É inegável que desde a entrada em vigor da Lei Geral de Proteção de Dados – LGPD o tratamento de dados pessoais de clientes de empresas prestadoras dos mais diversos segmentos tornou-se tópico sensível. Em razão das novas medidas aplicadas pela legislação, requereu-se a mudança dos procedimentos internos das pessoas jurídicas para dispor dos dados fornecidos a estas por quem consome seus serviços e produtos.
Nesse sentido, se não houver o devido cuidado com os referidos dados, a pessoa jurídica que, porventura, desrespeitar a proteção devida às informações, poderá ser obrigada a indenizar aquele, pessoa natural ou jurídica, que restar prejudicado em razão da violação do tratamento de seus dados.
Mas qual o limite da possibilidade de indenização em razão da disponibilização indevida de dados?
Apesar de não se tratar de tema pacificado – o que significa que a discussão não se encerra por aqui – recentemente, o Superior Tribunal de Justiça entendeu que ainda que ocorra o vazamento de dados, não é possível presumir que exista dano sofrido pela pessoa natural ou jurídica, sendo imprescindível que – dependendo de quais dados foram dispostos – haja comprovação do abalo sofrido em razão do vazamento.
No julgamento o AgREsp nº 2022/0152262-2¹, o Ministro Francisco Falcão, relator do caso, proferiu voto cujo entendimento restou vencedor por unanimidade na Corte, no sentido de que o vazamento de dados que será indubitavelmente indenizado é o referente ao Inciso II do Art, 5º da LGPD, ou seja, somente os dados pessoais sensíveis expressos em seu rol taxativo:
Art. 5º Para os fins desta Lei, considera-se:
(…)
II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
Dados de natureza comum, como, por exemplo, nome completo, registro geral, CPF, CNPJ, endereço e quaisquer dados que são fornecidos em cadastros do dia a dia, corriqueiramente e, portanto, não sigilosos, não deverão ser objeto de indenização automática.
A Corte reconhece que qualquer tipo de vazamento, independentemente de quais dados foram disponibilizados indevidamente, é falha indesejável, a qual toda e qualquer empresa que possui acesso a estes para a prestação de seus serviços deverá evitar. Entretanto, não há, necessariamente, existência de prejuízo causado a quem os forneceu pessoalmente.
Assim, para a obrigação de pagamento por danos morais em razão do vazamento desse tipo de dado corriqueiro, é necessário que o suposto prejudicado comprove, de forma inquestionável, os prejuízos causados.
É claro que, quaisquer dados além dos indicados, por exemplo, aqueles que dizem respeito à intimidade de pessoa natural, restarão indenizáveis de forma presumida, em observância aos dispositivos da LGPD.
O entendimento do Ministro Relator, que ensejou o Acórdão, cumpre a função do Judiciário de impor limites razoáveis à aplicação da Legislação, na medida em que não pune, automaticamente, o terceiro que dispôs dado de outrem que facilmente seria acessado e disponível publicamente se consultado por outra maneira.
1 Disponível para consulta em: https://processo.stj.jus.br/processo/pesquisa/?termo=2.130.619&aplicacao=processos.ea&tipoPesquisa=tipoPesquisaGenerica&chkordem=DESC&chkMorto=MORTO