No último dia 7 de março, a Segunda Turma do Superior Tribunal de Justiça (STJ) estabeleceu importantes precedentes para a discussão sobre a caracterização ou não de dano moral em decorrência de incidentes de privacidade e do previsto na lei Geral de Proteção de Dados Pessoais (LGPD). A decisão traz três precedentes importantes e gostaria de dividir alguns comentários com vocês.
O caso e a decisão. No Agravo em Recurso Especial 2.130.619/SP, a Segunda Turma entendeu, se pudermos extrair um único enunciado, que “incidentes de privacidade envolvendo dados pessoais não sensíveis não geram danos morais presumidos de forma automática”.
O caso teve origem no evento de exposição indevida de dados (vazamento) relacionada à prestação dos serviços de energia elétrica da empresa Eletropaulo Metropolitana Eletricidade de São Paulo S/A – ENEL. Os dados que teriam sido comprometidos e que são mencionados na decisão são: nome completo; RG; ge^nero; data de nascimento; idade; telefone fixo; telefone celular e enderec¸o, ale'm de dados relativos ao contrato de fornecimento de energia ele'trica celebrado, como: carga instalada; consumo estimado; tipo de instalação e leitura de consumo.
Aqui, um primeiro ponto elogiável da decisão: a descrição dos dados pessoais envolvidos no episódio. Trabalhando com o tema diariamente ou mesmo em discussões acadêmicas, é possível dizer que toda avaliação de gravidade de um incidente (inclusive para fins de definição se é o caso ou não de comunicar autoridades e titulares, nos termos do art. 48 da LGPD) passa, entre outros fatores, pela análise precisa (i) dos dados envolvidos; (ii) das informações deles extraídas; e (iii) do contexto de tratamento destas informações. São premissas inafastáveis de qualquer Data Breach Impact Assessment assertivo e seguro para definição dos próximos passos e extração das lições aprendidas.
Em decorrência do evento, pretendeu o autor da ação (titular de dados afetados) a condenação daquela empresa à reparação por danos morais. Pretensão esta que foi julgada improcedente em primeira instância e revertida em sede de apelação pelo Tribunal de Justiça de São Paulo (TJSP), o qual condenou a empresa ao pagamento de danos morais no valor de R$ 5.000,00. Fundamentos? Considerou a existência de falha na prestação de serviço, a necessária preservação da privacidade dos dados, a aplicabilidade do Código de Defesa do Consumidor e a inversão da regra estática do ônus da prova.
Foi, então, interposto Recurso Especial e, na sequência, o Agravo que veio a ser apreciado pela Segunda Turma do STJ (Agravo no Recurso Especial 2.130.619/SP). Na decisão, entendeu a Corte, com acerto diga-se, que o incidente de privacidade não tem o condão de gerar dano moral indenizável de forma automática. O trecho pertinente da ementa – a qual também trabalha questões procedimentais, como prequestionamento – é o seguinte: “V - O vazamento de dados pessoais, a despeito de se tratar de falha indeseja'vel no tratamento de dados de pessoa natural por pessoa jurídica, não tem o condão, por si só, de gerar dano moral indenizável. Ou seja, o dano moral não é presumido, sendo necessário. que o titular dos dados comprove eventual dano decorrente da exposição dessas informações.”.
Os fundamentos e precedentes. Como não é o propósito deste texto apenas reproduzir os termos da decisão, faço o convite de que todos a acessem diretamente, inclusive pelo destaque dado pela própria Corte em seu site1.
Dito isto, os dois principais fundamentos da decisão, a meu ver, são: (i) a ausência de presunção de dano moral pela simples ocorrência de incidente de privacidade, e (ii) a ausência de dados pessoais sensíveis, cuja presença poderia resultar na presunção do dano moral por conta do entendimento da Corte de que tais dados têm, em si mesmo, características de intimidade do titular dos dados.
Tais premissas de decisão podem ser extraídas do trecho seguinte: “Desse modo, conforme consignado na sentenc¸a reformada, revela-se que os dados objeto da lide sa~o aqueles que se fornece em qualquer cadastro, inclusive nos sites consultados no dia a dia, não sendo, portanto, acobertados por sigilo, e o conhecimento por terceiro em nada violaria o direito de personalidade da recorrida. (fl. 344). Na mesma esteira, merece êxito o apelo especial no ponto em que defende não ser possível indenizar por dano moral o vazamento de dados informados corriqueiramente em diversas situações do dia-a-dia. O vazamento de dados pessoais, a despeito de se tratar de falha indeseja'vel no tratamento de dados de pessoa natural por pessoa jurídica, não tem o condão, por si só, de gerar dano moral indenizável. Ou seja, o dano moral não é presumido, sendo necessa'rio que o titular dos dados comprove eventual dano decorrente da exposição dessas informações. Diferente seria se, de fato, estivéssemos diante de vazamento de dados sensi'veis, que dizem respeito à intimidade da pessoa natural. No presente caso, trata-se de inconveniente exposição de dados pessoais comuns desacompanhados de comprovação do dano.”.
São fundamentos que podem ser aplicados como precedentes em situações futuras e, por isto também, a grande relevância da decisão. Poderão ser precedentes se, em casos futuros, as mesmas circunstâncias do caso julgado pelo STJ estiverem presentes. São elas: (i) a ocorrência de um incidente de privacidade e, mais especificamente, na espécie de vazamento de dados2; (ii) o envolvimento apenas de dados pessoais não sensíveis (art. 5º, I, LGPD); e (iii) pedido e discussão sobre a caracterização ou não de dados pessoais presumidos ou in re ipsa.
Análise. A decisão é extremamente relevante em relação às discussões de reparação em decorrência do descumprimento da legislação de proteção de dados pessoais, em especial a LGPD. A um, porque é uma das primeiras decisões no STJ, na sua função de Corte de Uniformização, em que o tema é debatido e firmado. A dois, porque trata especificamente do dano moral in re ipsa no âmbito de proteção de dados pessoais. A três, porque, de forma mais sútil, estabelece uma relação em dados sensíveis e a presunção do dano in re ipsa.
Inicialmente, vale dizer que a decisão tem acerto em afastar a presunção automática de dano de moral em caso de incidente de privacidade (espécie vazamento no caso) sem a demonstração adicional do abalo moral pelo titular do dado.
O descumprimento da LGPD pode resultar em danos patrimoniais e morais aos titulares de dados pessoais. Enquanto os danos patrimoniais são caracterizados a partir do prejuízo ou redução do patrimônio da pessoa (seja por danos emergentes, seja por lucros cessantes – art. 402, Código Civil), os danos morais se caracterizam pelo abalo moral, ou seja, na evolução pessoal de cada um. A pessoa é uma antes do evento e outra após ele. Qualquer prejuízo, danificação ou abalo consistente que alguém sofre fora de sua esfera material ou patrimonial. Quer dizer, qualquer prejuízo que não tenha valor econômico para o indivíduo e que, conforme jurisprudência brasileira, não caracterize o mero aborrecimento da vida cotidiana. Além disto, como qualquer situação jurídica, a regra é a necessidade de demonstração e comprovação do dano pelo prejudicado (regra esta excepcionada conforme abaixo).
Assim, no contexto da LGPD, a regra é que o demandante comprove: (i) o tratamento dos seus dados pessoais por parte do demandado (sob pena de aplicação da excludente do art. 43, I); (ii) a violação à legislação de proteção de dados pessoais (sob pena de aplicação da excludente do art. 43, II); (iii) os elementos fáticos que sustentam os porquês associados ao abalo que alega; (iv) que a situação não se caracteriza como mero aborrecimento ou incômodo, mas sim atinge a sua personalidade; e (iv) as balizas possíveis de calibragem à definição do quantum indenizatório.
Questão sensível neste cenário foi a enfrentada pela Segunda Turma do STJ na decisão comentada: o incidente de privacidade caracteriza ou não o dano moral in re ipsa? Para responder a esta pergunta e concordar ou discordar com o decidido, é importante entender o que se trata o dano in re ipsa primeiro.
O dano moral in re ipsa afasta, especificamente, a necessidade de provar a ocorrência do abalo e, por isto, também é entendido como dano moral presumido. Se dá em situações nas quais a presunção do abalo é certa, afastando a necessidade de que este seja provado.
Em outras palavras, é o dano moral aceito como ocorrido em razão da situação e suas circunstâncias. São situações que, por si só e com base na experiência humana e social média, demonstram a existência do abalo na esfera do indivíduo e que ultrapassam situações de mero incômodo ou aborrecimento. Assim, seria afastada a necessidade de prova do abalo, de modo que a prova das demais circunstâncias seguiriam necessárias: realização do tratamento de dados, violação à LGPD etc.
Os exemplos de presunção são extraídos da casuística e a própria jurisprudência do STJ é coerente e profícua neste sentido. A Corte tem entendido que há dano moral in re ipsa se há a inscrição indevida em cadastro negativo de crédito, negativa indevida de cobertura pelo plano de saúde e o uso indevido da marca. Em contrapartida, tem afastado o dano presumido nas seguintes situações: mero inadimplemento ou descumprimento contratual, simples desconto indevido de valores em conta corrente bancária, a simples omissão de socorro em acidente de trânsito, simples demora da baixa do gravame de alienação fiduciária, atraso de entrega de imóvel ao promitente-comprador.
Feitas estas considerações, entende-se que agiu com acerto a Corte ao reconhecer que o simples incidente de privacidade, na modalidade vazamento, não é capaz de presumir a caracterização do dano moral. Embora indesejável e passível de repressão se em violação à LGPD, a exposição dos dados pura e simplesmente não é capaz, a meu ver, de resultar na ocorrência de abalo moral, demandando que o incidente esteja acompanhado de outras circunstâncias além da exposição desautorizada dos dados, como o perfil dos dados comprometidos (na decisão fala-se de dados meramente cadastrais), perfil dos titulares de dados, e o que foi e poderia ser feito efetivamente com os dados. A decisão da Corte também traz coerência com sua jurisprudência, reconhecendo que o incidente, em si, não é algo que caracteriza um abalo presumido com base na experiência humana e social média.
No entanto, como dito, a decisão traz outro fundamento de menção sutil e que carece de igual atenção. Afirma a Segunda Turma que o dano moral poderia ser presumido se “de fato, estive'ssemos diante de vazamento de dados sensi'veis, que dizem respeito à intimidade da pessoa natural”.
A meu ver, assim como não existe correspondência imediata entre o incidente e o dano moral in re ipsa, não existe esta relação automática em caso de incidentes que envolvam dados pessoais sensíveis.
A condição de dado pessoal sensível, por si só, não pode resultar na caracterização da presunção de abalo moral, mesmo que a categoria de dados pessoais sensíveis (art. 5º, II, LGPD) seja assim separada em razão do caráter mais intimista das informações extraídas de tais dados e, por consequência, da necessidade de maior cuidado, diligência e proteção pelo agente de tratamento de dados. A Autoridade Nacional de Proteção de Dados, por exemplo, relaciona esta categoria a possibilidade de caracterização de infração grave em seu novo Regulamento de Dosimetria e Aplicação de Sanções Administrativas.
O rol taxativo do art. 5º, II, LGPD é amplo e a inferência das informações nele presente pode se dar nos mais diversos contextos, de modo que o estabelecimento da presunção de dano pode não refletir a realidade e revelar distorções. Situações mais simples de vazamento de dados sensíveis podem não induzir a ideia de que há um abalo na experiência social média, como por exemplo, na exposição (i) de cópias de CTPS com dados de filiação sindical, (ii) de documentos bancários de empréstimos consignados relacionados à aposentadoria por invalidez, (iii) de textos com determinadas convicções filosóficas, (iv) de registros de biometrias de digitais armazenadas em sistema de catracas do condomínio, (v) planilhas com a identificação de gestantes de uma empresa etc. São todas situações indesejáveis? Sim. O risco de dano moral é maior se comparado aos dados não sensíveis? Certamente. É possível dizer, com segurança a ponto de se estabelecer uma tese inafastável, de que em todas elas haverá o abalo moral? Parece que não.
--------------------
1 Disponível em: https://www.stj.jus.br/sites/portalp/Paginas/Comunicacao/Noticias/2023/17032023-Titular-de-dados-vazados-deve-comprovar-dano-efetivo-ao-buscar-indenizacao--decide-Segunda-Turma.aspx Acesso em: 19.03.2023
2 Como já tive oportunidade de comentar, é relevante entender que os conceitos de incidentes de privacidade e vazamento de dados não se confundem. Incidente de privacidade é qualquer situação decorrente do art. 46 da LGPD, já o “popular vazamento de dados pessoais [...] caracteriza-se nas situações em que passa a ser permitido o acesso externo aos dados pessoais e extração ou a exposição pública de tais ativos, independentemente da projeção, quer dizer para um grupo menor de pessoas não autorizadas ou publicizadas de forma indiscriminada.” (TAMER, Maurício. LGPD Comentada: artigo por artigo, 2. Ed., São Paulo : Rideel, 2022, p. 280).