Vazamento de Dados Pessoais gera dano moral?
A Lei nº 13.709/2018, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD) trouxe todo um regramento para o tratamentos de dados pessoais.
A finalidade dessa lei é basicamente proteger a privacidade de pessoas físicas, obrigando empresas e profissionais liberais a observarem suas regras e respeitarem os procedimentos em lei.
O vazamento de dados pessoais é algo que merece muita atenção, pois pode ser objeto de penalidades administrativas e processos judiciais e, a depender do caso, condenação por dano moral.
Inicialmente, vamos esclarecer alguns pontos importantes na Lei nº 13.709/2018 (LGPD).
Quais são os dados pessoais sigilosos?
São os chamados dados sensíveis pela lei.
De acordo com o art. 5º, II, da LGPD, dado pessoal sensível é o dado pessoal sobre:
-origem racial ou étnica
-convicção religiosa
-opinião política
-filiação a sindicato ou a organização de caráter religioso, filosófico ou político
-dado referente à saúde ou à vida sexual
-dado genético ou biométrico
Esses dados sensíveis, conforme explicado, são sigilosos. Além de dependerem de um consentimento expresso do titular na coleta, exige-se que sua utilização pela empresa ou órgão seja feita para um determinado fim.
Observa-se que os dados sensíveis são dados confidenciais e possuem um tratamento diferenciado pela lei.
Dessa forma, o vazamento de dados sensíveis pela empresa, em regra, enseja em uma responsabilização por dano moral.
Destaca-se que nesse caso específico de vazamento de dados sensíveis, o dano moral é presumido (dano moral in re ipsa). Isso significa que, na prática, o titular dos dados sensíveis não precisa comprovar nenhum prejuízo decorrente do vazamento.
O simples fato (vazamento / divulgação de dado sensível) autoriza a condenação por dano moral. Entretanto, é necessário comprovar a ocorrência do vazamento ou a divulgação de tais dados.
E se o vazamento de dados ocorreu por uma falha na segurança?
Tratando-se de dados pessoais sensíveis, em regra, os Tribunais entendem que a empresa responde por essa falha. Trata-se da responsabilidade pelo fato do serviço.
Na maioria dos casos em que há coleta de dados sensíveis, estamos diante de uma relação de consumo e, por conta disso, aplica-se o regramento do Código de Defesa do Consumidor.
E quando há um vazamento de dados, ainda que por conta de um ataque hacker, a referida situação não vai impedir, via de regra, na reparação por dano moral.
Isso porque estamos diante de uma responsabilidade objetiva da empresa (responsabilidade pelo fato do serviço), em que a empresa responde independentemente da existência de culpa pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços (artigo 14 do CDC).
Podemos comentar um julgado pelo Tribunal de Justiça do Estado de São Paulo/SP que condenou uma seguradora ao pagamento de R$ 15.000,00 (quinze mil reais) em danos morais por conta de vazamento de dados sensíveis.
No caso concreto, foi reconhecida a falha na prestação do serviço. Ou seja, a empresa não cumpriu com o seu dever de zelar pela segurança e integridade dos dados pessoais dos seus clientes. Cuida-se, pois, de responsabilidade por fato do serviço, sujeita ao regramento do artigo 14 do CDC.
Existe alguma situação que a lei autoriza a obtenção de dados sensíveis sem autorização do titular?
A lei excepciona as seguintes situações em que será possível a obtenção de dados sensíveis sem consentimento do(a) titular:
-Quando a informação for indispensável em situações relacionadas a uma obrigação legal;
-Políticas públicas;
-Estudos via órgão de pesquisa;
-Exercício regular de direitos;
-Preservação da vida e da integridade física de uma pessoa;
-Tutela de procedimentos feitos por profissionais das áreas da saúde ou sanitária;
-Prevenção de fraudes contra o(a) titular.
E os outros dados pessoais (como CPF, endereço, telefone, data de nascimento, renda, nome dos pais)?
Tais dados não são sigilosos.
Esses dados não estão previstos na lei como dados sensíveis, e, portanto, não recebem um tratamento tão rigoroso.
No nosso cotidiano, esses dados são compartilhados pelos próprios consumidores nas relações comerciais.
Assim, a própria lei dispensa a exigência de consentimento no fornecimento desses dados, quando já se tornaram públicos pelo próprio titular. Veja o que diz a lei abaixo.
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I - mediante o fornecimento de consentimento pelo titular; (...)
§ 4º É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei”. (g. n.)
O vazamento desses dados pessoais (CPF, por exemplo) ensejam condenação por dano moral?
O Superior Tribunal de Justiça entendeu em um caso de vazamento de dados pessoais pela concessionária de energia elétrica que “O vazamento de dados pessoais, a despeito de se tratar de falha indesejável no tratamento de dados de pessoa natural por pessoa jurídica, não tem o condão, por si só, de gerar dano moral indenizável” (AREsp 2130619 / SP).
Aqui o tratamento é diferente, porque dados como CPF, apesar de serem dados pessoais, não são íntimos, não estão na categoria restrita de dados sensíveis.
Isso não significa que nunca haverá condenação por dano moral, mas apenas que o consumidor deverá comprovar o prejuízo sofrido, ou seja, deverá demonstrar que sofreu um dano por conta do vazamento das informações.
Perceba que, nesse caso em tela, não se trata de dano moral presumido, devendo ser comprovado (diferentemente do que ocorre com a divulgação do dado sensível).
01/07/2023
Ficou com alguma dúvida?