A primeira decisão relevante sobre as indenizações devido a um evento de vazamento de dados à luz da LGPD - Lei Geral de Proteção de Dados Pessoais, em uma alta corte brasileira, ocorreu em 7/3/23, na 2° turma do STJ, que estabeleceu um precedente de que não incidiriam danos morais em incidentes de privacidade conforme a LGPD, caso não fosse evidenciado o dano.
Em relatoria do ministro Francisco Falcão, o agravo em REsp 2.130.619/SP, concluiu que "incidentes de privacidade envolvendo dados pessoais não sensíveis não geram danos morais presumidos de forma automática". O caso surgiu da exposição indevida de dados pela ENEL - Eletropaulo Metropolitana Eletricidade de São Paulo S/A, incluindo nome completo, RG, gênero, data de nascimento, idade, telefone, endereço e informações do contrato de energia elétrica.
A decisão se pautou na avaliação da gravidade de um incidente de privacidade considerando a análise de três elementos-chave: os dados comprometidos, as informações extraídas e o contexto do tratamento dessas informações. O autor da ação buscou indenização por danos morais, inicialmente negada em primeira instância, mas concedida pelo TJ/SP, com base na falha na prestação de serviço e na preservação da privacidade dos dados, resultando em uma indenização de R$ 5 mil.
No STJ decidiu-se que o incidente de privacidade, por si só, não geraria dano moral indenizável automaticamente, pois seria necessário que o titular dos dados comprovasse o dano resultante da exposição das informações.
A jurisprudência diferenciou ainda o impacto entre os dados pessoais comuns e dados pessoais sensíveis, afirmando que a presença destes últimos poderia resultar em presunção de dano moral devido à intimidade envolvida. A decisão serviu desde então como paradigma para situações semelhantes, especialmente quanto a ausência de presunção de dano moral apenas pela ocorrência de incidentes de privacidade e pela definição do tipo de dados envolvidos, tal decisão afastou o dano in re ipsa nesses casos.
Isso porque, a decisão afastou a presunção automática de dano moral em casos de incidentes de privacidade, exigindo prova adicional do abalo moral, embora a LGPD acolhesse tanto danos patrimoniais quanto morais, de acordo com o impacto emocional no indivíduo, afinal de contas a essência da LGPD é assegurar a autodeterminação informativa dos indivíduos. Contrariando essa ideia de que o individuo teria uma prerrogativa sobre seus dados independentementeda natureza destes, a decisão considerou que o “vazamento de dados pessoais, a despeito de se tratar de falha indesejável no tratamento de dados de pessoa natural por pessoa jurídica, não tem o condão, por si só, de gerar dano moral indenizável”.
Vale destacar, ainda, que tal decisão do STJ não enfrentou a discussão do excludente de responsabilidade trazido pela Enel, especialmente quanto ao art. 43, III da LGPD, sem avaliar a postura da empresa quanto à segurança reservada aos dados sob sua responsabilidade, em face da ação ou não de terceiro ocasionador do eventual dano, afastando o argumento pela falta de prequestionamento no TJ/SP, nos termos da súmula 211/STJ.
Além disso, apesar de não influenciar a decisão, o argumento utilizado pelo STJ sobre os dados não serem sensíveis nos termos do art. 5º, II da LGPD, já causava arrepios em grande parte da doutrina pátria. Isso porque, ao sacramentar que a lista prevista em tal artigo seria um rol taxativo de definição de dados pessoais sensíveis, contraria correntes robustas de doutrina nacional que repudiam a taxatividade deste rol e consideram que a principal questão por trás do conceito de dados pessoais sensíveis seria o seu elevado potencial discriminatório, independentemente de estarem previstos taxativamente ou não no artigo em questão.
Mas qual o efeito erga omnes desta decisão? Em que pese não ter um efeito de repercussão geral, esta decisão era a regra consagrada na jurisprudência mais elevada desde então, exigindo a necessidade de comprovação do dano pelo prejudicado, afirmando o STJ à época que meros incidentes de privacidade não bastariam para presumir danos morais, exceto se envolvessem dados pessoais sensíveis que pudessem afetar a intimidade do titular.
Entretanto, na primeira semana de dezembro de 2024, a 3° turma do STJ julgou o REsp 2.147.374, relatado pelo ministro Ricardo Villas Bôas Cueva, que tratava do vazamento de dados pessoais não sensíveis, trouxe uma nova perspectiva para a consolidação da LGPD nos tribunais.
Novamente, a empresa envolvida é a Enel, que sustentava no recurso que o objeto da discussão envolvia o vazamento de dados pessoais não sensíveis, decorrente de um ataque cibernético, o que configuraria uma excludente de responsabilidade, conforme o art. 43, III, da LGPD.
Nesse caso, a decisão do STJ foi bem mais técnica, resgatando de plano os direitos de personalidade, à liberdade e à autodeterminação informativa, e utilizando como alicerce para sua decisão o fato da proteção e o tratamento de dados pessoais ter sido incluído no rol dos direitos e garantias fundamentais da CF/88 (art. 5º, LXXIX), por meio da EC 115/22.
O processo tramitou em São Paulo e envolvia pedidos de cumprimento de obrigação de fazer e indenização por danos morais apresentados por uma consumidora que alegou ter recebido um comunicado do Iprodape - Instituto de Proteção de Dados Pessoais, informando sobre um incidente de segurança com seus dados pessoais. O juiz de primeiro grau rejeitou todos os pedidos contra a Enel, mas o TJ/SP reformou a decisão, reconhecendo o vazamento dos dados pessoais e condenando a Enel a fornecer informações detalhadas sobre o uso compartilhado dos dados e a origem deles.
O STJ confirmou a decisão do TJ/SP, destacando a necessidade de medidas de governança para o cumprimento da LGPD, sendo que a Enel não teria conseguido evidenciar que a exposição dos dados teria sido exclusivamente devido ao ataque cibernético, assim a Corte entendeu que a empresa não evidenciou a devida existência das medidas de segurança necessárias.
Segundo o STJ, como agente de tratamento, a Enel tem a obrigação legal de tomar todas as medidas de segurança esperadas pelo titular para que suas informações fossem protegidas. Os sistemas utilizados pela Enel para o tratamento de dados pessoais deveriam atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na LGPD.
A decisão foi além, ao ratificar o princípio do accountability (prestação de contas) e responsabilização como previsto na LGPD, explicitando que a Enel teria que demonstrar que seu esforço de conformidade não apenas atende à obediência ao direito, mas também comprova a efetividade do seu programa de conformidade digital. Ou seja, não bastaria ter um programa de conformidade de proteção de dados, a Enel teria que demonstrar que implementou adequadamente este programa de conformidade. Temos aqui um balizamento de efetividade, sinalizando que programas de conformidade pró forma, que não assegurem os devidos requisitos de segurança não são suficientes, ou seja, caberia à empresa comprovar que a ação violadora dos terceiros foi além da legitima expectativa de segurança para o agente de tratamento dos dados.
De fato, o STJ considerou irregular o tratamento que deixou de fornecer a segurança que o titular dele poderia esperar dentre as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado, nos termos do art. 44, III, da LGPD. Surpreendeu o STJ ao acolher um conceito ainda inovador de violação da "expectativa de legítima proteção", pela falta de comprovação pela Enel de que o vazamento dos dados teria se dado exclusivamente em razão do incidente de segurança, assim o tratamento de dados foi considerado irregular por não fornecer a segurança esperada pelo titular, e a empresa não conseguiu provar que o vazamento foi exclusivamente devido ao ataque hacker.
Além disso, o STJ reforçou a importância do decálogo dos princípios da LGPD que deveriam ser observados na utilização de dados pessoais, especialmente a transparência, segurança e responsabilização. A 3° turma do STJ destacou que a LGPD criou um novo sistema de responsabilização civil, que difere da clássica dicotomia das responsabilidades objetivas e subjetivas, e tal novo sistema exige atitudes proativas das empresas em relação à proteção de dados pessoais, em face da união da tradicional responsabilização com o conceito da prestação de contas.
Segundo o STJ, a partir de agosto de 2020 quando entrou em vigor a LGPD, não é mais suficiente que todas as empresas que tratem dados pessoais cumpram os artigos da lei, exige-se, a partir de então, que as empresas sejam capazes de demonstrar as atitudes conscientes, diligentes e proativas em relação à utilização dos dados pessoais.
Na fundamentação do acórdão, o STJ trouxe à baila a importância do conceito dos programas de compliance de dados nessa nova realidade, enfatizando a transparência e o dever de prestar contas (accountability) como elementos chave de transformação neste novo contexto.
Diferente da decisão anterior de 2023, neste caso recente o STJ enfrentou a alegação de aplicação do excludente de responsabilidade do art. 43, III, da LGPD, e entendeu que os agentes de tratamento só não seriam responsabilizados caso provassem que o dano seria decorrente de culpa exclusiva do titular dos dados ou de terceiro. Caberia, portanto, ao agente de tratamento o ônus legal de provar a quebra do nexo causal, o que não teria se concretizado no vazamento dos dados em questão, não havendo como imputar culpa exclusiva de terceiro no evento devido a inexistência de provas em tal sentido.
Ao final, a indenização por danos morais decorrentes de vazamento dos dados pessoais não sensíveis continuou sem ter sido acolhida pelo STJ, mantendo-se o preceito consagrado na decisão anterior da inexistência do dano in re ipsa. Entretanto, foram reconhecidos pelo STJ os direitos do titular em face da LGPD, condenando a Enel “na obrigação de apresentar informação das entidades públicas e privadas com as quais realizou o uso compartilhado dos dados da recorrida (art. 18, VII, da LGPD) e a fornecer declaração completa que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, assim como a cópia exata de todos os dados referentes ao titular constantes em seus bancos de dados (art. 19, II, da LGPD).”
Para quem milita na área de privacidade não parece muito, considerando que tais direitos já haviam sido introduzidos no ordenamento nacional pela LGPD há mais de 6 anos, como garantias ao titular de dados pessoais, independente inclusive de incidentes de segurança ou especificamente vazamentos de dados. No entanto, a decisão consolida diversos outros conceitos necessários à devida implementação de um programa de compliance digital, provocando a necessidade de as empresas buscarem a efetividade de seus programas de governança em privacidade, o que vai além do programa pró forma.
Aos poucos o ecossistema brasileiro de privacidade se consolida e exige maior maturidade das empresas, considerando os conceitos da LGPD legitimados pelo STJ, por exemplo, o novo sistema de responsabilização proativo, a garantia da expectativa de legítima proteção pelo titular, o fato de um vazamento decorrente de ataque hacker nem sempre ser um fortuito externo e o ônus da prova poder ser atribuído ao agente de tratamento, que caberia evidenciar ter tomado as devidas medidas de segurança.