Quando entrou em vigor, a Lei n. 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD), trouxe muitos questionamentos acerca de como seria aplicada e quais seriam as consequência em caso de sua inobservância.
Isso causou uma verdadeira enxurrada de ações que buscavam, principalmente, o reconhecimento de dano moral em casos de vazamento de dados pessoais e de dados pessoas sensíveis.
Antes de prosseguirmos com o assunto, importante destacar o que a lei taxa como dado pessoal e como dado pessoal sensível:
Art. 5º Para os fins desta Lei, considera-se:
I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
No mês de março deste ano, o STJ se manifestou pela primeira vez sobre o assunto, tendo a 2ª Turma do Superior Tribunal de Justiça (STJ) decidido, por unanimidade, que o vazamento de dados pessoais comuns, definidos na lei, não é capaz de gerar por si só, indenização por danos morais
O caso se referia à uma cliente de concessionária de energia, a qual requereu indenização pelo vazamento e compartilhamento indevido de seus dados pessoais. Entre eles, ela menciona nome completo, RG, data de nascimento e telefone, além de dados contratuais.
Em seu voto, o relator da ação, ministro Francisco Falcão, disse que dados de natureza comum, de cunho pessoal e que não considerem a intimidade do titular, não podem ser classificados como sensíveis:
“O art. 5º, II, da LGPD, dispõe de forma expressa quais dados podem ser considerados sensíveis e, devido a essa condição, exigir tratamento diferenciado, previsto em artigos específicos. Os dados de natureza comum, pessoais mas não íntimos, passíveis apenas de identificação da pessoa natural não podem ser classificados como sensíveis.”
O ministro argumentou que as informações vazadas podem ser fornecidas em qualquer cadastro, não sendo protegidas por sigilo. Logo, o acesso por terceiros não viola o direito à personalidade do titular:
“O vazamento de dados pessoais, a despeito de se tratar de falha indesejável no tratamento de dados de pessoa natural por pessoa jurídica, não tem o condão, por si só, de gerar dano moral indenizável. Ou seja, o dano moral não é presumido, sendo necessário que o titular dos dados comprove eventual dano decorrente da exposição dessas informações.”
Dessa forma, a 2ª Turma entendeu que não houve prova efetiva do dano moral sofrido, restabelecendo a decisão da sentença de primeiro grau, que negava o pedido de indenização. Da decisão proferida, ainda cabe recurso.
Embora a decisão tenha sido favorável ao controlador dos dados (empresa), isso não significa que a lei perdeu força. O tratamento de dados pessoais e sensíveis é parte essencial na contenção de riscos da atividade, merecendo atenção e adequação à Lei junto à advogado especializado.
Escrito por: Dr. Rodrigo Moura