A LGPD NA JURISPRUDÊNCIA

Depois da expectativa que girou em torno da publicação e início da vigência da Lei Geral de Proteção de Dados (LGPD), seguida pela criação da Autoridade Nacional de Proteção de Dados (ANPD), muito se especulou (e ainda se especula) sobre o volume de ações judiciais e entendimentos jurisprudenciais envolvendo o tema, em especial sobre indenizações em caso de vazamento de dados.

Por enquanto o volume de ações é tímido e as decisões divergem (inclusive de forma antagônica). Temia-se a ocorrência de muitas condenações em ações pedindo indenização por danos morais por conta de vazamento de dados, mas o que se percebe é uma divisão de entendimentos, havendo várias decisões que entendem que o simples vazamento dos dados, sem efetivo dano, não gera o dever de indenizar. Exemplificativamente, o TJSP assim já se posicionou: “Ausência de provas, todavia, de violação à dignidade humana da autora e seus substratos, isto é, liberdade, igualdade, solidariedade e integridade psicofísica. Autora que não demonstrou, a partir do exame do caso concreto, que, da violação a seus dados pessoais, houve a ocorrência de danos morais. Dados que não são sensíveis e são de fácil acesso a qualquer pessoa” (Apelação Cível 1000794-59.2021.8.26.0554).

No TJPR há 2 acórdãos tratando da LGPD. Um refere-se a ação de consumidor requerendo indenização por receber muitas ligações de telemarketing e a exclusão de seu número de telefone dos cadastros publicitários. A indenização não foi concedida porque o Tribunal afirmou que “simples solicitação de cancelamento de envio de mensagens não atendida por operadora de telefonia, sem prova maior de violação a direitos de personalidade do indivíduo, não conduz, necessariamente, à ideia de dano moral”, mas foi dada a ordem para a exclusão do telefone do autor da base de dados do réu com base na LGPD, considerando que o autor não era cliente do réu (autos 0003876-53.2021.8.16.0018).

No outro processo do ementário da Corte paranaense, o réu foi condenado a pagar R$ 5 mil (mais 15% sobre esse valor a título de honorários de sucumbência) porque utilizou os dados pessoais do autor “em detrimento à finalidade específica, explícita e informada ao seu titular” por ter exigido a abertura de empresa individual para a contratação de serviço de internet para uso residencial “sem a prestação de informação adequada e clara sobre as finalidades bem como os riscos de tal operação”.

No TJRS há também 2 julgados. Um deles, no qual um condômino pretendia a suspensão de coleta de imagens por câmeras de segurança no condomínio (porque estava recebendo multas devido a imagens captadas pelas câmeras), foi afastada a aplicação da LGPD porque “O condomínio é ente jurídico sui generis, sem fins societários, associativos ou econômicos, constituído por pessoas naturais na condição de coproprietários; e a ele não se aplicam as restrições daquela Lei”. 

O outro processo é criminal. O juiz deferiu pedido formulado pela autoridade policial para a utilização de dois aparelhos de telefone celular apreendidos no auto de prisão em flagrante e o Tribunal reverteu a decisão porque “embora telefones celulares sejam bens tangíveis, os dados pessoais e sensíveis contidos neles são intangíveis” e a autorização de acesso a terceiros afronta diversos princípios da LGPD.

O Tribunal de Santa Catarina julgou improcedentes 2 recursos de ações que pediam indenização por danos morais em razão do vazamento e comercialização de dados pessoais pelo Serasa por meio dos serviços denominados ´Lista online´ e ´Prospecção de clientes´". O fundamento que negou provimento aos recursos foi de inexistência de “elementos robustos e convincentes de exploração e vazamento dos dados pessoais do apelante, tampouco da difusão de dados bancários ou de informações sigilosas, tais como senhas”. 

Alegou ainda o Tribunal que dados intrinsecamente ligados a informações disponibilizadas para a prática dos mais variados atos da vida civil (nome, endereço, telefone, CPF, RG, sexo) não se enquadram na categoria de informações sensíveis e completa: “ainda que tenha havido falha da segurança do sistema da ré, ou até mesmo comercialização de informações, é incabível a responsabilização civil por dano futuro/hipotético, porquanto o instituto da responsabilidade civil pressupõe a efetiva lesão ao bem juridicamente tutelado, gerada por ação ou omissão contrária à lei, e, no caso, não há demonstração do dano sofrido pelo recorrente”.

O que se observa da jurisprudência nacional é que o mero vazamento de dados pode não ser suficiente, por si só, para gerar indenização, ainda que se trate de dados sensíveis. Chegaram ao STJ 2 processos de situação fática muito semelhantes (ação de estelionatários em estabelecimento hospitalar), envolvendo dados sensíveis (prontuário médico) mas com resultado diverso nos Tribunais de origem.

 Em um caso julgado pelo TJSP, a autora da ação estava no hospital com a mãe (também autora), internada para tratamento. Ela recebeu uma ligação no quarto do hospital alegando a necessidade de depósito em dinheiro para realização de procedimento médico necessário ao restabelecimento da saúde de sua mãe porque o plano de saúde não teria autorizado o procedimento com a brevidade necessária. Feito o depósito, a autora descobriu ter sido vítima de um golpe. 

Os julgadores do TJSP reconheceram que realmente houve falha do hospital no dever de manter sigilo do prontuário da paciente, mas entenderam que o dano só ocorreu porque a autora realizou o depósito “sem ao menos consultar acerca do ocorrido o hospital onde se encontrava”, ou seja, “não foi a falha quanto à guarda dos dados da paciente que causou danos às autoras, mas a manifesta falta de cuidado da promovente”. Em outros termos, mesmo com a reconhecida falha do hospital na guarda do sigilo do prontuário, para o TJSP houve culpa exclusiva da vítima e a indenização não pode ser concedida a título meramente punitivo.

Solução diametralmente oposta veio do TJMG em caso praticamente idêntico: acompanhante de paciente recebe ligação de estelionatário fazendo-se passar por médico e alegando necessidade de pagamento de procedimento médico de urgência. Como o estelionatário teve acesso a dados que deveriam ser protegidos pelo hospital (número do quarto da paciente, exames que se faziam necessários,...), o hospital foi responsabilizado. Nessa demanda a condenação (R$ 6.000,00 por danos morais) foi fundamentada no Código de Defesa do Consumidor, mas o acórdão citou a LGPD, que na época ainda não estava vigente.

O Centro de Direito, Internet e Sociedade (CEDIS-IDP) do Instituto Brasileiro de Ensino, Desenvolvimento e Pesquisa (IDP) e o Jusbrasil realizaram um estudo sobre decisões judiciais envolvendo a LGPD no primeiro ano de vigência de lei (disponível em https://www.jusbrasil.com.br/static/pages/lgpd-nos-tribunais.html) que apresentou as seguintes estatísticas e conclusões:

a) A maior parte das decisões trata do capítulo I da LGPD (Disposições Preliminares), com grande menção aos fundamentos (art. 2º), conceitos (art. 5º) e princípios (art. 7º);

b) as decisões referem-se a diversas áreas e tratam de temas variados, indo muito além das discussões sobre danos morais, como poderia ser eventualmente esperado;

c) muitas decisões citam a LGPD apenas como um reforço a alguma outra norma, como o Código de Defesa do Consumidor ou o Marco Civil da Internet;

d) Não foi possível identificar uma tendência única em relação à caracterização de dano in re ipsa (dano presumido) em casos envolvendo incidentes de segurança de dados pessoais. Nas hipóteses em que os titulares pleitearam danos morais em razão de vazamento ou uso indevido de dados pessoais, a jurisprudência dividiu-se. Algumas decisões seguiram o entendimento de que o incidente de segurança gera presunção de danos morais, enquanto outras compreenderam ser necessária a demonstração de prejuízo para a configuração de danos morais decorrente de vazamento ou uso indevido de dados pessoais.

O estudo ressalta que os Tribunais ainda não se posicionaram a respeito de importantes temas e não é possível identificar uma orientação jurisprudencial consolidada, apenas alguns indícios de tendências que estão sendo construídas.