Desde a entrada em vigor da lei 13.709/2018, a Lei Geral de Proteção de Dados (LGPD), em setembro do ano passado, a discussão sobre a obrigação das empresas de garantir a segurança dos dados aos quais têm acesso se intensificou e ganhou os tribunais. Um questionamento, em especial, tem se destacado. O vazamento de informações gera direito a indenização por danos morais? Ou o titular dos dados precisa comprovar que resultaram danos dessa exposição?
As decisões judiciais sobre o tema, que ainda não alcançou as cortes superiores, têm orientações divididas. Enquanto algumas concedem a indenização levando em conta o fato de haver exposição dos dados, outras condicionam o pagamento de danos morais à vinculação entre o vazamento das informações e danos sofrido pelos autores das ações.
O vazamento de informações por si só não gera indenização. A disposição está na própria LGPD, que em seu artigo 42 estabelece que “o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo”.
O artigo 186 do Código Civil diz que ‘aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano, ainda que exclusivamente moral, comete ilícito’. A LGPD tem exatamente a mesma estrutura. A única coisa de novo é o dano moral coletivo.
Decisões opostas
Decisões recentes mostram que o entendimento não é pacífico. Em abril deste ano, o juiz Mario Sergio Leite, da 2ª Vara Cível da Comarca de Osasco (SP), decidiu no processo 1025226-41.2020.8.26.0405 negar indenização de R$ 10 mil a uma usuária da Eletropaulo cujos dados ficaram expostos, o que foi reconhecido pela empresa.
A autora da ação alegou que a situação “tirou seu sono, causando angústia e sentimento de tristeza”, uma vez que os dados vazados são irrecuperáveis e estão sujeitos a ser negociados para propaganda ou usados para possíveis golpes.
No entanto, para o juiz, embora fosse “inequívoco que a ré tem a obrigação de proteger os dados pessoais de seus clientes (…) para o surgimento do dever de indenizar, faz-se necessário aferir se tal vazamento de dados causou efetivamente à parte autora algum dano”.
Ainda de acordo com o magistrado, “a parte autora informa genericamente que sofreu abalos psicológicos pelo vazamento de seus dados, não havendo, todavia, demonstração alguma de que, após a invasão, tais dados foram utilizados de forma indevida” e, além disso, também “não demonstrou que eventuais e-mails indesejados e ligações de empresas tenham relação com o vazamento de dados, até porque, muito comum recebê-los sem o referido vazamento”.
Por outro lado, em 22 de junho os desembargadores da 26ª Câmara de Direito Privado do TJSP no processo 1003122-23.2020.8.26.0157. O caso envolvia um cliente que efetuou uma compra no site da empresa Sodimac. Horas depois, foi contatado por um desconhecido via WhatsApp, que o informou que seus dados estavam expostos na página eletrônica da empresa. Em sua defesa, a companhia alegou que adota diversos protocolos de segurança e que “pequenos problemas como esses” são rapidamente resolvidos.
Ainda assim, os desembargadores entenderam que “a divulgação de dados pessoais do autor em página eletrônica, acessível por terceiros, ainda que por curto período de tempo, é hábil a ensejar indenização por danos morais” e determinaram o pagamento de R$ 2 mil ao cliente.
Dano moral coletivo
Em de 23 de fevereiro, em resposta à apelação no processo 0418456-71.2013.8.19.0001, numa ação civil pública proposta pelo Ministério Público do Rio de Janeiro, as empresas Smarty Solutions, BV Financeira, Bracom e Grupo Líder foram condenadas a pagar R$ 500 mil por dano moral coletivo e R$ 1 mil por danos materiais e morais aos consumidores, individualmente considerados, devido a um vazamento de dados que deixou expostos por pelo menos três meses de informações dos clientes da BV Financeira.
Segundo os autos, “a Bracom, integrante do Grupo Líder, possuía os dados dos clientes da BV Financeira em função de seu papel mercadológico, já que a prestadora utiliza os serviços da financeira. Por outro lado, delegou a manutenção do banco de dados para a empresa Smarty Solutions”.
Para os julgadores, houve negligência da BV Financeira: “Não há como deixar de se constatar a culpa in eligendo, pela má escolha do preposto, que inobservou as cláusulas contratuais referentes ao sigilo, como também pela culpa in vigilando, pois o descaso como dever de cuidado sobre as funções delegadas a Smarty, é de tal ordem que a empresa BV só tomou conhecimento do vazamento do seu banco de dados meses depois.”
Diante deste cenário, a melhor forma das empresas se protegerem é adotar sempre as melhores práticas em segurança da informação. Neste sentido, se a empresa apresenta atuação objetiva seja na mitigação, seja com a preocupação da empresa com a proteção dos dados dos clientes isso será levado em conta pelas autoridades judiciária e administrativa.
Sanções administrativas
A LGPD é discutida em ações judiciais desde o ano passado, mas somente em 1º de agosto de 2021 passaram a valer as sanções administrativas para empresas que não se enquadrarem nas novas regras. As punições previstas na legislação vão de advertência a multa no valor de até 2% do faturamento da empresa, limitada a R$ 50 milhões.
Na esfera administrativa a situação é diferente da esfera judiciária, aplicando-se multa no caso de mero vazamento de dados.
A Autoridade Nacional de Proteção de Dados (ANPD), responsável por fiscalizar a aplicação da LGPD, divulgou que nos primeiros meses adotará o que chamou de uma postura responsiva, tentando mostrar quais medidas as empresas devem adotar para remediar o problema e, se o agente não cooperar, vai estabelecer um procedimento administrativo, ou aplicar sanção.
Portanto, o segmento empresarial precisa estar pronto para este novo desafio e as incertezas que o rodam apostando em metodologia, transparência, sistema e com ênfase numa analise jurídica preventiva do tema, a fim de mitigar riscos e usar isso como capital da empresa e diferencial num mercado tão competitivo e enfrentando uma enorme crise de perspectivas econômicas, como o do nosso País.
Por Luiz José de França, sócio de França Advogados Consultoria Juridica e Advocacia, membro associado do IBGC, da TMA BRASIL e da APET – SP, consultor juridico na área de LGPD e e tributos no segmento de varejo e atacado. Consultor da ASPA.