A Lei Geral de Proteção de Dados - LGPD (Lei nº 13.709, de 2018), em vigor desde 2020, protege e determina regras para o tratamento de dados pessoais relacionados à pessoa natural, tendo como principal objetivo proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade.
A LGPD foi criada para regular e promover práticas de proteção dos dados pessoais de toda pessoa natural que esteja no Brasil, de acordo com os parâmetros internacionais existentes, além de qualificar o Brasil para pleitear uma vaga na OCDE - Organização para a Cooperação e Desenvolvimento Econômico, cuja possibilidade de ingresso já está sendo analisada pela organização, mas depende do atendimento de diversas recomendações que estão sendo cumpridas pelo governo brasileiro, aos poucos, como a criação da LGPD e a autonomia da ANPD - a Autoridade Nacional de Proteção de Dados.
Conforme previsto na LGPD, dados pessoais são informações relacionadas a uma pessoa física identificada ou identificável, como: nome, email, CPF e data de nascimento. Já os dados sensíveis são aqueles relativos à origem racial, opinião política, religiosa, dados de saúde, dados genéticos, entre outros, e possuem maior proteção em razão de seu potencial discriminatório.
Pela primeira vez desde a vigência da LGPD, o STJ - Superior Tribunal de Justiça (Resp 2130619) abordou o tema vazamento de dados pessoais, que é um tipo de incidente de segurança relacionado aos dados pessoais. Nesse sentido, a decisão dispõe que o vazamento de dados pessoais, por si só, não gera indenização por danos morais. Para que haja indenização, é necessário que o titular de dados comprove dano decorrente do vazamento.
Trata-se de caso em que a titular de dados ajuizou ação pleiteando danos morais pelo vazamento de dados (nome completo; RG; gênero; data de nascimento; idade; telefone fixo; telefone celular e endereço, além de dados relativos ao contrato de fornecimento de energia elétrica) pela Concessionária de Energia Elétrica de São Paulo. Segundo a titular, tais dados foram posteriormente compartilhados para um número indeterminado de pessoas, o que a expôs a potencial perigo de fraude e importunação.
Os pedidos foram negados em primeira instância, sendo a ação julgada improcedente. No entanto, após recurso, o Tribunal de Justiça do Estado de São Paulo reformou a decisão e deu razão à titular condenando a empresa ao pagamento de R$5.000,00 (cinco mil reais) pela falha na prestação dos serviços e por se tratar de pessoa idosa, qualificação que não consta como dado pessoal sensível na lei.
O Superior Tribunal de Justiça, de maneira divergente, entendeu que para ser considerado um dado pessoal sensível e passível de maior proteção, o dado pessoal deve estar expressamente no rol de dados pessoais sensíveis elencados na LGPD. Além disso, para o STJ, o mero vazamento de dados pessoais comuns sem que haja comprovação de dano decorrente do vazamento não enseja a indenização por danos morais.
Apesar de não ser definitiva, essa decisão é importante para as empresas, já que traz um norte para futuras condenações que tratem de vazamentos de dados pessoais, delimitando a indenização por danos morais aos que forem efetivamente comprovados. Além disso, desincentiva o ajuizamento de ações requerendo indenização por danos morais apenas pela ocorrência dos vazamentos, já que é cada vez mais comum a ocorrência de incidentes de segurança deste tipo.
Ademais, a delimitação do rol de dados sensíveis aos tipos previstos na lei traz uma maior segurança jurídica para as empresas tanto para o tratamento de dados pessoais quanto para possíveis defesas em processos judiciais.
Destaca-se que apesar de ser cada vez mais comum o vazamento de dados pessoais e outros incidentes, as empresas devem se preocupar em construir um sistema de conformidade interno e externo para a adequação às regras previstas na LGPD, já que quanto mais a empresa estiver adequada à LGPD, menores chances de sancionamento mais severo em caso de incidentes de segurança relacionados aos dados pessoais tanto por parte do judiciário quanto pela ANPD, Senacon, Procons e outros órgãos.
*Ana Clara Chicrala é advogada especialista em Direito Digital e Compliance, com foco em Privacidade e Proteção de Dados, com experiência em Direito Empresarial, Regulatório e Administrativo Público e Privado