A empresa Concessionária de Energia Elétrica (CEE) teve se...

No Agravo em Recurso Especial 2.130.619/SP, a Segunda Turma entendeu, se pudermos extrair um único enunciado, que "incidentes de privacidade envolvendo dados pessoais não sensíveis não geram danos morais presumidos de forma automática".

O caso teve origem no evento de exposição indevida de dados (vazamento) relacionada à prestação dos serviços de energia elétrica da empresa Eletropaulo Metropolitana Eletricidade de São Paulo S/A - ENEL. Os dados que teriam sido comprometidos e que são mencionados na decisão são: nome completo; RG; ge^nero; data de nascimento; idade; telefone fixo; telefone celular e enderec¸o, ale'm de dados relativos ao contrato de fornecimento de energia ele'trica celebrado, como: carga instalada; consumo estimado; tipo de instalação e leitura de consumo.

Aqui, um primeiro ponto elogiável da decisão: a descrição dos dados pessoais envolvidos no episódio. Trabalhando com o tema diariamente ou mesmo em discussões acadêmicas, é possível dizer que toda avaliação de gravidade de um incidente (inclusive para fins de definição se é o caso ou não de comunicar autoridades e titulares, nos termos do art. 48 da LGPD) passa, entre outros fatores, pela análise precisa (i) dos dados envolvidos; (ii) das informações deles extraídas; e (iii) do contexto de tratamento destas informações. São premissas inafastáveis de qualquer Data Breach Impact Assessment assertivo e seguro para definição dos próximos passos e extração das lições aprendidas.

Em decorrência do evento, pretendeu o autor da ação (titular de dados afetados) a condenação daquela empresa à reparação por danos morais. Pretensão esta que foi julgada improcedente em primeira instância e revertida em sede de apelação pelo Tribunal de Justiça de São Paulo (TJSP), o qual condenou a empresa ao pagamento de danos morais no valor de R$ 5.000,00. Fundamentos? Considerou a existência de falha na prestação de serviço, a necessária preservação da privacidade dos dados, a aplicabilidade do Código de Defesa do Consumidor e a inversão da regra estática do ônus da prova.

Foi, então, interposto Recurso Especial e, na sequência, o Agravo que veio a ser apreciado pela Segunda Turma do STJ (Agravo no Recurso Especial 2.130.619/SP). Na decisão, entendeu a Corte, com acerto diga-se, que o incidente de privacidade não tem o condão de gerar dano moral indenizável de forma automática. O trecho pertinente da ementa - a qual também trabalha questões procedimentais, como prequestionamento - é o seguinte: "V - O vazamento de dados pessoais, a despeito de se tratar de falha indeseja'vel no tratamento de dados de pessoa natural por pessoa jurídica, não tem o condão, por si só, de gerar dano moral indenizável. Ou seja, o dano moral não é presumido, sendo necessário. que o titular dos dados comprove eventual dano decorrente da exposição dessas informações.".

https://www.migalhas.com.br/depeso/383463/stj-e-a-ausencia-de-dano-moral-in-re-ipsa-em-vazamentos-de-dados

concreto: um hacker invadiu o sistema informatizado da concessionária de energia elétrica e de lá copiou os dados pessoais de inúmeros consumidores. O hacker copiou os dados pessoais de Regina (nome completo, endereço, número do RG, data de nascimento, número de telefone) e os vendeu para uma empresa de marketing.

Regina ajuizou ação de indenização contra a concessionária sustentando a tese de que o vazamento de dados pessoais gera dano moral presumido.

O STJ não concordou com o argumento.

O art. 5º, II, da Lei 13.709/2018 (LGPD), prevê que determinados dados pessoais devem ser qualificados como “sensíveis”, exigindo exigir um tratamento diferenciado por parte de quem armazena essas informações. São aqueles relacionados com origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.

Os dados que a concessionária armazenava eram aqueles que se fornece em qualquer cadastro, inclusive nos sites consultados no dia a dia, não sendo, portanto, acobertados por sigilo. Não eram, portanto, dados pessoais sensíveis. O conhecimento desses dados “comuns” por terceiro em nada violaria o direito de personalidade da autora.

O vazamento de dados pessoais, a despeito de se tratar de falha indesejável no tratamento de dados de pessoa natural por pessoa jurídica, não tem o condão, por si só, de gerar dano moral indenizável.

Desse modo, não se trata de dano moral presumido, sendo necessário, para que haja indenização, que o titular dos dados comprove qual foi o dano decorrente da exposição dessas informações.

STJ. 2ª Turma. AREsp 2130619-SP, Rel. Min. Francisco Falcão, julgado em 7/3/2023 (Info 766).

CAVALCANTE, Márcio André Lopes. O vazamento de dados pessoais não gera dano moral presumido. Buscador Dizer o Direito, Manaus. Disponível em: <https://www.buscadordizerodireito.com.br/jurisprudencia/detalhes/3f2e2a6fcb760125f0947e81fd404f13>. Acesso em: 26/01/2024

LGPD: Vazamento de dados pessoais não gera dano moral presumido, decide STJ. A 2ª Turma do Superior Tribunal de Justiça (STJ) decidiu, por unanimidade, na semana passada, que o vazamento de dados pessoais comuns, definidos pela Lei Geral de Proteção de Dados (LGPD), não gera, por si só, indenização por danos morais

AGRAVO EM RECURSO ESPECIAL Nº 2.130.619 - SP (2022/0152262-2)

A

ou seja, vazou seus dados, se vira para comprovar que você é a vítima ...rs... ê Brasil. Responsabilidade nestes casos é quase impossível de ser cobrada (como a vítima comprovará que a empresa de telemarketing está importunando porque comprou seus dados vazados...?