Cabe dano moral na LGPD?
LGPD e a necessidade de comprovar o dano ou prejuízo.
quarta-feira, 22 de março de 2023
Atualizado às 14:38
Desde 2018, ano de promulgação da lei Geral de Proteção de Dados - LGPD, que os profissionais e empresas viraram suas atenções para o cuidado com privacidade e proteção de dados. O ano 2023 começou com algumas notícias impactantes para a nossa lei de dados que vai da resolução sobre dosimetria das multas e sanções pela Autoridade Nacional de Proteção de Dados (ANPD) até a decisão do STJ sobre indenização relacionada aos dados pessoais.
Neste artigo escolhemos discorrer sobre a decisão da 2ª Turma do Superior Tribunal de Justiça (STJ) que decidiu, por unanimidade, que o vazamento dos dados pessoais da LGPD não gera indenização por danos morais. Deixando a dosimetria como próximo artigo.
Antes de desenvolver sobre tal decisão, perguntei ao ChatGPT (ferramenta IA de texto) o que seria um dano moral, vejamos:
"Dano moral é um tipo de dano que ocorre quando uma pessoa sofre uma lesão ou ofensa em seus sentimentos, honra, dignidade, imagem ou reputação, em decorrência de ações ou omissões de outra pessoa ou entidade.
O dano moral não causa prejuízos financeiros diretamente, mas afeta a integridade emocional, psicológica e moral da pessoa, causando sofrimento e abalo em sua autoestima e bem-estar. Exemplos comuns de situações que podem causar dano moral incluem: difamação, calúnia, injúria, violação de privacidade, discriminação, assédio moral, entre outras.
Na esfera jurídica, o dano moral pode gerar uma indenização financeira, como forma de compensar o prejuízo sofrido pela vítima. O valor da indenização varia de acordo com a gravidade do dano, as circunstâncias do caso, a situação econômica do ofensor e outros fatores relevantes."
Esclarecido o dano moral, seguimos para o caso concreto que envolve o pedido de reparação (indenização moral) pelo vazamento e compartilhamento indevido de dados pessoais entre autora e concessionária de energia de São Paulo.
No caso em tela, o caso foi parar no STJ, uma vez que a companhia elétrica, não aceitou a decisão dos magistrados que entenderam que houve uma falha na prestação de serviço e dever de adotar mecanismos de segurança de dados, condenando-a ao pagamento de indenização por danos morais à titular dos dados pessoais.
Fato esse, que resultou na recente decisão do STJ que entendeu que o acesso indevido dos dados de natureza comum, fornecidas em qualquer cadastro, não violaria o direito à personalidade.
Sendo assim, a Turma proferiu decisão que o tratamento de dados de pessoa natural por pessoa jurídica, não tem o condão, por si só, de gerar dano moral indenizável. Invocando o precedente de que o dano moral relacionado aos dados pessoais comuns não pode ser presumido, ou seja, faz-se necessário que o titular dos dados comprove o dano ou prejuízo decorrente da exposição ou acesso indevido dos seus dados.
Trazendo uma análise mais ampla no ordenamento jurídico brasileiro, vemos que como regra geral de reparação de dados, cabe ao solicitante da indenização ou reparação o dever de provar o prejuízo que sofreu. No entanto, em algumas situações não há necessidade que o solicitante comprove, basta apenas que prove a prática do ato ilícito (dano moral pode ser presumido, ou "in re ipsa").
Desta forma, o que vemos desta decisão é um começo do amadurecimento e reflexão do judiciário sobre as tratativas sobre tratamento dos dados pessoais. Assim como, o diálogo da LGPD com as demais legislações como é o caso do Código de Defesa do Consumidor.
O fato é que na nossa ordem jurídica, seja em demanda de consumerista ou até trabalhista, há entendimentos onde as indenizações que necessitam de riscos concretizados e há também riscos não concretizados.
Ou seja, a decisão em tela traz a reflexão que a violação no tratamento de dados da LGPD não gera de forma automática a obrigação ou dever de indenizar. Há aqui uma hipótese mais ampla de análise da efetiva violação do direito à intimidade e privacidade. Ou seja, estamos falando numa exemplificação concreta do uso indevido ou violação dos dados pessoais, e não uma mera possibilidade.
O fato é que na decisão restou claro, o cuidado por parte do judiciário no que tange a observância da necessidade de um dano comprovado na matéria de privacidade e proteção de dados e a instalação de possível "indústria do dano moral".
Embora o acesso indevido ou vazamento dos dados pessoais seja uma falha indesejável é fundamental que as empresas consigam comprovar em demanda administrativa ou judicial que possui um programa de proteção de dados e uma governança baseada em melhoria contínua.