Maria Carolina Brunharotto Garcia
Advogada. Especialista em Direito Processual Civil pela Pontifícia Universidade Católica de São Paulo. MBA pela FGV-SP. MCIArb. CIPP-E. Graduada em Direito pela UNESP.
Paula Freire Santos Andrade Nunes
Advogada colaborativa, com formação pelo IBPC. Especialista em Direito de Família pela PUC Minas. Membro da Comissão de Direito de Família da OAB/MG. Membro do IBDFAM/MG. Graduada em Direito pela Universidade de Itaúna de Minas Gerais.
1 Introdução
O instituto do dano moral traçou largo caminho no Direito Brasileiro, construindo uma história de desentendimentos jurisprudenciais e doutrinários acerca da possibilidade ou não de sua aplicação.
Em que pese a importância do Código Civil de 1916 para o início das discussões acerca do tema, foi através da Constituição da República de 1988, em seu artigo 5°, inciso V e X, que o instituto evoluiu e ganhou forças, uma vez que os princípios fundamentais da privacidade e liberdade foram garantidos ao indivíduo, trazendo a ideia de que, se forem violadas sua intimidade e a honra, será assegurado o direito à indenização por dano moral.[1]
Até meados da década de 70, quando ainda em vigor o Código Civil de 1916, o Supremo Tribunal Federal não era uníssono sobre a possibilidade de deferimento de dano moral quando da violação da honra do indivíduo, pois acreditava-se que como um pagamento pecuniário não traria de volta o status a quo, ou seja, não restabeleceria a ofensa sentida, tal pagamento não teria funcionalidade jurídica.
Sob esta ótica, se manifestou o Ministro Hahnemann Guimarães do STF, em Recurso Extraordinário n° 11.786/MG, de sua relatoria, defendendo que não vislumbrava possibilidade de aferição de dano moral quando dele não decorresse um dano material, afirmando que “não é admissível que os sofrimentos morais dêem lugar à reparação pecuniária, se deles não decorre nenhum dano material.”[2]
No mesmo Recurso Extraordinário, contudo, o Ministro Orozimbo Nonato reconheceu a possibilidade de prestação pecuniária para dirimir a dor do ofendido, alegando que “De resto, sendo o dinheiro intermediário de todas as trocas, é ele o meio único de proporcionar à vítima certa sensação de bem-estar e de felicidade, que não apaga a dor experimentada, mas que pode contribuir para mitigá-la, quando mais não seja pelo castigo imposto ao ofensor.”(RE 11.974/MG, 1953)
Embora não seja possível mensurar em moeda o tamanho da dor causada e, ainda, embora haja um receio de mercantilização do dano moral, fato é que a possibilidade de aplicação de indenização por dano moral é hoje uma corrente pacificada no Direito Brasileiro, que se baseia no direito fundamental norteador de todas as normas, qual seja, a dignidade da pessoa humana.
2 Do reconhecimento (ou não) da existência do dano moral indenizável
Tanto o Supremo Tribunal Federal como o Superior Tribunal de Justiça publicaram, ao longo dos anos, inúmeras súmulas que reconhecem a existência de dano moral ao indivíduo na relação com a sociedade. Como exemplo, têm-se a Súmula 491 do STF (“É indenizável o acidente que cause a morte de filho menor, ainda que não exerça trabalho remunerado.”), Súmula 37 do STJ (“São cumuláveis as indenizações por dano material e dano moral oriundos do mesmo fato.”), Súmula 227 do STJ (“A pessoa jurídica pode sofrer dano moral”), Súmula642 do STJ ("O direito à indenização por danos morais transmite-se com o falecimento do titular, possuindo os herdeiros da vítima legitimidade ativa para ajuizar ou prosseguir a ação indenizatória"), Súmula 362 do STJ, (“A correção monetária do valor da indenização do dano moral incide desde a data do arbitramento”), Súmula 387 do STJ (É lícita a cumulação das indenizações de dano estético e moral”) e Súmula 403 do STJ (“Independe de prova do prejuízo a indenização pela publicização não autorizada de imagem de pessoas com fins econômicos e comerciais).”[3]
Apesar da certeza doutrinária e jurisprudencial da possibilidade da configuração do dano moral indenizável, ainda é uma incógnita no ordenamento jurídico quando e como se dará a fixação da indenização, uma vez que há a dificuldade no entendimento do que realmente teria trazido um abalo psíquico e moral ao indíviduo.
Em recente decisão da 4° Turma do STJ, entendeu os Ministros por vincular o dano moral à interesses existenciais, afastando indenização por mera frustração do consumidor. Na decisão, o Ministro Relator Luís Felipe Salomão afirmou que há risco em se considerar que os aborrecimentos triviais e comuns podem ensejar a reparação moral, "visto que, a par dos evidentes reflexos de ordem econômico-social deletérios, isso tornaria a convivência social insuportável e poderia ser usado contra ambos os polos da relação contratual.”[4]
Já o Supremo Tribunal Federal, por sua vez, rejeitou a existência de repercussão geral em diversas questões relativas à indenização por dano moral e à fixação do seu valor, entendendo que cada caso concreto deverá ser avaliado de forma isolada, não cabendo ao STF analisar o conjunto probatório dos autos.[5]
Os Tribunais Estaduais seguem na tentativa de pacificar quais atitudes corresponderiam à agressões morais e à honra do sujeito, penalisando-as, assim, com o deferimento de indenização à titulo de dano moral em favor do ofendido.
Entretanto, em paralelo às contraditórias decisões dos Tribunais, há a certeza de que para a caracterização da responsabilidade civil pela reparação do dano moral, deve haver a existência do nexo causal entre o fato e a lesão.
O Código Civil/2002 consagrou o dever de indenizar e a responsabilidade civil patrimonial em seu artigo 942, afirmando que o agente que realizou a conduta lesiva deve responder com seu patrimônio.
Em consonância ao artigo 186 do Código Civil[6], Maria Helena Diniz lista 3 (três) pressupostos do dever de indenizar, quais sejam: 1) a existência de uma ação ou omissão, qualificada juridicamente como ilícita ou lícita; 2) a ocorrência de um dano moral ou patrimonial causado à vítima e; 3) o nexo de causalidade entre o dano e a ação, que constituirá o fato gerador da responsabilidade civil[7].
Silvio de Salvo Venosa acrescenta, ainda, a culpa como o 4° pressuposto do dever de indenizar.[8]
Seja de caráter punitivo, reparatório ou educativo, fato é que estando presentes os pressupostos do dever de indenizar, o valor pecuniário deverá ser estabelecido na decisão, representando não uma solução à dor causada à vítima, mas um afago pelo abalo psíquico e moral sofrido.
3 Haverá dever de indenizar quando da ocorrência de um incidente de segurança relacionado ao tratamento de dados pessoais? Mesmo fato, decisões diferentes.
À guisa de toda discussão doutrinária atual, e preocupação dos agentes de tratamento, foi publicada recentemente pelo Tribunal de Justiça de São Paulo, sentença na qual o Juízo entendeu que o vazamento de dados pessoais, por si só, não gera dado moral indenizável se este não estiver comprovado.[9]
No caso em tela, a autora da ação judicial tomou ciência do vazamento de seus dados pessoais, como nome, CPF, telefone e endereço através de um Instituto ao qual é associada, bem como através de informação fornecida pela própria empresa ré, uma concessionária de energia elétrica– que notificou a tempo e modo os titulares de dados sofre o vazamento ocorrido.
No feito, que não tramita em segredo de justiça, a autora alegou que sofreu abalos psíquicos e morais pela preocupação em ver vazados seus dados pessoais, bem como que precisou tomar cuidados além do comum para não sofrer com pagamentos de boletos fraudulentos que poderiam ser emitidos com seus dados vazados.
Ademais, requereu que a empresa ré fosse compelida a informar com quais entidades públicas e privadas teria compartilhado seus dados pessoais, bem como informar os critérios utilizados para tratamento dos dados e com qual finalidade; que fosse a empresa obrigada a recolher os dados compartilhados sem autorização; e que fossem notificados a ANPD, o Departamento de Proteção e Defesa do Consumidor, o Procon, a Senacon e o Ministério de Justiça do Estado de São Paulo. Requereu ainda que fosse a ré compelida a fazer ampla divulgação sobre vazamento de dados pessoais em meios de comunicação e ao pagamento de R$ 10.000,00 à título de reparação pelos danos morais sofridos.
A empresa ré contestou a ação, fundamentando, inicialmente, o cumprimento das normas previstas nos artigos 42 e 43 da Lei Geral de Proteção de dados, e alegando que, em que pese ter cumprido todas as normas técnicas com relação à segurança da informação, teria sido vítima de fraudes tecnológicas que já estavam em investigação. Ademais, argumentou que a autora não teria provado o abalo moral supostamente sofrido com o vazamento de seus dados pessoais.
Todos os pedidos foram julgados improcedentes. Na sentença, foi reconhecida a falha da prestação de serviço pela empresa ré, que tem obrigação de proteger os dados pessoais de seus clientes, sendo afastados quaisquer excludentes de responsabilidade previstos no Código de Defesa do Consumidor.
Todavia, de acordo com a decisão, a ação negligente da parte ré, por si só, não gerou o dever de indenizar, pois o dano deve ser comprovado pela parte autora – e não presumido. A parte alegou prejuízos com o recebimento de ligações e e-mails indesejados, bem como que poderia sofrer fraudes comerciais também em razão do vazamento de seus dados. Entretanto, de acordo com o Juízo, não juntou aos autos provas que demonstrassem o efetivo dano moral ou material sofrido, tendo apenas os alegado.
Na decisão, além de julgar improcedente o pedido de indenização à título de danos morais, o Juízo também entendeu que não há que se falar em expedição de ofício à Autoridade Nacional de Proteção de Dados e nem em determinar que a empresa ré especifique a natureza dos dados vazados e com quem os compartilhou, tendo em vista que estas são, de acordo com a Lei Geral de Proteção de Dados, ações que podem ser solicitadas, administrativamente, pelo titular dos dados, no caso, a autora, sem interferência do Poder Judiciário.
Ao que parece, a decisão está em consonância com o entendimento do STJ quando fundamenta que para haver o dever de indenizar não basta o ato lesivo, mas sim a comprovação do dano.
Já em outra ação[10] com fatos e pedidos semelhantes, proposta por uma idosa contra a mesma concessionária de energia elétrica, a empresa ré foi condenada em 2ª Instância ao pagamento de R$ 5 mil reais à título de dados morais, por entender o órgão colegiado que a empresa não adotou as medidas necessárias para garantir a segurança dos dados pessoais tratados, ou seja, violou a Lei Geral de Proteção de Dados, fazendo com que a autora precisasse recorrer ao Poder Judiciário para ter seus direitos reconhecidos.
Na sentença em 1ª Instância o pleito autoral foi julgad improcente, considerando o Juízo que os dados vazados são aqueles fornecidos para qualquer cadastro em sites consultados no dia a dia e que a autora não teria comprovado que sofreu abalos psíquicos e morais resultantes do vazamento e nem tampouco que os dados teriam sido utilizados por terceiros. Por fim, entendeu a magistrada Denise Cavalcante Martins que “Esses dados não são acobertados por sigilo e o conhecimento por terceiro não viola direito da personalidade”.
Inconformada, a autora interpôs Recurso de Apelação conforme informado, que foi julgado pela 27° Câmara de Direito Privado de São Paulo, que reformou a decisão, valendo-se do artigo 14 do Código de Defesa do Consumidor para fundamentar que “o fornecedor de serviços deve responder objetivamente pelos danos causados aos consumidores relativos a defeitos em sua prestação, amoldando-se, dessa forma, à teoria do risco da atividade.”
Vale mencionar que a teoria do risco já foi anteriormente adotada em decisões do STJ – que versavam sobre Direito do Consumidor- nas quais restou determinado ser devido o pagamento de indenização à título de dano moral ao consumidor quando este esteve na iminência de ter lesionado seu direito fundamental à saúde e à dignidade da pessoa humana, sem contudo ter ocorrido o dano em si.[11]
Entretanto, a não aplicação da teoria do risco quando do vazamento de dados pessoais parece estar em consonância com o Artigo 5°, inciso X, da Constituição Federal[12] que determina que a privacidade e intimidade do indivíduo tenham, de fato, sido violadas, e não meramente ameaçadas, para que exista o direito à indenização pelo dano moral.
Em contrapartida, o artigo 12 do Código Civil traz como ensejadora de indenização por danos morais não apenas a lesão, mas também a ameaça de lesão ao direito de personalidade, quando preconiza que: “Pode-se exigir que cesse a ameaça, ou a lesão, a direito da personalidade, e reclamar perdas e danos, sem prejuízo de outras sanções previstas em lei.”[13]
Considerando que o tratamento de dados pessoais que culminar em incidente de segurança pode caracterizar ameaça aos direitos de personalidade e, portanto, se encaixar nos ditames do artigo 12 do CC, ao que parece este foi o raciocínio utilizado na construção da decisão proferida pela 27° Câmara Cível.
Outro ponto que merece detida análise é o fato da decisão ter considerado a idade da autora para o arbitramento de indenização por danos morais, entendendo que, por ser idosa, é mais vulnerável a eventuais golpes.
A consideração sobre a vulnerabilidade da autora idosa, que seria objetiva - de acordo com a decisão -, chama atenção por este tema não ter sido trazido no bojo da Lei Geral de Proteção de Dados. Esta preocupou-se em direcionar normas mais protetivas aos dados pessoais sensíveis, previstos em seu artigo , e aos dados pessoais de crianças e adolescentes, sem contudo tratar sobre a existência ou não de vulnerabilidade de pessoas idosas ou pessoas com deficiência.
Ao analisar-se detidamente o acórdão, verifica-se que, em que pese tratar a decisão sobre vazamento de dados pessoais, em momento algum seu texto foi fundamentado apenas à luz da LGPD, mas sim à luz do Código de Defesa do Consumidor também. Isso justificaria o fato da autora ter sido considerada vulnerável e à ela ter sido direcionada norma mais protetiva, uma vez que o CDC, em seu artigo 39, inciso IV[14], demonstra que a idade do consumidor seria um fator que indicaria o nível de proteção destinada a ele.
O artigo citado introduziu no ordenamento jurídico Brasileiro a hipervulnerabilidade, ou vulnerabilidade qualificada de alguns sujeitos, que pode ainda ser confrontada com as inúmeras tecnologias do mercado atual, conforme ensina Cláudia Lima Marques:
Efetivamente, e por diversas razões, a que se aceitas que o grupo de idosos possui uma vulnerabilidade especial, seja pela sua vulnerabilidade técnica exagerada em relação às novas tecnologias (home- banking, relações com a máquina, uso necessário de internet, etc); sua vulnerabilidade fática quanto à rapidez das contratações; sua saúde debilitada; que solidão do seu dia- a -dia que transforma um vendedor de porta em porta, um operador de telemárketing, talvez na única pessoa com a qual tenham contato e empatia naquele dia; sem falar na sua vulnerabilidade econômica e jurídica.[15]
O Código de Defesa do Consumidor, de fato, preconiza a Teoria da Vulnerabilidade, no seu Art. 4°, inciso I, dispondo que “A Política Nacional das Relações de Consumo tem por objetivo o atendimento das necessidades dos consumidores, o respeito à sua dignidade, saúde e segurança, a proteção de seus interesses econômicos, a melhoria da sua qualidade de vida, bem como a transparência e harmonia das relações de consumo, atendidos os seguintes princípios: reconhecimento da vulnerabilidade do consumidor no mercado de consumo” (BRASIL, 1990).
Quanto à proteção dos idosos, a doutrina prevê uma hipervulnerabilidade jurídica, com o objetivo de mitigar a desigualdade material destes indivíduos perante outro cidadão, uma vez que "A idade avançada traz consigo a diminuição ou perda de determinadas aptidões físicas ou intelectuais que tornam o indivíduo mais suscetível a práticas abusivas e até mesmo a fraudes”.[16]
O conceito de hipervulnerabilidade também foi descrito no REsp 586.316/MG, publicado em 2007, no qual entendeu o ministro relator Herman Benjamin que
Ao Estado Social importam não apenas os vulneráveis, mas sobretudo os hipervulneráveis, pois são esses que, exatamente por serem minoritários e amiúde discriminados ou ignorados, mais sofrem com a massificação do consumo e a "pasteurização" das diferenças que caracterizam e enriquecem a sociedade moderna.[17]
Ainda que diante da narrativa sobre a Teoria da Vulnerabilidade, mais plausível seria considerar que há que se comprovar o ato lesivo para que seja justificada a indenização, bem como a existência dos quatro pressupostos do dever se indenizar: 1) a existência de uma ação ou omissão ilícita ou lícita; 2) a ocorrência de um dano moral ou patrimonial causado à vítima; 3) o nexo de causalidade entre o dano e a ação; e 4) a culpa do agente.
A decisão proferida pela 27° Câmara, ao considerar também o Código de Defesa do Consumidor, se olvidou de analisar que a autora, ainda que idosa, não comprovou nos autos a existência do dever de indenizar. Ao contrário: no acórdão entendeu-se que o fato da autora ser idosa, por si só, ensejaria a indenização por danos morais pelo vazamento de dados pessoais.
4 Julgados sobre o tratamento ilegal ou inadequado de dados pessoais pelo Controlador de dados
Até mesmo antes da publicação da Lei Geral de Proteção de dados- que entrou em vigor em 17/09/2020- aumentaram os pleitos nos Tribunais Estaduais de titulares de dados que buscam informações sobre seus dados pessoais coletados por Controladores e requerem indenização à título de danos morais quando entendem que houve tratamento de dado pessoal de forma ilegal ou inadequada, em inobservância ao disposto no artigo 46 da LGPD.
Como é sabido, a Lei especial não poderia criar uma hierarquia entre sanções administrativas e jurídicas, podendo o titular de dados exercer seu direito constitucional de petição em juízo, se valendo de mecanismos que tutelem seus interesses.
Desta feita, se faz indispensável analisar decisões judiciais, a fim de verificar como as normas previstas na nova lei estão sendo aplicadas, bem como a verificar qual tem sido o entendimento dos Tribunais acerca da caracterização da responsabilidade civil do Agente de tratamento, e necessidade de ocorrência de culpa para que haja o dever de indenizar.
Assim, traz-se uma das primeiras decisões[18] aplicando a LGPD proferida pela 5° Turma Cível do Colégio Recusal de São Paulo que condenou uma corretora de imóveis ao pagamento de danos morais à cliente, pois não havia informado à titular de dados pessoais que a coleta se destinava também ao compartilhamento de dados com terceiros - ferindo o Princípio da finalidade, previsto no artigo 6°, I, da LGPD. No caso, tal compartilhamento teria trazido transtornos à autora, que comprovou o recebimento de propagandas de marketing de produtos diversos. Assim, entendeu o magistrado que o dano moral estava presumido a partir da comprovação da conduta lesiva da parte ré, sem haver a necessidade da comprovação da ofensa moral em si, já que o dano deriva do próprio fato ofensivo (dano moral in re ipsa).
Em decisão[19] semelhante, proferida em 2ª Instância pelo Tribunal de Justiça do Amapá, uma Controladora de dados foi condenada ao pagamento de danos morais ao titular, pelo também compartilhamento indevido de seus dados pessoais com uma financiadora de veículos. No caso em tela, o autor compareceu a uma concessionária de veículos, forneceu seus dados pessoais, mas não efetou a compra do bem e nem tampouco assinou qualquer contrato com a empresa. Entretanto, dias depois foi surpreendido com um boleto de cobrança, sobre uma suposta compra do veículo, emitido por uma financiadora e, ao se recusar a paga-lo, teve seu nome inserido nos órgãos de proteção ao crédito.
A decisão, na qual houve a condenação da consessionária de veículos ao pagamento de R$ 4.000,00 à título de danos morais ao autos, entendeu que “Ficou evidente que os dados do autor, (...) foram tratados em violação aos fundamentos de sua proteção (art. 2º, LGPD) e à finalidade específica, explícita e informada ao seu titular (art. 6º, I, LGPD). (...) houve a utilização de seus dados para finalidade diversa e sem que o autor tivesse informação adequada (art. 6º, II, LGPD), o que afronta diretamente o disposto no artigo 6º, III e IV, do Código de Defesa do Consumidor, quanto ao dever de informação.”
Noutra decisão[20], proferida pela 2° Instância do Tribunal de Justiça do Paraná, que também consagrou o Princípio da finalidade, a empresa Controladora de dados foi condenada ao pagamento de indenização por danos morais ao titular de dados, em razão do uso indevido de seus dados pessoais, que foram utilizados para abertura de uma empresa em seu nome, quando, na verdade, o serviço contratado pelo titular junto ao Controlador havia sido apenas de fornecimento de serviços de internet.
Em contrapartida, analisando-se a decisão[21] proferida em Agravo de Instrumento pelo Tribunal de Justiça do Mato Grosso do Sul, percebe-se que o compartilhamento de dados pessoais com empresas que fornecem o serviço de proteção ao crédito foi entendido como possível e legal mesmo sem o consentimento prévio do titular de dados. Em decisão monocrática, entendeu o magistrado que a empresa ré estaria amparada pela LGPD, bem como pela Lei 12.414/2011[22], considerando que “Os bancos de dados e cadastros relativos a consumidores, os serviços de proteção ao crédito e congêneres são considerados entidades de caráter público, nos termos do art. 43, § 4º, do CDC, o que torna prescindível prévio consentimento do consumidor.” (grifo nosso)
Já quanto ao tema comercialização de dados pessoais, foi proferida decisão pelo Tribunal de Justiça do Distrito Federal e Territórios, em sede de Agravo de Instrumento interposto pelo Ministério Público contra o Serasa S.A, no sentido de “Determinar a suspensão da comercialização de dados pessoais dos titulares por meio de produtos de lista online e prospecção de clientes, sob pena de multa no valor de R$ 5.000,00 por cada venda efetuada.” A decisão ainda entendeu que “Segundo dispõe o art. 7°, inciso I, da Lei 13.709/18, o tratamento de dados pessoais somente poderá ser realizado mediante o fornecimento de consentimento pelo titular”.
No mesmo sentido de comercialização de dados pessoais, o Tribunal de Justiça do Distrito Federal e Territórios, em decisão[23] de 1° instância, concedeu liminar para determinar que o portal Mercado Livre suspenda o anúncio referente a venda de bancos de dados sobre usuários cadastrados. Foi determinado ainda que a empresa que seria a principal beneficiária desta comercialização, tambem ré na ação, abstenha-se de disponibilizar, de forma gratuita ou onerosa, digital ou física, dados pessoais de quaisquer indivíduos. Para ambas as empresas foi fizada multa de R$ 2.000,00 para cada operação realizada em dissonância com a decisão.
A decisão foi fundamentada na Lei Geral de Proteção de Dados, alegando que há irregularidade na indistinta comercialização de dados pessoais, que fere o princípio da privacidade do titular, uma vez que não há indícios de que o mesmo tenha fornecido seu consentimento para tal transação.
Já sobre o tema fundamento legal para coleta de dados pessoais, tem sido levado aos Tribunais discussões a respeito da necessidade de consentimento.
Em decisão[24] de 1° instância, proferida pelo Tribunal de Justiça de São Paulo, foi determinado à uma empresa de transporte público que deixasse de coletar dados biométricos dos usuários que estavam sendo utilizados para perfilamento de comportamental, por não terem os dados sido coletados, de acordo com a decisão, “sem o consentimento prévio livre, adequado e inequívoco do titular – conforme expresso no artigo 5°, inciso XII, da LGPD”.
Na decisão foram arbitrados dados morais coletivos, conforme prevê o artigo 22 da LGPD, bem como possibilitado à empresa requerida a coleta destes dados pessoais sensíveis apenas com o consentimento prévio do titular.
Ultrapassada a análise de decisões sobre a ausência de consentimento para tratamento de dados pessoais , há decisões que analisam a falta de segurança da informação que também resultaria de responsabilidade civil.
Como exemplo, à empresa Controladora de dados foi garantido o direito de bloquear o cadastro de um usuário feito em uma plataforma de compra e venda, com o objetivo de evitar fraudes financeiras.
A decisão[25], fundamentada no artigo 46 da LGPD e proferida pela Turma Recursal de Belo Horizonte reformou a sentença, entendendo que “a postura ativa da empresa ré em adotar medidas de segurança pra evitar fraudes dentro da plataforma e garantir a segurança dos dados e transações efetuadas nela não pode ser motivo de reprimenda.”
Noutra decisão entendeu-se que “o coletor de dados que causar dano deve reparar o consumidor, independente de culpa, ou seja, basta provar que o vazamento aconteceu, mesmo que não tenha sido a "intenção" do coletor de dados.”[26] (grifo nosso).
Nesta ação, a empresa Controladora de dados foi condenada a ressarcir o titular de dados em danos materiais e morais (no importe de R$ 3.000,00), entendendo que a fraude apenas aconteceu, porque a empresa ré permitiu o vazamento de dados que coletava, sendo estes acessados por terceiros fraudadores.
Outra decisão[27], datada de 2005, muito antes da promulgação da Lei Geral de Proteção de dados, a Turma Recursal da Bahia condenou uma instituição bancária ao pagamento de danos morais a um cliente, por não ter armazenado seus documentos pessoais de forma segura, a fim de que fosse possível evitar o acesso de terceiros fraudadores a eles.
Em seu bojo, constou da decisão que “Pelo caso de extravio de documentos pessoais concorre com culpa a pessoa que não agiu com o devido zelo, portando-os, todos, em local de intenso aglomerado de pessoas, em cujas circunstâncias os furtos são comuns e previsíveis.”
Também sobre o tratamento inadequado de dados pessoais, em decisão[28] o Tribunal de Justiça do Paraná, em decisão de 2° instância, condenou uma instituição financeira ao pagamento de danos morais, por ter trocado o endereço de correspondência do autor pelo de sua irmã, demonstrando vulnerabilidade na segurança das informações.
No caso, a irmã do autor recebeu suas faturas de cartão de crédito, por erro da instituição bancária ao enviar as correspondências, tendo a conduta do banco, conforme exposto no acórdão proferido, “implicado em violação ao sigilo bancário do autor e quebra da proteção aos seus dados pessoais, acarretando inegável ofensa aos direitos fundamentais à privacidade e à intimidade.”
Ainda, seguindo na análise de julgados, o Supremo Tribunal Federal, ao julgar a medida provisória 954/2020[29],[30] que previa o compartilhamento de dados pelas empresas de telecomunicação com o Instituto Brasileiro de Geografia e Estatística (IBGE), deferiu medida cautelar em Ação Direta de Inconstitucionalidade, para “suspender a eficácia da Medida Provisória nº 954/2020, a fim de prevenir danos irreparáveis à intimidade e ao sigilo da vida privada de mais de uma centena de milhão de usuários dos serviços de telefonia fixa e móvel.”
A Suprema Corte fundamentou sua decisão na Lei Geral de Proteção de Dados, entendendo que “Na medida em que relacionados à identificação – efetiva ou potencial – de pessoa natural, o tratamento e a manipulação de dados pessoais hão de observar os limites delineados pelo âmbito de proteção das cláusulas constitucionais assecuratórias da liberdade individual (art. 5º, caput), da privacidade e do livre desenvolvimento da personalidade (art. 5º, X e XII), sob pena de lesão a esses direitos. O compartilhamento com ente público (...)há de assegurar mecanismos de proteção e segurança desses dados”
Em paralelo, é imperiso ainda destacar recente decisão administrativa do Programa de Defesa e Proteção ao Consumidor (PROCON) do Estado do Mato Grosso que multou em R$ 572.680,71uma rede de farmácias por coleta irregular de autorização de clientes para tratamento de dados pessoais, em processo motivado após denúncias de consumidores, seguidas de solicitação do Ministério Público.
De acordo com as denúncias, o consumidor era informado que a coleta do seu dado pessoal tinha como finalidade o recadastramento para atualização cadastral e recebimento de descontos. Todavia, após fiscalização, o Procon comprovou que a rede de farmácias estava coletando dados pessoais simples e sensíveis (digital dos consumidores), bem como a autorização para o tratamento desses dados, sem prestar as informações adequadas aos clientes, já que as finalidades da coleta não eram informadas ao titular do dado.
Conforme entendeu o Órgão “Para obter os dados e o consentimento para o uso, o cidadão deve ser informado previamente - de forma clara e transparente - sobre quem terá acesso, para que seus dados serão utilizados, por quanto tempo, com quem serão compartilhadas as informações, entre outras informações. O consentimento é considerado nulo se for obtido de forma enganosa ou abusiva.”
Ressalta-se que há ampla movimentação dos órgãos de proteção ao direito do consumidor no sentido informativo, educativo e fiscalizatório, a fim de aproximar o titular de dados do texto das normas previstas na Lei Geral de Proteção de Dados.[31]-[32]—
5 Conclusão
De fato, a Lei Geral de Proteção de Dados estabelece em seu artigo 42 que “O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.”.[33]
Se analisado este artigo em conjunto com o artigo 44 da LGPD que dispõe que “O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais I- o modo pelo qual é utilizado”, percebe-se, nitidamente, que o legislador não se olvidou de responsabilizar o agente de tratamento prevendo, inclusive, sanções administrativas para penalizá-lo.
Das análises jurisprudenciais trazidas, não foram identificadas a aplicação das penalidades administrativas previstas na LGPD pelo Poder Judiciário, como por exemplo a proibição de continuidade do tratamento de dados pessoais, que limitou-se à condenações por reparação civil material e moral.
Ainda, verificou-se que quando provocado a decidir sobre a existência ou não do direito à reparação civil pelo tratamento ilegal ou inadequado de dados pessoais, o Poder Judiciário buscou analisar: I) se o tratamento foi ilegal ou inadequado, II) se foi ocasionado por ação criminosa de terceiros ou por falta de inobservância ao artigo 46 da LGPD; III) qual era a natureza dos dados vazados – se simples ou sensíveis – e se tratavam-se de dados já divulgados pelo titular; IV) se o Agente de tratamento comprovou agir de forma ativa para garantir a segurança dos dados; V) outras normas aplicáveis ao caso, como o Código de Defesa do Consumidor e; VI) se o titular obteve sucesso em comprovar que o tratamento ilegal ou inadequado do dado pelo Controlador causou-lhe danos materiais ou abalos psíquicos e morais, não se atendo apenas a alegações.
Deste modo, em que pese ser possível identificar tópicos comumente tratados nas decisões, é importante ressaltar que ainda não há consenso sobre quando haveria a responsabilidade do Agente de tratamento num episódio de vazamento de dados, uma vez que em algumas decisões o simples vazamento de dados teve como consequência o dever de indenizar, independente da comprovação do dano. Ainda, em todas as decisões judiciais analisadas o valor das indenizações foi fixado em quantia não vultuosa, independente do poder econômico do Agente.
Assim, pelo estudo das decisões mencionadas, observa-se que se não existir suporte legal para a exclusão de responsabilidade, os Tribuanis tendem a entender como caracterizado o ilícito relativo à violação de direitos da personalidade, autodeterminação informativa, liberdade, violação de intimidade, honra e dignidade – todos previstos no art. 2° da LGPD- por utilização indevida de dados pessoais.
6 Bibliografia
BRASIL, Código Civil, Lei 10.406/2002, disponível em http://www.planalto.gov.br/ccivil_03/leis/2002/l10406compilada.htm
BRASIL, Código de Defesa do Consumidor, Lei 8.078/1990, disponível em http://www.planalto.gov.br/ccivil_03/leis/l8078compilado.htm
BRASIL, Constituição Federal, disponível em http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm;
BRASIL, Lei Geral de Proteção de Dados, Lei 13.709/2018, disponível em http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm;
DINIZ, Maria Helena. Curso de Direito Civil Brasileiro. v. 7; 19° edição, São Paulo, Editora Saraiva, 2005, pg 42;
MARQUES, Cláudia Lima; BENJAMIM, Antônio Herman; MIRAGEM, Bruno: Comentários ao Código de Defesa do Consumidor, 4, ed., São Paulo, Editora Revista dos Tribunais, 2013, pag. 895- 896;
PORTAL DO SUPERIOR TRIBUNAL DE JUSTIÇA, STJ, disponível em http://portal.stf.jus.br/;
PORTAL DO SUPREMO TRIBUNAL FEDERAL, STF, disponível em https://www.stj.jus.br/sites/portalp/Inicio;
SÍTIO Oficial do Tribunal de Justiça de Minas Gerais, disponível em https://www.tjmg.jus.br/portal-tjmg/;
SÍTIO Oficial do Tribunal de Justiça de São Paulo, disponível em https://www.tjsp.jus.br/;
SÍTIO Oficial do Tribunal de Justiça do Paraná, disponível em https://www.tjpr.jus.br/;
SÍTIO Oficial do Tribunal de Justiça do Mato Grosso, disponível em http://www.tjmt.jus.br/;
SÍTIO Oficial do Tribunal de Justiça da Bahia, disponível em http://www.tjba.jus.br/;
SÍTIO Oficial do Procon de São Paulo, disponível em https://www.procon.sp.gov.br/;
SÍTIO Oficial do Procon do Paraná, disponível em http://www.procon.pr.gov.br/;
VENOSA, Silvio de Salvo. Código Civil Intrerpretado. São Paulo, Editora Atlas, 2010, pg 839
[1]“Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes: V - é assegurado o direito de resposta, proporcional ao agravo, além da indenização por dano material, moral ou à imagem; X - são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação.” [2]RE 11.974/MG, Rel. Min. Ministro Hahnemann Guimarães, julgado em 12/05/1953. Memória Jurisprudencial Ministro Orozimbo Nonato. Brasília. Supremo Tribunal Federal, 2007, pg 108. Disponível em http://www.stf.jus.br/arquivo/cms/publicacaoPublicacaoInstitucionalMemoriaJurisprud/anexo/OrozimboNonato.pdf [3]http://portal.stf.jus.br/ e https://www.stj.jus.br/sites/portalp/Inicio [4] REsp 1406245, publicado em 16/03/2021, Ministro Relator Luis Felipe Salomão, disponível em https://processo.stj.jus.br/processo/pesquisa/?aplicacao=processos.ea&tipoPesquisa=tipoPesquisaGenerica&termo=REsp%201406245 [5] Manifestação em Agravo de Instrumento. Supremo Tribunal Federal. Disponível em http://stf.jus.br/portal/jurisprudenciaRepercussao/verPronunciamento.asp?pronunciamento=4388200 [6] Artigo 186 do CC/2002: “Aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que exclusivamente moral, comete ato ilícito.” [7] DINIZ, Maria Helena. Curso de Direito Civil Brasileiro. v. 7; 19° edição, São Paulo, Editora Saraiva, 2005, pg 42 [8] VENOSA, Silvio de Salvo. Código Civil Intrerpretado. São Paulo, Editora Atlas, 2010, pg 839 [9] Processo n° 1025226-41.2020.8.26.0405. Tribunal de Justiça de São Paulo. Decisão publicada em 06/2021. [10] 1003203-67.2021.8.26.0405- Tribunal de Justiça de São Paulo [11] Recurso Especial n° 1.768.009/MG. Relatora Ministra Nancy Andrighi: “A aquisição de produto de gênero alimentício contendo em seu interior corpo estranho, expondo o consumidor à risco concreto de lesão à sua saúde e segurança, ainda que não ocorra a degustação de seu conteúdo, da direito à compensação por dano moral.” [12] Artigo 5°, inciso X, da Constituição Federal: “São invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito à indenização pelo dano material ou moral decorrente de sua violação.” [13] Código Civil de 2002, disponível em http://www.planalto.gov.br/ccivil_03/leis/2002/l10406compilada.htm [14] Código de Defesa do Consumidor, Lei 8.078/1990, disponível em http://www.planalto.gov.br/ccivil_03/leis/l8078compilado.htm [15] MARQUES, Cláudia Lima; BENJAMIM, Antônio Herman; MIRAGEM, Bruno: Comentários ao Código de Defesa do Consumidor, 4, ed., São Paulo, Editora Revista dos Tribunais, 2013, pag. 895- 896 [16] “Consumidor idoso é hipervulnerável e deve ser protegido pelo CDC, aponta a especialista Adriana Barreto”, disponível em https://www.migalhas.com.br/quentes/270855/consumidor-idoso-e-hipervulneravel-e-deve-ser-protegido-pelo-cdc--aponta-especialista [17] STJ. RECURSO ESPECIAL: REsp 586.316 MG 2003/0161208-5. Relator: Ministro Herman Benjamin. DJ: 17/04/2007. Disponível em https://www.stj.jus.br/websecstj/cgi/revista/REJ.cgi/ITA?seq=683195&tipo=0&nreg=200301612085&SeqCgrmaSessao=&CodOrgaoJgdr=&dt=20090319&formato=PDF&salvar=false [18] Tribunal de Justiça de Minas Gerais, Processo: RI 00095102820198260016 Relator: Juliana Amato Marzagão Quinta turma cível Data de julgamento: 05/11/2020 [19] Tribunal de Justiça do Amapá, Processo n° 0034398-48.2019.8.03.0001 Acórdão Nº 84700, Desembargador Relator Mario Mazurek [20] Tribunal de Justiça do Paraná. 7° Câmara Civel, Processo: 0076618-93.2018.8.16.0014 Desembargador D’artagnan Serpa. Data de Julgamento: 10/05/2021 [21] Tribunal de Justiça do Mato Grosso do Sul- Processo: 1402961-84.2021.8.12.0000 Desembargador Relator Alexandre Bastos Data de Julgamento: 22/03/2021 [22] BRASIL, Lei 12.414/2011, disponível em http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12414.htm [23] Tribunal de Justiça do Distrito Federal e Territórios. 17ª Vara Cível de Brasília Número do processo: 0733785-39.2020.8.07.0001 [24] Tribunal de Justiça de São Paulo, Processo: 1090663-42.2018.8.26.0100 37° Vara Cível Juiz(a) de Direito: Patrícia Martins Conceição. [25] Turma Recursal Exclusiva de Belo Horizonte. Processo: 9032507-82.2019.8.13.0024 Desembargadora Relatora Mariana de Lima Andrade. Data de publicação: 12/11/2019 [26]Tribunal de Justiça da Bahia, 0005124-05.2020.8.05.0274. Desembargadora Relatoria May Angélica Santo Coelho. Data do julgamento 17/05/2021 [27] Tribunal de Justiça de Minas Gerais, Apelação Cível 2.0000.00.495900-0/000, Desembargadora Relatora Márcia De Paoli Balbino , Data do julgamento 19/05/2005, publicação da súmula em 09/06/2005 [28] Tribunal de Justiça do Paraná, Processo: 0009354-64.2018.8.16.0174- Desembargador Relator Alvaro Rodrigues Junior Data de julgamento: 12/11/2019 [29] Supremo Tribunal Federal, ADI 6387 MC-Ref / DF - Referendo na Medida cautelar na Ação Direita de Inconstitucionalidade, Ministra Relatora: Rosa Weber. Julgamento: 07/05/2020 Publicação: 12/11/2020 [30] http://www.planalto.gov.br/CCIVIL_03/_Ato2019-2022/2020/Mpv/mpv954.htm [31]https://www.procon.sp.gov.br/procon-sp-lanca-informativo-sobre-a-lei-geral-de-protecao-de-dados/ [32]https://www.procon.sp.gov.br/pesquisa-sobre-protecao-de-dados-e-a-lgpd/ [33] Lei 13.709/2018- Lei Geral de Proteção de Dados
Artigo publicado no Portal Migalhas em 03.08.2021
2F15C22938AEA2_Artigo-RESPONSABILIDADECIVILDA.pdf (migalhas.com.br)https://www.migalhas.com.br/arquivos/2021/8/2F15C22938AEA2_Artigo-RESPONSABILIDADECIVILDA.pdf
