STJ decide que vazamento de dados de consumidor só enseja indenização se comprovado o dano efetivo
Em 17 de março deste ano, Superior Tribunal de Justiça analisou um caso de indenização por vazamento de dados pessoais por empresa concessionária de energia elétrica. Ao julgar o Agravo em RESP nº 2.130.619 /SP, os ministros entenderam que não basta o mero vazamento de dados para ensejar o direito a indenização por dano moral ao consumidor, é necessário que haja a comprovação de um efetivo dano causado em decorrência desse vazamento.
Dentre os principais argumentos trazidos pelo relator, Ministro Francisco Falcão, destaca-se a necessidade de comprovação do dano moral em casos de vazamento de dados pessoais comuns e sensíveis. O acórdão estabelece que o vazamento de dados pessoais, por si só, não é suficiente para gerar dano moral indenizável. É necessário que o titular dos dados comprove eventual dano decorrente da exposição dessas informações.
Outro ponto relevante diz respeito à natureza dos dados vazados aptos a configurar o dano moral. Os chamados dados pessoais sensíveis são aqueles que dizem respeito à intimidade da pessoa natural e estão previstos no artigo 5º, inciso II, da LGPD, dentre os quais se pode destacar: origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização religiosa, assim como dados referentes à saúde sexual e outros de natureza íntima.
Já os dados de natureza comum, são informações que não permitem a identificação direta ou indireta de uma pessoa física específica. Esses dados podem ser usados para descrever características genéricas de um grupo de pessoas, como idade, gênero, profissão, região geográfica e preferências de consumo.
No caso em questão, a Concessionária ré não cuidou da privacidade dos seguintes dados da parte autora: data de nascimento, números de CPF e RG, gênero, endereço, números de telefones, celular, endereço, carga instalada, consumo estimado, tipo de instalação e leitura. Para o STJ, tais informações não seriam consideradas sensíveis já que se destinam apenas a identificar a pessoa natural e não identificam dados de caráter íntimo. Tampouco a parte autora demonstrou efetivamente os danos causados pelo vazamento das informações. Portanto, ficaria afastada a possiblidade de indenização por dano moral em decorrência da publicidade indevida desses dados.
Diante desse posicionamento recente na corte superior, fica claro a importância da adoção de medidas de segurança adequadas para proteger os dados pessoais dos clientes e consumidores, conforme previsto na Lei Geral de Proteção de Dados (LGPD), independentemente da sua natureza. Isso inclui a implementação de políticas claras e transparentes sobre o tratamento dos dados pessoais e informar os clientes sobre como seus dados serão utilizados e quais as medidas técnicas e organizacionais adotadas para garantir a segurança dessas informações, bem como para estabelecer uma relação de confiança entre as empresas e seus consumidores.
Ainda que os dados sejam considerados menos sensíveis do que os dados pessoais propriamente ditos, eles ainda assim devem ser protegidos pelas empresas e organizações que os coletam e tratam. A LGPD estabelece regras claras para o uso desses dados, incluindo a necessidade de obter o consentimento dos titulares dos dados antes de coletá-los e de garantir a segurança e privacidade dessas informações durante todo o processo de tratamento.