O STJ decide que o vazamento de dados pessoais não gera dano moral presumido, de acordo com artigo da LGPD
Trata-se de uma ação proposta por uma consumidora contra a Eletropaulo (Concessionária de Energia Elétrica), requerendo indenização por danos morais decorrentes do vazamento e acesso por terceiros de seus dados pessoais. A ação foi julgada improcedente em primeira instância, mas em recurso, o TJ-SP entendeu que houve uma falha grave na prestação de serviço da Eletropaulo, que aplicou o Código de Defesa do Consumidor (CDC) e condenou a empresa a pagar a quantia de R$ 5 mil a título de danos morais.
A Eletropaulo recorreu alegando que o acórdão não poderia ter se fundamentado exclusivamente no CDC, mas também e principalmente na Lei Geral de Proteção de Dados (LGPD), porque é a lei de regência da matéria enfrentada na lide.
A empresa, ainda, comprovou a sua postura quanto à segurança reservada aos dados sob a sua responsabilidade, sendo inequívoco que o vazamento se deu por ação de terceiro estranho à relação comercial firmada com a consumidora, fato este que justificaria a excludente de responsabilidade, assim como rebateu a decisão do TJ-SP que enquadrou os dados vazados como sensíveis, nos termos do art. 5º, II da LGPD, uma vez que estes seriam básicos de qualificação de qualquer pessoa (dados cadastrais).
Após análise dos argumentos das partes, o STJ entendeu que a LGPD traz um rol taxativo daquilo que é considerado dados sensíveis de acordo com o art. 5º, inciso II da referida legislação (embora haja um entendimento doutrinário que, dependendo do tratamento de dados, alguns tipos de dados pessoais podem se tornar sensíveis) e que não é possível indenizar por dano moral o vazamento de dados informados corriqueiramente em diversas situações do dia a dia; e por mais que seja uma falha indesejável no tratamento de dados feito por pessoa jurídica, não tem o condão, por si só, de gerar dano moral indenizável.
Dessa forma o dano moral não pode ser entendido como presumido, porque é necessário que o titular comprove o eventual dano decorrente da exposição dessas informações. O acesso indevido visivelmente, como já dito, é uma falha indesejável, mas se a empresa conseguir comprovar que possui um programa de governança e adequação à LGPD, isto vai ser considerado um fator fundamental da defesa, tanto na demanda judicial quanto na administrativa (sanções da ANPD).
Confira a sentença aqui.
Conte com a Moore para esclarecer dúvidas a respeito deste tema. Entre em contato com os nossos especialistas.