O STJ definiu limites acerca da responsabilidade civil para casos em que dados pessoais sejam divulgados sem o consentimento pessoal da vítima. Agora, para que seja possível buscar indenização por danos morais no judiciário, o indivíduo deve comprovar os efetivos prejuízos aos seus direitos de personalidade. O mesmo não se aplica quando falamos de dados pessoais sensíveis, sendo certo que este tipo de vazamento implica em indenização por danos morais "in re ipsa".
Entretanto, como fica a questão se o a difusão indevida de dados pessoais se der em uma escala maior, atingindo várias vítimas em um vazamento de informações coletivo?
Pensemos no seguinte caso hipotético: Uma empresa controladora contrata outra para tratar as informações de seus clientes (esta, denominada operadora). Por alguma falha de sistema de segurança, há exposição injustificada dos dados pessoais dos consumidores.
Neste caso, teriam as vítimas que comprovar os danos íntimos, capazes de ensejar indenização por danos morais (tal qual nos casos de vazamento de dados individualizado)?
No nosso entender, a resposta é negativa, pois não se trata de um problema isolado, mas sim de um infortúnio decorrente da má gestão do sistema de segurança da operadora dos dados pessoais. Além disso, a controladora também deve ser responsabilizada pelos prejuízos morais das vítimas, pela má escolha da empresa contratada para guardar sob sigilo as informações de seus clientes (culpa in eligendo), além da clara ausência de fiscalização dos trabalhos da operadora (culpa in vigilando).
Neste sentido, foi julgada a ação civil pública (autos 0418456-71.2013.8.19.0001), movida pelo ministério Público do Rio de Janeiro em face das empresas Smarty Solutions, BV Financeira, Bracom e Grupo Líder.
De acordo com informações constantes na ação, "a Bracom, integrante do Grupo Líder, possuía os dados dos clientes da BV Financeira em função de seu papel mercadológico, já que a prestadora utiliza os serviços da financeira. Por outro lado, delegou a manutenção do banco de dados para a empresa Smarty Solutions". Ocorre que os dados pessoais dos clientes da instituição financeira ficaram expostos por meses na rede mundial de computadores.
Diante de tamanho prejuízo a muitos clientes, todas as empresas envolvidas (controladora e operadoras) foram condenadas a pagar R$ 500 mil por dano moral coletivo e R$ 1 mil por danos materiais e morais aos consumidores, individualmente considerados.
Nos casos de danos morais coletivos, em que não se consideram os vazamentos como "caso isolado", é dever das empresas adotar as melhores práticas de segurança da informação, tendo em vista que, ao julgar casos como estes, o judiciário leva em conta a forma com que as empresas tomam medidas necessárias à preservação da integridade dos dados pessoais de seus clientes.
Incidentes sempre ocorrerão, mas a forma com que as empresas se empenham na preservação de informações de seus clientes será um diferencial, capaz de salvaguardá-las da reparação dos danos morais.
A orientação baseada na responsabilização de empresas controladoras através das culpas in eligendo e in vigilando, nos casos de disseminação de informações pessoais em massa, reafirma o compromisso do direito com a justiça, a fim de que ilícitos sejam compensados por falha de gestão de sistemas de segurança, assegurando aos indivíduos um futuro melhor, sem vazamentos de dados capazes de lhes tolher o poder de escolha e decisão.