Existe dano moral pelo tratamento irregular de dados pessoais sob a LGPD?
Já há décadas, inclusive por força da Carta Magna, o direito pátrio vem admitindo a indenização por dano de natureza moral.
sexta-feira, 14 de fevereiro de 2020
Atualizado às 11:05
A lei 13.709/18 (Lei Geral de Proteção de Dados - LGPD), dentre as inúmeras inovações que trouxe ao ordenamento jurídico pátrio, estabeleceu novidades no que tange à responsabilidade dos agentes de tratamento: o controlador e o operador de dados pessoais. Embora muitas destas alterações sejam não só bem-vindas como necessárias, outras podem dar margem a interpretações exacerbadas a respeito da matéria.
Já há décadas, inclusive por força da Carta Magna1, o direito pátrio vem admitindo a indenização por dano de natureza moral. Não foi à toa que no Código Civil Brasileiro de 2002, o ato ilícito foi conceituado como incluindo aquele que, causando a violação do direito de outrem, dolosa ou culposamente, cause dano exclusivamente moral2, o que, combinado com o artigo 9273 do diploma civil, positiva o dever da indenização moral na legislação infraconstitucional. Posteriormente, a lei 13.467/17 também positivou a indenização por dano moral nas relações de trabalho.
Nesta toada, as decisões dos tribunais brasileiros a este respeito foram se avolumando, e o Superior Tribunal de Justiça acabou pacificando a questão da cumulabilidade de indenizações material e moral pelo mesmo fato através de sua Súmula 37.4
Mas, foi no campo do direito consumerista que o instituto sofreu maior evolução. Partindo de uma concepção inicial mais restrita, que o dano moral é aquele em que o autor prova que sofreu dor significativa e sofrimento, e não mero inconveniente5, ele passou a ser entendido como um ataque ao direito constitucional subjetivo da dignidade humana, que prescinde da dor6, posição esta adotada em paradigmático acórdão do STJ posteriormente7, e consolidando-se como entendimento do STJ notadamente em se tratando de dano moral coletivo8.
Assim, como em muitos casos dispensa-se a prova da dor, do sofrimento, passou-se a conceder a indenização de danos morais de forma mais larga, às vezes baseada em outros fatores, como o tempo dispendido pelo consumidor para a resolução do problema, conforme Teoria do Desvio Produtivo9(também denominada Teoria do Tempo Perdido), ou mesmo, como hoje em dia tornou-se comum, notadamente nas relações de consumo, in re ipsa10, e mesmo para pessoa jurídica11.
Sobre a questão do dano moral, a LGPD não inovou, afirmando o seguinte no caput de seu artigo 42:
O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.(destacamos)
Destaque-se que assim foi consagrado nos termos da LGPD o direito à indenização por dano moral coletivo. Já o parágrafo terceiro do mesmo artigo previu expressamente a tulela coletiva dos danos coletivos, materiais ou morais:
As ações de reparação por danos coletivos que tenham por objeto a responsabilização nos termos do caput deste artigo podem ser exercidas coletivamente em juízo, observado o disposto na legislação pertinente. (destacamos)
Neste contexto deve ser analisado o artigo 44 da LGPD, que assim dispõe:
Art. 44. O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:
I - O modo pelo qual é realizado;
II - o resultado e os riscos que razoavelmente dele se esperam;
III - as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.
Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano.
O parágrafo único do artigo 44 da LGPD estabelece uma hipótese clara de responsabilização de Agentes de Tratamento, quando (i) há uma violação de segurança dos dados E (ii) não foram adotadas as medidas de segurança previstas no artigo 46 da LGPD.
Entretanto temos que notar que o caput do art 44 da LGPD conceitua o que é "tratamento irregular", caracterizado quando o agente de tratamento (i) não obedece a legislação OU não fornece a segurança esperada pelo titular dos dados. Logo, a responsabilidade prevista no parágrafo único do art. 44 da LGPD não é pelo processamento irregular, já que os fatores que tornam o tratamento irregular não são os que caracterizam a responsabilidade prevista no parágrafo.
Assim, considerando-se as boas técnicas de interpretação, e que o conceito de tratamento irregular encontra-se no capítulo da lei denominado "Da Responsabilidade e do Ressarcimento de Danos", e que a LGPD não usa este conceito de "tratamento irregular" em nenhuma outra disposição sua, pode ser indagado se a LGPD está criando uma hipótese de indenização pelo processamento irregular de dados pessoais. Essa responsabilidade, note-se, caso exista, prescinde da efetiva violação dos dados pessoais dos titulares, bastando para configurá-la o mero risco a que os titulares ficaram expostos pelo agente de tratamento não ter tomado as medidas de proteção aos dados previstas no artigo 46 da LGPD, ou mesmo ainda apenas por não oferecer a segurança aos dados pessoais esperada pelo titular.
A primeira objeção que poderia fazer-se a esta tese é que a LGPD não estabelece de forma clara a responsabilidade pelo Tratamento Irregular, e que o mero fato do conceito ser mencionado no capítulo da lei referente à responsabilidade e indenizações não seria suficiente para criar uma responsabilidade por risco, e não dano efetivo.
Convém lembrar, entretanto, que o art. 45, combinado com o art. 52 par. 2º e com o art. 64 da LGPD12, em nítida adoção da Teoria do Diálogo das Fontes, atraem a aplicação da legislação consumerista, inclusive suas sanções de natureza civil, ao Tratamento de Dados.
E o inciso I do art. 6º, art. 8º e art. 12º caput, e o inciso II de seu parágrafo primeiro, todos da lei 8.078/90 (Código de Defesa do Consumidor - CDC)13 preveem a responsabilização por risco do produto ou serviço.
Assim, poder-se-ia alegar que por força dos dispositivos legais supracitados, existe uma positivação da responsabilidade pelos riscos de segurança.
Some-se a isto o fato que o próprio Código Civil assim estabelece:
Art. 12. Pode-se exigir que cesse a ameaça, ou a lesão, a direito da personalidade, e reclamar perdas e danos, sem prejuízo de outras sanções previstas em lei.
Mais ainda, se observarmos a jurisprudência de nossos tribunais, veremos que abundam na esfera trabalhista indenizações decorrentes de riscos que trabalhadores tenham corrido, ainda que nenhum destes riscos tenha efetivamente se materializado.14
Mas não só na esfera trabalhista se reconhece a responsabilidade por riscos.
Há decisões do STJ onde se afirma o direito à indenização por dano moral de consumidor que adquiriu genêro alimentício com corpo estranho dentro, ainda que não o tenha consumido, sendo indenizável o risco.15
Mais emblemático ainda é o acórdão de lavra do ministro Sergio Kukina, onde se manteve decisão de segundo grau que afirmava que os riscos decorrentes da exposição de cabos telefônicos de uma comunidade são danos morais indenizáveis.16
Assim, não existe dúvida que a ordem jurídica pátria admite que alguns riscos não concretizados sejam indenizados.
Outra objeção que se poderia fazer, entretanto, à tese de que o risco de vazamento de dados deve ser indenizado seria de que os titulares de fato não teriam sofrido nenhum dano, em razão do vazamento não ter se efetivado, e que sendo assim não haveria indenização a ser paga.
Cabe não olvidar, contudo, que em sua hodierna concepção, o dano moral é uma lesão à esfera moral de um indivíduo ou sociedade, decorrente da ofensa do direito da dignidade humana, e que não necessariamente pressupõe dor, angústia, especialmente - mas não unicamente - quando coletivo, e que os direitos subjetivos à privacidade e intimidade indubitavelmente integram o direito da dignidade humana, como se deduz do Enunciado 531 da VI Jornada de Direito Civil promovido pelo CJF/STJ.17
Feitas estas considerações, em uma análise mais precipitada, poderia se concluir que a LGPD estabelece uma responsabilidade dos agentes de tratamento pelo tratamento irregular de dados pessoais. Esta concepção, entretanto, nos parece equivocada e excessiva.
O primeiro e mais importante óbice decorre da sede constitucional da indenização de dano moral decorrente do direito à intimidade e privacidade. Se observarmos o inciso X do art 5º. da Constituição da República, veremos que ele dispõe da seguinte forma sobre a matéria:
X - São invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação. (destacamos)
Ou seja, a Carta Magna exige que para a indenização por dano moral relativo ao direito de intimidade e privacidade tenha ocorrido sua efetiva violação, e não mera ameaça. Assim deve ser entendido o supracitado art. 12 do Código Civil Brasileiro e toda a legislação infraconstitucional que versa sobre a matéria.
Neste sentido, inclusive, vale mencionar o Enunciado 140 da III Jornada de Direito Civil do CJF18, que leva à conclusão que o artigo 12 do Código Civil possui duas partes: na primeira estabelece-se tutelas específicas daqueles direitos, enquanto que a segunda parte trata da eventual indenizações por perdas e danos, que só se concretizarão caso a ameaça contra a qual são aplicáveis a tutela da 1ª. parte do artigo tenha de fato se convertido em lesão.
Ainda que superado o óbice constitucional, o art. 44 da LGPD não deve ser considerado de forma estanque, ou apenas como integrante do capítulo da lei que faz parte, mas como um dispositivo de todo um complexo diploma legal.
A mera violação da LGPD não é suficiente para gerar a obrigação de indenizar. Para tanto, é necessário dano indenizável decorrente da efetiva violação do direito à intimidade e privacidade. E é de hipótese de dano indenizável que dispõe o parágrafo único do art. 44 da LGPD, que exige uma violação concreta dos dados pessoais dos titulares, e não mero risco que ela ocorra.
E os riscos que caracterizam o tratamento irregular, eles não constituiriam dano moral? Uma análise atenta da legislação aponta para uma resposta negativa. A legislação brasileira ordinariamente não reconhece o mero risco como indenizável. Exceções são o risco à segurança e saúde dos consumidores, que a lei consumerista mencionada alhures tratou de forma excepcional, e que motivaram todas as decisões judiciais supracitadas.
Assim, intimidade e privacidade são direitos que integram a dignidade humana, e é certo que sua violação é indenizável. Mas o mero risco de violação não constitui violação. É um passo antecedente. Apenas a concretização destes riscos consubstanciada no acesso indevido a dados pessoais constitui a violação.
Da mesma forma, o risco ao direito de intimidade e privacidade não constituem riscos à segurança e saúde dos indivíduos. A segurança do indivíduo não pode ser confundida com a segurança de seus dados pessoais. O direito à segurança e à saúde do indivíduo existe para proteger o valor maior que nossa ordem jurídica confere à vida humana19, que é
"o mais fundamental de todos os direitos, já que se constitui em pré-requisito à existência e exercício de todos os demais direitos"20
e
"a premissa dos direitos proclamados pelo constituinte; não faria sentido declarar qualquer outro se, antes, não fosse assegurado o próprio direito estar vivo para usufruí-lo. O seu peso abstrato, inerente à sua capital relevância, é superior a todo outro interesse"21
Já a segurança dos dados visa proteger os direitos - também importantes - mas hierarquicamente inferiores ao direito à vida, que são os direitos à intimidade e à privacidade. Apenas nas mais extraordinárias circunstâncias poder-se-ia admitir que o acesso indevido a dados pessoais de um indivíduo colocasse sua integridade física em risco, o que dependeria de prova concreta. Prova disto é que é público e notório que em 2019 houve a violação de dados pessoais de dezenas de milhões de brasileiros22 e desconhece-se que isto tenha resultado em atentado à integridade física de algum deles.
Assim, temos que riscos indenizáveis são aqueles à saúde e segurança dos indivíduos, e não de seus dados pessoais. O risco de vazamento de dados pessoais configura risco aos direitos da intimidade e privacidade, que são indenizáveis apenas quando se concretizam.
Mas sendo desta forma, qual a ratio lege tanto do caput do art. 44 da LGPD quanto de seu parágrafo único?
A resposta é que o art. 44 cria uma hipótese de responsabilização para os agentes de tratamento, mas esta responsabilização tem natureza administrativa-regulatória, e não cível.
O caput do art. 44 deve ser interpretado em conjunto com o art. 48 caput e com o inciso V de seu parágrafo 1º, e ainda com o art. 52, todos da LGPD23. Desta interpretação conjunta, vemos que os riscos aos dados pessoais, ainda que não tenham sido concretizados em um vazamento, constituem incidentes de segurança, que são puníveis pela Autoridade Nacional de Proteção de Dados (ANPD). Por isso, o caput do art. 44 se preocupa em detalhar as circunstâncias que devem ser consideradas. E para que não ficasse dúvida sobre eventual responsabilidade cível, o parágrafo único do art. 44, que pela hermenêutica deve entender-se como referente ao seu caput, esclarece que a responsabilidade cível apenas se materializa tendo havido o vazamento de dados.
Destarte, a LGPD quer que os agentes de tratamento ajam de forma proativa, e não reativa, visando prevenir e não remediar ameaças, segundo o primeiro dos princípios do Privacy by Design adotados por ela24, mas a consequência do desatendimento é a obrigação de comunicação do fato à ANPD, e que isto constitui, conforme incisos VIII e IX do parágrafo primeiro do art. 52 da LGPD , um fator a ser sopesado para a fixação da penalidade da empresa, e não o dever de indenizar o titular por uma violação de sua intimidade que não ocorreu.
Interpretação contrária significaria alargar as medidas excepcionais conferidas pela legislação para combate a ameaças à vida e saúde em direta oposição ao disposto no inciso X do artigo 5º. Da Constituição da República.
Desta forma, uma análise sistemática da LGPD leva à conclusão de que o mero risco aos dados pessoais dos titulares não gera direito à indenização por dano moral, mas sim deve ser punido pela ANPD de acordo com as circunstâncias do caso.
1 Art. 5º, incisos V e X, e art 114 VI da Constituição da República de 1988
2 O art 186 da lei 10.406/02 dispõe que: "Aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que exclusivamente moral, comete ato ilícito."
3 " Aquele que, por ato ilícito (arts. 186 e 187), causar dano a outrem, fica obrigado a repará-lo."
4 "São cumuláveis as indenizações por dano material e dano moral oriundos do mesmo fato."
5 Maria Celina Bodin MORAES, em Dano à Pessoa Humana: uma leitura Civil-Constitucional dos danos morais. São Paulo: Renovar, 2003, p. 157/158, ensinava que: "O dano é ainda considerado moral quando os efeitos da ação, embora não repercutam na órbita de seu patrimônio material, originam angústia, dor, sofrimento, tristeza ou humilhação à vítima, trazendo-lhes sensações e emoções negativas. Neste último caso, diz-se necessário, outrossim, que o constrangimento, a tristeza, a humilhação, sejam intensos a ponto de poderem facilmente distinguir dos aborrecimentos e dissabores do dia-a-dia, situações comuns a que todos se sujeitam, como aspectos normais da vida quotidiana." (Conforme Dor e dano: dois "D" diferentes, de Salomão Resedá, em Clique aqui)
6 No enunciado 445 da V Jornada de Direito Civil do Conselho da Justiça Federal, de 2012, a Comissão de Trabalho coordenada pelo Ministro Paulo de Tarso Sanseverino, concluiu que "O dano moral indenizável não pressupõe necessariamente a verificação de sentimentos humanos desagradáveis como dor ou sofrimento."
7 No REsp 1.245.550/MG 2015, no voto do ministro relator Luís Felipe Salomão, se afirmou que" A dignidade humana pode ser considerada, assim, um direito constitucional subjetivo - essência de todos os direitos personalíssimos -, e é o ataque a esse direito o que se convencionou chamar dano moral. "
8 "O dano moral extrapatrimonial atinge direitos de personalidade do grupo ou da coletividade como realidade massificada, não sendo necessária a demonstração de da dor, da repulsa, da indignação, tal qual fosse um indivíduo isolado.
9 Vide: STJ reconhece aplicação da Teoria do Desvio Produtivo do Consumidor
10 Vide, dentre outros, STJ: Ag 1.379.761 e REsp 299.532.
11 Sumula 227 do STJ: "A pessoa jurídica pode sofrer dano moral."
12 Art. 45: "As hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente."Art 52 par 2º : "O disposto neste artigo não substitui a aplicação de sanções administrativas, civis ou penais definidas na Lei nº 8.078, de 11 de setembro de 1990, e em legislação específica. "Art. 64: "Os direitos e princípios expressos nesta Lei não excluem outros previstos no ordenamento jurídico pátrio relacionados à matéria ou nos tratados internacionais em que a República Federativa do Brasil seja parte."
13 Art. 6º : "São direitos básicos do consumidor I - a proteção da vida, saúde e segurança contra os riscos provocados por práticas no fornecimento de produtos e serviços considerados perigosos ou nocivos"; (destacamos) . Art. 8º. "Os produtos e serviços colocados no mercado de consumo não acarretarão riscos à saúde ou segurança dos consumidores, exceto os considerados normais e previsíveis em decorrência de sua natureza e fruição, obrigando-se os fornecedores, em qualquer hipótese, a dar as informações necessárias e adequadas a seu respeito." Art. 12: "O fabricante, o produtor, o construtor, nacional ou estrangeiro, e o importador respondem, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos decorrentes de projeto, fabricação, construção, montagem, fórmulas, manipulação, apresentação ou acondicionamento de seus produtos, bem como por informações insuficientes ou inadequadas sobre sua utilização e riscos. § 1° O produto é defeituoso quando não oferece a segurança que dele legitimamente se espera, levando-se em consideração as circunstâncias relevantes, entre as quais: (...omissis...) II - o uso e os riscos que razoavelmente dele se esperam;" (destacamos)
14 É exemplo destes julgados o acórdão do RR-340400-28.2009.5.09.0022 contido em Clique aqui
15 Como exemplo, no REsp 1.768.009/MG (2018/0214304-2), de relatoria da ministra Nancy Andrighi, decidiu-se que : "A aquisic¸a~o de produto de ge^nero alimenti'cio contendo em seu interior corpo estranho, expondo o consumidor a` risco concreto de lesa~o a` sua sau'de e seguranc¸a, ainda que na~o ocorra a ingesta~o de seu conteu'do, da' direito a` compensac¸a~o por dano moral, dada a ofensa ao direito fundamental a` alimentac¸a~o adequada, corola'rio do princi'pio da dignidade da pessoa humana." (destacamos)
16 AgInt no Agravo em REsp 426.382 - RJ (2013/0370624-5): ADMINISTRATIVO E PROCESSUAL CIVIL. EXPOSIC¸A~O DE CABOS TELEFO^NICOS. RISCO PARA A COMUNIDADE. DANO MORAL COLETIVO. EXISTE^NCIA. RECONHECIMENTO PELA INSTA^NCIA ORDINA'RIA. REVISA~O. 1. Conforme consolidada jurisprude^ncia desta Corte, "Se, diante do caso concreto, for possi'vel identificar situac¸a~o que importe lesa~o a` esfera moral de uma comunidade - isto e', violac¸a~o de direito transindividual de ordem coletiva, de valores de uma sociedade atingidos sob o ponto de vista juri'dico, de forma a envolver na~o apenas a dor psi'quica, mas qualquer abalo negativo a` moral da coletividade - exsurge o dano moral coletivo" (REsp 1.402.475/SE, Rel. Ministro HERMAN BENJAMIN, SEGUNDA TURMA, julgado em 09/05/2017, DJe 28/06/2017). 2. No caso, o Tribunal de origem, soberano no exame dos fatos, concluiu que a comunidade ficou exposta aos riscos decorrentes do na~o reposicionamento dos cabos de telefonia, que ficou ao alcance dos transeuntes que circulavam no local. (...)
17 "A tutela da dignidade da pessoa humana na sociedade da informação inclui o direito ao esquecimento"
18 A primeira parte do art. 12 do Código Civil refere-se às técnicas de tutela específica, aplicáveis de ofício, enunciadas no art. 461 do Código de Processo Civil, devendo ser interpretada com resultado extensivo.
19 Vide STF: ARE 801676 AgR / PE - PERNAMBUCO AG.REG. NO RECURSO EXTRAORDINÁRIO COM AGRAVO
20 Conforme Alexandre MORAIS, em Direito Constitucional. 13ª Ed. São Paulo: Editora Atlas S.A., 2003, p.63. Vide no mesmo sentido André Ramos TAVARES, em. Curso de Direito Constitucional. 8ª Ed. São Paulo: Editora Saraiva, 2010, p. 569.
21 Conforme Paulo Gustavo Gonet BRANCO, em. Curso de Direito Constitucional. 5ª Ed. São Paulo: Editora Saraiva, 2010, p.441.
22 Vide por exemplo Clique aqui
23 Art 48: "Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:
(...omissis)
IV - Os riscos relacionados ao incidente;"
Art 52: "Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:"
24 Vide Clique aqui
___________________________________________________________________________
*Mario André Chaves de Oliveira é bacharel em Direito pela Pontifícia Universidade Católica do Rio de Janeiro - PUC/RJ, advogado e sócio do escritório Mario Oscar Oliveira & Advogados Associados.