Notícias e artigos do mundo do Direito: a rotina da Polícia, Ministério Público e Tribunais

LGPD e a construção de jurisprudência relacionada a vazamento de dados pessoais


Por Ana Clara Chicrala
Ana Clara Chicrala. Foto: Arquivo pessoal

A Lei Geral de Proteção de Dados - LGPD (Lei nº 13.709, de 2018), em vigor desde 2020, protege e determina regras para o tratamento de dados pessoais relacionados à pessoa natural, tendo como principal objetivo proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade.

A LGPD foi criada para regular e promover práticas de proteção dos dados pessoais de toda pessoa natural que esteja no Brasil, de acordo com os parâmetros internacionais existentes, além de qualificar o Brasil para pleitear uma vaga na OCDE - Organização para a Cooperação e Desenvolvimento Econômico, cuja possibilidade de ingresso já está sendo analisada pela organização, mas depende do atendimento de diversas recomendações que estão sendo cumpridas pelo governo brasileiro, aos poucos, como a criação da LGPD e a autonomia da ANPD - a Autoridade Nacional de Proteção de Dados.

continua após a publicidade

Conforme previsto na LGPD, dados pessoais são informações relacionadas a uma pessoa física identificada ou identificável, como: nome, email, CPF e data de nascimento. Já os dados sensíveis são aqueles relativos à origem racial, opinião política, religiosa, dados de saúde, dados genéticos, entre outros, e possuem maior proteção em razão de seu potencial discriminatório.

Pela primeira vez desde a vigência da LGPD, o STJ - Superior Tribunal de Justiça (Resp 2130619) abordou o tema vazamento de dados pessoais, que é um tipo de incidente de segurança relacionado aos dados pessoais. Nesse sentido, a decisão dispõe que o vazamento de dados pessoais, por si só, não gera indenização por danos morais. Para que haja indenização, é necessário que o titular de dados comprove dano decorrente do vazamento.

Trata-se de caso em que a titular de dados ajuizou ação pleiteando danos morais pelo vazamento de dados (nome completo; RG; gênero; data de nascimento; idade; telefone fixo; telefone celular e endereço, além de dados relativos ao contrato de fornecimento de energia elétrica) pela Concessionária de Energia Elétrica de São Paulo. Segundo a titular, tais dados foram posteriormente compartilhados para um número indeterminado de pessoas, o que a expôs a potencial perigo de fraude e importunação.

continua após a publicidade

Os pedidos foram negados em primeira instância, sendo a ação julgada improcedente. No entanto, após recurso, o Tribunal de Justiça do Estado de São Paulo reformou a decisão e deu razão à titular condenando a empresa ao pagamento de R$5.000,00 (cinco mil reais) pela falha na prestação dos serviços e por se tratar de pessoa idosa, qualificação que não consta como dado pessoal sensível na lei.

O Superior Tribunal de Justiça, de maneira divergente, entendeu que para ser considerado um dado pessoal sensível e passível de maior proteção, o dado pessoal deve estar expressamente no rol de dados pessoais sensíveis elencados na LGPD. Além disso, para o STJ, o mero vazamento de dados pessoais comuns sem que haja comprovação de dano decorrente do vazamento não enseja a indenização por danos morais.

Apesar de não ser definitiva, essa decisão é importante para as empresas, já que traz um norte para futuras condenações que tratem de vazamentos de dados pessoais, delimitando a indenização por danos morais aos que forem efetivamente comprovados. Além disso, desincentiva o ajuizamento de ações requerendo indenização por danos morais apenas pela ocorrência dos vazamentos, já que é cada vez mais comum a ocorrência de incidentes de segurança deste tipo.

continua após a publicidade

Ademais, a delimitação do rol de dados sensíveis aos tipos previstos na lei traz uma maior segurança jurídica para as empresas tanto para o tratamento de dados pessoais quanto para possíveis defesas em processos judiciais.

Destaca-se que apesar de ser cada vez mais comum o vazamento de dados pessoais e outros incidentes, as empresas devem se preocupar em construir um sistema de conformidade interno e externo para a adequação às regras previstas na LGPD, já que quanto mais a empresa estiver adequada à LGPD, menores chances de sancionamento mais severo em caso de incidentes de segurança relacionados aos dados pessoais tanto por parte do judiciário quanto pela ANPD, Senacon, Procons e outros órgãos.

*Ana Clara Chicrala é advogada especialista em Direito Digital e Compliance, com foco em Privacidade e Proteção de Dados, com experiência em Direito Empresarial, Regulatório e Administrativo Público e Privado

Ana Clara Chicrala. Foto: Arquivo pessoal

A Lei Geral de Proteção de Dados - LGPD (Lei nº 13.709, de 2018), em vigor desde 2020, protege e determina regras para o tratamento de dados pessoais relacionados à pessoa natural, tendo como principal objetivo proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade.

A LGPD foi criada para regular e promover práticas de proteção dos dados pessoais de toda pessoa natural que esteja no Brasil, de acordo com os parâmetros internacionais existentes, além de qualificar o Brasil para pleitear uma vaga na OCDE - Organização para a Cooperação e Desenvolvimento Econômico, cuja possibilidade de ingresso já está sendo analisada pela organização, mas depende do atendimento de diversas recomendações que estão sendo cumpridas pelo governo brasileiro, aos poucos, como a criação da LGPD e a autonomia da ANPD - a Autoridade Nacional de Proteção de Dados.

Conforme previsto na LGPD, dados pessoais são informações relacionadas a uma pessoa física identificada ou identificável, como: nome, email, CPF e data de nascimento. Já os dados sensíveis são aqueles relativos à origem racial, opinião política, religiosa, dados de saúde, dados genéticos, entre outros, e possuem maior proteção em razão de seu potencial discriminatório.

Pela primeira vez desde a vigência da LGPD, o STJ - Superior Tribunal de Justiça (Resp 2130619) abordou o tema vazamento de dados pessoais, que é um tipo de incidente de segurança relacionado aos dados pessoais. Nesse sentido, a decisão dispõe que o vazamento de dados pessoais, por si só, não gera indenização por danos morais. Para que haja indenização, é necessário que o titular de dados comprove dano decorrente do vazamento.

Trata-se de caso em que a titular de dados ajuizou ação pleiteando danos morais pelo vazamento de dados (nome completo; RG; gênero; data de nascimento; idade; telefone fixo; telefone celular e endereço, além de dados relativos ao contrato de fornecimento de energia elétrica) pela Concessionária de Energia Elétrica de São Paulo. Segundo a titular, tais dados foram posteriormente compartilhados para um número indeterminado de pessoas, o que a expôs a potencial perigo de fraude e importunação.

Os pedidos foram negados em primeira instância, sendo a ação julgada improcedente. No entanto, após recurso, o Tribunal de Justiça do Estado de São Paulo reformou a decisão e deu razão à titular condenando a empresa ao pagamento de R$5.000,00 (cinco mil reais) pela falha na prestação dos serviços e por se tratar de pessoa idosa, qualificação que não consta como dado pessoal sensível na lei.

O Superior Tribunal de Justiça, de maneira divergente, entendeu que para ser considerado um dado pessoal sensível e passível de maior proteção, o dado pessoal deve estar expressamente no rol de dados pessoais sensíveis elencados na LGPD. Além disso, para o STJ, o mero vazamento de dados pessoais comuns sem que haja comprovação de dano decorrente do vazamento não enseja a indenização por danos morais.

Apesar de não ser definitiva, essa decisão é importante para as empresas, já que traz um norte para futuras condenações que tratem de vazamentos de dados pessoais, delimitando a indenização por danos morais aos que forem efetivamente comprovados. Além disso, desincentiva o ajuizamento de ações requerendo indenização por danos morais apenas pela ocorrência dos vazamentos, já que é cada vez mais comum a ocorrência de incidentes de segurança deste tipo.

Ademais, a delimitação do rol de dados sensíveis aos tipos previstos na lei traz uma maior segurança jurídica para as empresas tanto para o tratamento de dados pessoais quanto para possíveis defesas em processos judiciais.

Destaca-se que apesar de ser cada vez mais comum o vazamento de dados pessoais e outros incidentes, as empresas devem se preocupar em construir um sistema de conformidade interno e externo para a adequação às regras previstas na LGPD, já que quanto mais a empresa estiver adequada à LGPD, menores chances de sancionamento mais severo em caso de incidentes de segurança relacionados aos dados pessoais tanto por parte do judiciário quanto pela ANPD, Senacon, Procons e outros órgãos.

*Ana Clara Chicrala é advogada especialista em Direito Digital e Compliance, com foco em Privacidade e Proteção de Dados, com experiência em Direito Empresarial, Regulatório e Administrativo Público e Privado

Ana Clara Chicrala. Foto: Arquivo pessoal

A Lei Geral de Proteção de Dados - LGPD (Lei nº 13.709, de 2018), em vigor desde 2020, protege e determina regras para o tratamento de dados pessoais relacionados à pessoa natural, tendo como principal objetivo proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade.

A LGPD foi criada para regular e promover práticas de proteção dos dados pessoais de toda pessoa natural que esteja no Brasil, de acordo com os parâmetros internacionais existentes, além de qualificar o Brasil para pleitear uma vaga na OCDE - Organização para a Cooperação e Desenvolvimento Econômico, cuja possibilidade de ingresso já está sendo analisada pela organização, mas depende do atendimento de diversas recomendações que estão sendo cumpridas pelo governo brasileiro, aos poucos, como a criação da LGPD e a autonomia da ANPD - a Autoridade Nacional de Proteção de Dados.

Conforme previsto na LGPD, dados pessoais são informações relacionadas a uma pessoa física identificada ou identificável, como: nome, email, CPF e data de nascimento. Já os dados sensíveis são aqueles relativos à origem racial, opinião política, religiosa, dados de saúde, dados genéticos, entre outros, e possuem maior proteção em razão de seu potencial discriminatório.

Pela primeira vez desde a vigência da LGPD, o STJ - Superior Tribunal de Justiça (Resp 2130619) abordou o tema vazamento de dados pessoais, que é um tipo de incidente de segurança relacionado aos dados pessoais. Nesse sentido, a decisão dispõe que o vazamento de dados pessoais, por si só, não gera indenização por danos morais. Para que haja indenização, é necessário que o titular de dados comprove dano decorrente do vazamento.

Trata-se de caso em que a titular de dados ajuizou ação pleiteando danos morais pelo vazamento de dados (nome completo; RG; gênero; data de nascimento; idade; telefone fixo; telefone celular e endereço, além de dados relativos ao contrato de fornecimento de energia elétrica) pela Concessionária de Energia Elétrica de São Paulo. Segundo a titular, tais dados foram posteriormente compartilhados para um número indeterminado de pessoas, o que a expôs a potencial perigo de fraude e importunação.

Os pedidos foram negados em primeira instância, sendo a ação julgada improcedente. No entanto, após recurso, o Tribunal de Justiça do Estado de São Paulo reformou a decisão e deu razão à titular condenando a empresa ao pagamento de R$5.000,00 (cinco mil reais) pela falha na prestação dos serviços e por se tratar de pessoa idosa, qualificação que não consta como dado pessoal sensível na lei.

O Superior Tribunal de Justiça, de maneira divergente, entendeu que para ser considerado um dado pessoal sensível e passível de maior proteção, o dado pessoal deve estar expressamente no rol de dados pessoais sensíveis elencados na LGPD. Além disso, para o STJ, o mero vazamento de dados pessoais comuns sem que haja comprovação de dano decorrente do vazamento não enseja a indenização por danos morais.

Apesar de não ser definitiva, essa decisão é importante para as empresas, já que traz um norte para futuras condenações que tratem de vazamentos de dados pessoais, delimitando a indenização por danos morais aos que forem efetivamente comprovados. Além disso, desincentiva o ajuizamento de ações requerendo indenização por danos morais apenas pela ocorrência dos vazamentos, já que é cada vez mais comum a ocorrência de incidentes de segurança deste tipo.

Ademais, a delimitação do rol de dados sensíveis aos tipos previstos na lei traz uma maior segurança jurídica para as empresas tanto para o tratamento de dados pessoais quanto para possíveis defesas em processos judiciais.

Destaca-se que apesar de ser cada vez mais comum o vazamento de dados pessoais e outros incidentes, as empresas devem se preocupar em construir um sistema de conformidade interno e externo para a adequação às regras previstas na LGPD, já que quanto mais a empresa estiver adequada à LGPD, menores chances de sancionamento mais severo em caso de incidentes de segurança relacionados aos dados pessoais tanto por parte do judiciário quanto pela ANPD, Senacon, Procons e outros órgãos.

*Ana Clara Chicrala é advogada especialista em Direito Digital e Compliance, com foco em Privacidade e Proteção de Dados, com experiência em Direito Empresarial, Regulatório e Administrativo Público e Privado

Atualizamos nossa política de cookies

Ao utilizar nossos serviços, você aceita a política de monitoramento de cookies.