O dano moral presumido (in re ipsa), ou seja, inerente ao próprio fato, é aplicado e reconhecido pela jurisprudência do Superior Tribunal de Justiça (STJ) em várias situações que abrangem relações de consumo no Brasil, como nos casos que envolvem:

  • dano moral pela contaminação de alimento com corpo estranho;[1]
  • uso indevido de marca;[2]
  • inscrição indevida em cadastro de inadimplentes;[3]
  • recusa do plano de saúde em autorizar tratamento médico emergencial;[4]
  • comercialização de dados pessoais em banco de dados.[5]

Com relação ao último tema, a 3ª Turma do STJ, em 12 de novembro de 2019, no julgamento do Recurso Especial 1.758.799 (REsp 1.758.799), relatado pela ministra Nancy Andrighi, definiu que a disponibilização ou a comercialização de dados pessoais de consumidor constantes em banco de dados, sem o conhecimento do seu titular, ainda que não se enquadrem no conceito de dados sensíveis ou sigilosos, configura hipótese de dano moral in re ipsa.

Apesar disso, a 2ª Turma da Corte Superior, no recente julgamento do Agravo em Recurso Especial 2130619/SP (AREsp 2130619/SP), ocorrido em 7 de março de 2023 e relatado pelo ministro Francisco Falcão, firmou entendimento que, embora o vazamento e compartilhamento de dados pessoais do consumidor não seja um ato desejável, esse evento não tem força, por si só, para caracterizar o dano moral presumido, cabendo ao titular dos dados comprovar o dano causado com a exposição de informações.

Sustentou-se no recurso especial que o acórdão proferido pelo Tribunal de Justiça de São Paulo (TJSP) – segundo o qual o simples vazamento de dados reservados seria suficiente para caracterizar a falha na prestação de serviços e danos morais presumidos ao consumidor – teria violado os artigos 42, 43, II e III, 46 e 48 da Lei Geral de Proteção de Dados (LGPD) e o artigo 14, §3º, do Código de Defesa do Consumidor (CDC), que trata da responsabilidade objetiva dos fornecedores.

De acordo com o entendimento unânime do STJ, os dados de natureza comum, pessoais e não íntimos, passíveis apenas de identificação da pessoa natural, não devem ser classificados, nos termos da LGPD, como sensíveis. Com isso, em caso de mero vazamento e/ou compartilhamento de dados pessoais do consumidor, a caracterização de dano moral presumido estaria afastada.

Ao conhecer o AREsp para admitir em parte o REsp e dar provimento a essa parte, o STJ adentrou nos conceitos de “dado pessoal” e “dado pessoal sensível” previstos nos incisos I e II do artigo 5º da LGPD. A Corte reconheceu que a norma prevista no inciso II desse artigo traz “um rol taxativo daquilo que seriam dados pessoais sensíveis e, por ostentarem essa condição, exigem tratamento diferenciado, conforme previsão no art. 11 da mesma LGPD”.

Dessa forma, concluiu que o vazamento de dados sensíveis, por estarem relacionados à intimidade da pessoa natural, configura o dano moral in re ipsa. Diante disso, diferentemente do que concluiu o TJSP, os dados pessoais vazados não seriam dados sensíveis, por não se enquadrarem no rol taxativo (e não exemplificativo) da norma.

Apesar de, no caso concreto, os teores dos artigos 42, 43, II e III, 46 e 48 da LGPD e do artigo 14, §3º, do CDC não terem sido analisados pelo STJ – pois para o ministro relator não houve prequestionamento dos dispositivos –, é preciso lembrar que o caput do artigo 42 da LGPD dispõe que “o controlador ou operador que, em razão do exercício da atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo”.

Nesse contexto, os agentes de tratamento só não serão responsabilizados quando provarem que não realizaram qualquer tratamento de dados, não houve violação à legislação de proteção de dados ou que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro, conforme previsão dos artigos 43, 46 e 48 da LGPD.

O artigo 42, §2º, da LGPD permite que o magistrado, a seu juízo, inverta o ônus da prova a favor do titular dos dados nas hipóteses em que houver:

  • verossimilhança de suas alegações;
  • hipossuficiência para fins de produção de prova; ou
  • quando a produção de prova pelo titular se tornar excessivamente onerosa.

A produção de provas sobre eventuais prejuízos sofridos por consumidores em casos de vazamento e/ou compartilhamento de dados, porém, não é uma questão simples, seja pela dificuldade de acesso às informações, pela rapidez e agilidade com que as informações transitam na internet ou pela falta de transparência e de facilidade de rastreamento dos meios de compartilhamento de dados na internet.

Decisões do TJSP e STJ sobre o tema geram questionamentos

Ao que tudo indica, a recente decisão do STJ tem potencial para criar um grande debate sobre a definição do conceito de privacidade, intimidade e proteção de dados pessoais sensíveis dos consumidores, devido à grande quantidade de interesses e direitos tutelados em nome da privacidade dos dados pessoais.

A fórmula clássica de ver a privacidade e a intimidade – “the right to be let alone[6] – não mais se adapta à realidade atual, considerando a exponencial evolução tecnológica.

Da leitura das decisões proferidas pelo TJSP e pelo STJ, inevitavelmente, surgem alguns questionamentos:

  • É possível afirmar que o rol de dados pessoais sensíveis previsto na LGPD é taxativo e não exemplificativo?
  • Todas as hipóteses previstas na LGPD são suficientes para garantir a defesa dos dados pessoais sensíveis dos cidadãos brasileiros?
  • Há diferentes níveis de danos a depender da natureza dos dados vazados?
  • É possível afirmar que todas as pessoas que tiverem dados pessoais identificáveis vazados por falha de segurança de um fornecedor responsável por tratar dados pessoais, no contexto de uma relação consumerista, não sofrem danos morais presumidos?
  • Pessoas/figuras públicas devem ser tratadas de forma distinta?

Outro questionamento pertinente está relacionado à possível aplicação, por analogia, da responsabilidade civil objetiva e da configuração do dano presumido em casos de vazamento de dados pessoais pelos bancos de dados de proteção ao crédito e cadastro de dados de consumidores. A solidariedade entre os bancos de dados e os fornecedores, nesse caso, é garantida pelo parágrafo único do artigo 7º do CDC e artigo 16 da Lei do Cadastro Positivo (12.414/11).

Ainda não há respostas definitivas a todos os questionamentos, até porque esse entendimento recente é uma das primeiras oportunidades que o STJ teve de discutir parte da matéria que envolve direitos consumeristas e garantias com base na LGPD – que entrou em vigor em setembro de 2020. Provavelmente ocorrerão mais análises em outras oportunidades.

Desde a entrada em vigor da LGPD – que garante, como um de seus princípios fundamentais, a segurança e prevenção de dados pessoais (artigos 6º, incisos VII e VIII, 42, 43, 44, 45 e 46 da LGPD) –, havia (e ainda há) um temor das empresas quanto à aplicação de sanções civis, administrativas e penais referentes à atividade de coleta, armazenamento, utilização e transmissão de dados pessoais.

Apesar de o entendimento do STJ não ter sido firmado sob a sistemática dos recursos repetitivos, ao que parece, o resultado do julgamento tem a capacidade de garantir, ainda que temporariamente, maior segurança às empresas que realizam tratamento de dados, ao evitar a instalação da conhecida indústria do dano moral.

 

[1] STJ, REsp 1.899.304/SP, rel. min. Nancy Andrighi, j. 30 de novembro de 2021.

[2] STJ, REsp 1.507.920/PR, rel. min. Maria Isabel Gallotti, j. 20 de novembro de 2019.

[3] STJ, AgRg no AREsp 821839/SP, rel. min. Antonio Carlos Ferreira, j. 26 de abril de 2016.

[4] STJ, REsp 1.839.506/RS, rel. min. Ricardo Villas Bôas Cueva, j. 26 de outubro de 2020.

[5] STJ, REsp 1.758.799/MG, rel. min. Nancy Andrighi, j. 12 de novembro de 2019.

[6] BENJAMIN, Antonio Herman; Marques, Claudia Lima; BESSA, Leonardo. Manual de Direito do Consumidor, 8ª Ed., Revista dos Tribunais, Thomson Reuters, 2017.