Não cabe indenização por vazamento de dados comuns, decide STJ
A 2ª Turma do Superior Tribunal de Justiça (STJ) decidiu, por unanimidade, na semana passada, que o vazamento de dados pessoais comuns, definidos pela Lei Geral de Proteção de Dados (LGPD), não gera, por si só, indenização por danos morais. Essa foi a primeira manifestação da Corte sobre o assunto.
Os ministros julgaram o caso de uma cliente da concessionária de energia Enel São Paulo, a qual pediu reparação pelo vazamento e compartilhamento indevido de seus dados pessoais. Entre eles, ela menciona nome completo, RG, data de nascimento e telefone, além de dados contratuais.
A mulher pediu uma indenização de R$ 15 mil, negada inicialmente pelo juízo de primeira instância. A sentença, contudo, foi reformada no Tribunal de Justiça do Estado de São Paulo (TJSP), em grau de recurso, onde os desembargadores da 27ª Câmara de Direito Privado acolheram os argumentos da cliente.
Para os magistrados, o caso é de “plena aplicação” do Código de Defesa do Consumidor (CDC). Eles consideraram que houve falha na prestação de serviço, já que era dever da empresa adotar mecanismos de segurança, e condenaram a Enel ao pagamento de R$ 5 mil a título de danos morais.
Os desembargadores destacaram o fato de os dados vazados serem sensíveis e de que a mulher é pessoa idosa, “e, por sua vulnerabilidade,” ser “mais suscetível a eventual golpe”.
A decisão não agradou à companhia elétrica, que levou o caso para o STJ. A empresa sustentou que o julgamento não poderia ter se fundamentado exclusivamente na legislação consumerista, mas, também e principalmente, na LGPD, que é a lei de regência da matéria.
A Enel acrescentou que o vazamento ocorreu por ação de terceiro e que o TJSP se equivocou ao enquadrar os dados vazados como sensíveis, “uma vez que estes seriam básicos de qualificação de qualquer pessoa, muitos dos quais fornecidos corriqueiramente pelos indivíduos nas mais variadas e simples operações diárias da vida civil”.
Em seu voto, o ministro Francisco Falcão, relator da ação no STJ, disse que dados de natureza comum, de cunho pessoal e que não considerem a intimidade do titular, não podem ser classificados como sensíveis e declarou que a LGPD traz um “rol taxativo daquilo que seriam dados pessoais sensíveis”.
Segundo o ministro, as informações vazadas são fornecidas em qualquer cadastro, como em sites consultados no dia a dia, não sendo protegidas por sigilo. Por esse mesmo motivo, o acesso por terceiros não violaria o direito a personalidade do titular.
“O vazamento de dados pessoais, a despeito de se tratar de falha indesejável no tratamento de dados de pessoa natural por pessoa jurídica, não tem o condão, por si só, de gerar dano moral indenizável. Ou seja, o dano moral não é presumido, sendo necessário que o titular dos dados comprove eventual dano decorrente da exposição dessas informações.”
Como a 2ª Turma entendeu que não houve prova efetiva do dano, ela restabeleceu a decisão da sentença de primeiro grau, que negava o pedido de indenização. Ainda cabe recurso.
A questão é discutida no AREsp nº 2130619/SP.
