Se por um lado o Código de Defesa do Consumidor expressamente determina que independentemente da existência de culpa a reparação do dano será obrigatória pelo responsável ou integrante da cadeia produtiva, aplicando assim o princípio da responsabilidade objetiva, o Código Civil segue em caminho oposto entendendo pela aplicação da responsabilidade subjetiva, na qual há a necessidade da demonstração de dano e de nexo causal, considerando-se para tanto a culpa, o dolo e a violação de um direito.
Embora exista uma divergência quanto ao tipo de responsabilidade atribuída nas relações de consumo ao avesso das relações residuais cíveis, a Lei Geral de Proteção de Dados Pessoais (LGPD), que transita entre os dois mundos, deixou de abarcar, de forma direta, especificações acerca da responsabilidade civil em sua totalidade de relações, já que apenas pontuou em seu artigo 45 que na esfera consumerista as hipóteses permanecem sujeitas ao disposto no CDC.
Portanto, a LGPD não traduziu de maneira clara qual dos princípios citados acima deveria ser aplicado quando da ocorrência de uma lesão de direito atrelada ao tratamento irregular de dados fora da esfera consumerista.
Mesmo existindo uma seção dedicada exclusivamente à responsabilização, na qual são expostos os critérios para reparação de danos e as circunstâncias que caracterizam um tratamento irregular de dados pessoais, não se vislumbra ali a especificação do regime de responsabilidade civil.
Válido pontuar que no âmbito da Lei Geral de Proteção de Dados, a conduta ilícita estaria caracterizada, com consequente violação da lei, na hipótese em que o controlador ou operador que no tratamento de dados não observarem as premissas legais elencadas expressamente pela LGPD.
Uma vez que a própria legislação deixa espaço para entendimento divergentes, visões protecionistas já surgiram nas fundamentações condenatórias em desfavor das mais diversas empresas que, em demandas correlatas a alegação de vazamento de dados, acabavam por sofrer condenações em danos morais na forma presumida, isto, é sem a observação efetiva do resultado do suposto vazamento.
Fato é que, embora o tratamento de dados ineficiente que venha a gerar um eventual vazamento por uma empresa consista em uma falha inoportuna e que com toda certeza deve ser combatida, não é capaz, individualmente como ato, de gerar algum dano moral ao titular dos dados sem a efetiva comprovação de ocorrência do dano. Desta forma, em casos do tipo, o dano moral não poderia ser presumido, cabendo justamente ao titular dos dados comprovar não apenas o vazamento, mas que de fato tenha sofrido o suposto dano causado pela exposição de tais informações.
Este, inclusive, foi o entendimento recente e unânime da 2ª Turma do Superior Tribunal de Justiça, que reformou uma decisão proferida pelo Tribunal de Justiça de São Paulo, que havia condenado uma concessionária de distribuição de energia elétrica a indenizar, por dano moral, uma consumidora que teve seus dados pessoais vazados, independentemente da comprovação da ocorrência de dano efetivo. (AREsp 2.130.619).
Segundo entendimento do ministro Francisco Falcão, relator do recurso, os dados pessoais vazados foram aqueles que o consumidor usualmente fornece em qualquer tipo de cadastro, sendo, portanto, considerados dados simples, cuja divulgação indesejada, por si só, não seria o suficiente para caracterizar a violação a qualquer dos direitos decorrentes da personalidade.
O ministro salientou ainda que o artigo 5º, inciso II, da LGPD, apresenta um rol taxativo dos dados pessoais considerados sensíveis, os quais, segundo o artigo 11, exigem sim tratamento diferenciado. Entre esses dados estariam as informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização religiosa, assim como dados referentes à saúde sexual e outros de natureza íntima.
De acordo com o entendimento do Ministro, os dados vazados não deveriam ser classificados como sensíveis, e sim de natureza comum, somado ao fato de que não se restou comprovada a existência de um dano sofrido em decorrência do tratamento irregular de tais dados, o que, portanto, não justificaria a indenização.
Em que pese a decisão consistir em um entendimento inicial sobre a temática, nota-se que o posicionamento tem força para iniciar uma reflexão mais profunda acerca da inaplicabilidade da tese de presunção do dano moral em caso de vazamento de dados pessoais de qualquer natureza.
Nesse sentido, é válido destacar que com acerto se deu o entendimento do judiciário, tendo em vista que posiciona um início de formulação de entendimento jurisprudencial que tende a garantir maior segurança jurídica a outros entes envoltos no tratamento de dados, além de auxiliar na garantia da correta e justa resolução de problemáticas e divergências processuais desse nicho.
Disponível em: https://www.estadao.com.br/politica/blog-do-fausto-macedo/limitacao-da-responsabilidade-civil-na-lgpd-e-a-nao-presuncao-dos-danos-morais/
Autor: Lucas Rodrigues Lucas • email: lucas.lucas@ernestoborges.com.br