Arthur Guimarães
Uma vítima de vazamento de dados não se encontra em uma situação confortável perante a Justiça. Além de ter suas informações violadas, a pessoa terá de descobrir a origem do vazamento para identificar os responsáveis e obter alguma reparação se entender que o incidente decorreu de um ilícito. A situação é ainda mais custosa quando ela imagina haver um dano à sua esfera pessoal, afinal não há indicação sólida sobre como provar este dano.
Recentemente os ministros da 2ª Turma do Superior Tribunal de Justiça (STJ) decidiram que o vazamento de dados pessoais comuns, embora “indesejável”, não gera por si só dano moral indenizável. Ou seja, não se presume que houve uma ofensa pelo simples fato de ter havido um incidente. É preciso que o titular dos dados prove que foi lesado.
De acordo com a advogada Flaviana Rampazzo Soares, do Gerson Branco Advogados, a tendência que se depreende da decisão é a de tratar como dano moral presumido quando o caso envolver violação de dados pessoais sensíveis — sobre convicção religiosa ou referentes à saúde do titular, por exemplo — e exigir a comprovação em situações de vazamento de dados pessoais comuns (RG, CPF, data de nascimento, etc.).
O próprio voto do ministro Francisco Falcão traz essa distinção em: “Merece êxito o apelo especial no ponto em que defende não ser possível indenizar por dano moral o vazamento de dados informados corriqueiramente em diversas situações do dia a dia. (…) Diferente seria se, de fato, estivéssemos diante de vazamento de dados sensíveis, que dizem respeito à intimidade da pessoa natural”.
O obstáculo da prova sobre o dano decorrente do vazamento de dados
Não há, entretanto, critérios estabelecidos pelo STJ ou por instâncias inferiores de como uma pessoa pode provar que houve dano moral em função de um vazamento de dados. E se trata de uma prova difícil de ser produzida.
Para Soares, essa prova pode ser considerada quase “impossível” porque a vítima teria de investigar variáveis como o destino das informações vazadas, o tipo de tratamento que lhe foi dado, quantas pessoas tiveram acesso a elas e por quanto tempo foram utilizadas.
“A prova é uma questão bem complicada, complexa, difícil de ser feita porque você não sabe em que extensão essas informações foram replicadas e qual uso ela teve. Você vai acabar tendo que fazer um raciocínio hipotético. Pode ser que a minha informação seja utilizada para isso ou para aquilo.”
Marcelo Crespo, coordenador do curso de Direito da ESPM, compartilha da mesma preocupação. Segundo ele, não existem indicações na jurisprudência sobre o assunto e, como muitos dados já vazaram, é difícil para a vítima demonstrar quem se apropriou das informações, a partir de onde e para que finalidade.
“Eu tenho realmente dificuldade, olhando a jurisprudência e imaginando na prática, de pensar como se faria uma demonstração de que o vazamento trouxe o dano. Teria que ser a partir de indícios, como o uso indevido do nome” para fraudar o cartão de crédito ou conseguir um benefício do governo, mas, “se alguém conseguir demonstrar de qual base o criminoso pegou esses dados para fazer o uso, é porque conseguiu desmantelar a quadrilha, o que é bastante difícil.”
Impactos econômicos
Paulo Vidigal, sócio do escritório Prado Vidigal Advogados, reconhece que a prova de dano moral causado por vazamento de dados não é fácil. Apesar disso, entende ser melhor deixar isso a cargo do titular, pois uma configuração automática traria problemas às empresas.
O dano moral presumido, afirmou o advogado, “poderia trazer um desestímulo à economia de modo geral. Quando você é empresário, você pondera o risco da sua atividade e isso está muito ligado a uma eventual responsabilização”.
Para Vidigal, o resultado do julgamento da 2ª Turma do STJ caminha numa linha mais balanceada entre prestigiar o titular de dados, que é uma figura central da LGPD, mas também preservar a segurança jurídica para os agentes de tratamento, que realizam atividades que são essenciais na economia.
Bate cabeça
O “caos jurisprudencial”, como definiu Marcelo Crespo, não é encontrado somente nos tribunais estaduais. O STJ também proferiu decisões distintas. É o caso de um julgamento da 3ª Turma sobre compartilhamento indevido de informações pessoais.
Em 2019, os ministros daquele colegiado seguiram o entendimento de Nancy Andrighi de que o tratamento sem permissão do titular de dados configura a ocorrência de dano moral in re ipsa — quando não há necessidade provar que houve ofensa, apenas o ato ilícito.
A falta de harmonia entre as Turmas foi citada pela advogada Flaviana Rampazzo Soares em editorial da revista do Instituto Brasileiro de Estudos de Responsabilidade Civil (Iberc). Ao JOTA, ela resumiu da seguinte forma: “Nós estamos caminhando em um pântano”.
As decisões citadas nesta reportagem foram dadas nos REsp 1.758.799 e AREsp 2.130.619, respectivamente.
