Corte, o foco principal da indenização é a reparação dos danos sofridos pelo titular dos dados, e não a punição ou a dissuasão de futuras violações por parte dos responsáveis pelo tratamento dos dados.
Outro ponto relevante é que, para determinar o montante da indenização, não se deve levar em consideração violações concomitantes de disposições nacionais que não especificam regras do RGPD. Esta interpretação evita a complexidade adicional que poderia surgir da aplicação de múltiplas normativas nacionais ao mesmo caso de violação de dados.
A decisão do TJUE também sublinha a importância da prova adequada do dano e das consequências negativas alegadas pelo titular dos dados. Sem essa prova, o direito à indenização pode não ser reconhecido, mesmo que haja uma violação clara do RGPD. Isso enfatiza a necessidade de uma abordagem rigorosa na avaliação dos pedidos de natureza indenizatória.
A meu sentir, o entendimento do TJUE reflete uma abordagem equilibrada, que protege os direitos dos titulares de dados sem impor uma carga excessiva sobre os responsáveis pelo tratamento de dados. A exigência de prova do dano garante que apenas os casos nos quais haja impacto real sobre os titulares de dados resultem em indenizações, evitando, assim, abusos do sistema de proteção de dados.
Esta decisão também pode influenciar futuras interpretações do RGPD por parte dos tribunais nacionais dos países-membros da União Europeia, que deverão alinhar suas decisões com os princípios estabelecidos pelo TJUE. Isso contribuirá para uma aplicação mais uniforme do regulamento em toda a União Europeia, promovendo maior segurança jurídica. Em resumo, o acórdão do TJUE no Processo C-590/22 clarifica vários aspectos críticos do direito à indenização sob o RGPD, reforçando a necessidade de prova do dano e estabelecendo critérios claros para a determinação do montante das indenizações.
Além disso, não se pode negar que tal decisão norteará novas e profícuas reflexões para a aplicação das regras de responsabilização civil a partir da LGPD brasileira.
Apenas para fins de elucidação dos problemas interpretativos que ainda pairam no Brasil, em março de 2023, a Terceira Turma do STJ, no julgamento do AREsp 2.130.6196, de relatoria do Excelentíssimo ministro Francisco Falcão, adotou um posicionamento peculiar ao negar indenização por danos extrapatrimoniais pelo vazamento de dados comuns (não sensíveis) de uma cliente idosa, argumentando que o simples fato de vazamento desses dados não gera, por si só, um dano moral indenizável. O Tribunal enfatizou a necessidade de prova concreta do dano decorrente da exposição das informações, destacando que o risco de potencial fraude ou importunações não é suficiente para configurar dano moral “in re ipsa”. A decisão envolveu uma concessionária de serviço público (e, por isso, o precedente adveio da Terceira Turma), o que ensejou a aplicação da regra de responsabilização civil do Estado prevista no art. 37, § 6°, da Constituição da República. De todo modo, é importante frisar que não há, na LGPD, qualquer previsão que indique que, se dados pessoais sensíveis forem objeto de um “vazamento” se abrirá margem à admissão de dano moral “in re ipsa”. 7
A exigência de prova de dano como requisito para indenização contribui para evitar abusos e garante que apenas casos com reflexos realmente danosos resultem em condenações. A decisão do TJUE no Processo C-590/22 não apenas harmoniza a aplicação do RGPD entre os Estados-membros da União Europeia, promovendo segurança jurídica, mas também serve de referência para futuras interpretações e aplicações da LGPD no Brasil. Inegavelmente, a convergência entre essas legislações poderá fortalecer a proteção de dados pessoais, oferecendo um caminho claro para a responsabilidade civil e estimulando novas reflexões sobre a aplicação das regras de responsabilização em contextos diversos.
1 UNIÃO EUROPEIA. Tribunal de Justiça da União Europeia. Processo C-590/22. Disponível aqui. Acesso em: 24 jun. 2024.
2 UNIÃO EUROPEIA. Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados - RGPD). Disponível aqui. Acesso em: 24 jun. 2024.
3 Eis o conceito: “Artigo 4.° (...) 12) «Violação de dados pessoais», uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento”.
4 FALEIROS JÚNIOR, José Luiz de Moura. O que é, afinal, um vazamento de dados? Migalhas de Proteção de Dados, 17 set. 2021. Disponível aqui. Acesso em: 24 jun. 2024.
5 Aliás, a Autoridade Nacional de Proteção de Dados (ANPD) brasileira publicou, em abril de 2024, ato normativo que descreve os procedimentos a serem observados na comunicação de incidentes de segurança, cf. BRASIL. Agência Nacional de Proteção de Dados. Resolução CD/ANPD nº 15, de 24 de abril de 2024. Diário Oficial da União, Brasília, DF, 24 abr. 2024. Disponível aqui. Acesso em: 24 jun. 2024.
6 BRASIL. Superior Tribunal de Justiça. Agravo em Recurso Especial nº 2.130.619 - SP (2022/0152262-2). Relator: Ministro Francisco Falcão. Brasília, DF, 07 mar. 2023. Disponível aqui. Acesso em: 24 jun. 2024.
7 Sobre o caso, valiosa a reflexão de Flaviana Rampazzo Soares: “No julgamento do AREsp n. 2.130.6195, referiu que uma concessionária de energia elétrica que vazou dados de uma cliente idosa (nome completo, RG, gênero, data de nascimento, idade, números de telefone fixo e de celular, endereço e dados do contrato de fornecimento firmado) não deveria indenizá-la, sob o argumento de que o vazamento dedados de natureza comum (aqueles pessoais mas não íntimos, passíveis apenas de identificação da pessoa natural não classificados como sensíveis), “a despeito de se tratar de falha indesejável no tratamento de dados de pessoa natural por pessoa jurídica, não tem o condão, por si só, de gerar dano moral indenizável” e, nesse sentido, “o dano moral não é presumido, sendo necessário que o titular dos dados comprove eventual dano decorrente da exposição dessas informações”. SOARES, Flaviana Rampazzo. Dano presumido e dano ‘in re ipsa’ – distinções necessárias. Revista IBERC, Belo Horizonte, v. 6, n. 1, p. IV-X, 2023, p. V.