STJ nega danos morais por vazamento de dados

A 2ª Turma do Superior Tribunal de Justiça (STJ) proferiu uma decisão, em 07/03/2023, sob a relatoria do ministro Francisco Falcão, registrando que "o vazamento de dados pessoais, a despeito de se tratar de falha indesejável no tratamento de dados de pessoa natural por pessoa jurídica, não tem o condão, por si só, de gerar dano moral indenizável. Ou seja, o dano moral não é presumido, sendo necessário que o titular dos dados comprove eventual dano decorrente da exposição dessas informações".

Trata-se de um caso ajuizado contra a Eletropaulo, através do qual a Consumidora alegou ter sofrido danos morais devido ao vazamento e compartilhamento de dados pessoais como nome completo, RG, idade, telefones fixo e celular e endereço. Segundo ela, os dados foram acessados no sistema da Eletropaulo e, depois, vendidos a um grande número de pessoas sem relação comercial entre as partes, o que a expôs a perigo de fraude.

Em primeira instância, o pedido foi julgado improcedente, mas o Tribunal de Justiça do Estado de São Paulo (TJSP) reformou a decisão primária e condenou a Eletropaulo a indenizar a Consumidora em R$ 5 mil, por dano moral, por força dos seus dados pessoais vazados.

Para tanto, o TJSP considerou que houve falha na prestação de serviços em razão do vazamento de dados reservados, que deveriam ter a privacidade garantida, aplicando o Código de Defesa do Consumidor (CDC).

Assim, a Eletropaulo recorreu ao STJ sustentando que, no caso concreto, a condenação não poderia ter se fundamentado exclusivamente na legislação consumerista, mas haveria de ser considerado, também, a Lei Geral de Proteção de Dados Pessoais (LGPD).

A empresa alegou que o vazamento teria resultado da ação de terceiro, estranho à relação firmada com a consumidora, bem como que o TJSP teria se equivocado ao enquadrar os dados vazados como sensíveis (aqueles listados no artigo 5º, inciso II, da LGPD), já que as informações vazadas seriam básicas, inclusive fornecidas regularmente.

Por isso, a Eletropaulo defendeu que o vazamento de dados não sensíveis não poderia, por si só, causar lesão à esfera íntima da consumidora, de forma a justificar o pagamento de indenização por danos morais.

Nesse sentido, o ministro relator entendeu que, de fato, aqueles dados vazados não poderiam ser enquadrados como dados sensíveis, especialmente porque, segundo ele, o rol do artigo, 5º, inciso II, é taxativo. Assim, a decisão registrou que "os dados objeto da lide são aqueles que se fornece em qualquer cadastro, inclusive nos sites consultados no dia a dia, não sendo, portanto, acobertados por sigilo, e o conhecimento por terceiro em nada violaria o direito de personalidade da recorrida".

Portanto, a 2ª Turma decidiu não ser possível indenizar por dano moral o vazamento de dados informados corriqueiramente em diversas situações do dia-a-dia, fundamentando que "o vazamento de dados pessoais, a despeito de se tratar de falha indesejável no tratamento de dados de pessoa natural por pessoa jurídica, não tem o condão, por si só, de gerar dano moral indenizável".

Com efeito, entendeu o STJ que o dano moral não é presumido, sendo indispensável que o titular dos dados comprove eventual dano decorrente da exposição dessas informações, ressalvando, todavia, que diferente seria se, de fato, houvesse vazamento de dados sensíveis, que dizem respeito à intimidade da pessoa natural.

Assim, para se ter a obrigação de pagar uma indenização por dano moral em razão de vazamento de dados pessoais não sensíveis, é fundamental que o titular comprove o efetivo dano experimentado.

A equipe do CM Advogados fica à disposição para esclarecimentos.