Qual é a responsabilidade civil dos agentes incumbidos do tratamento de dados pessoais?

A Lei Geral de Proteção de Dados Pessoais (“LGPD”) dispõe que:

(i) os agentes incumbidos do tratamento de dados pessoais têm a obrigação de adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e, caso não adotem um padrão mínimo razoável de proteção, serão responsabilizados pelos danos patrimoniais e morais que vierem a causar, salvo nas hipóteses em que o dano decorre de culpa exclusiva do titular ou de terceiros; e que

(ii) são diferentes as responsabilidades do controlador e do operador.

O art. 44 da LGPD dispõe que tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:

(i) o modo pelo qual o tratamento é realizado;

(ii) o resultado e os riscos que razoavelmente dele se esperam; e,

(iii) as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.

Portanto, é relevante analisar, em cada caso concreto, o que causou o vazamento de dados, e verificar se os agentes de tratamento adotaram um padrão mínimo para impedir que ocorresse.

Os fundamentos da proteção de dados pessoais, nos termos da LGPD, são: o respeito à privacidade, a autodeterminação informativa, a inviolabilidade da intimidade, da honra e da imagem, a defesa do consumidor, os direitos humanos, o livre desenvolvimento da personalidade e a dignidade.

Nesse contexto, é pertinente a análise de como tem sido o posicionamento do Tribunal de Justiça de São Paulo (“TJSP”), refletidas em duas recentes decisões que afastaram a responsabilidade do controlador e operador de dados pessoais por alegados danos causados por suposto vazamento de dados pessoais:

• Processo nº 1080233-94.2019.8.26.0100

O contexto: O requerente moveu a ação em face de uma construtora afirmando que as partes teriam firmado um contrato para aquisição de unidade autônoma de empreendimento imobiliário de responsabilidade da requerida. Esta, contudo, teria compartilhado dados do requerente com empresas estranhas à relação contratual, o que lhe teria causado dano de natureza extrapatrimonial, pois passou a receber contatos de instituições financeiras, consórcios, empresas de arquitetura e de fornecimento de mobiliário. Assim, requereu a condenação da requerida à obrigação de não fazer, bem como ao pagamento de indenização por dano moral.

A requerida apresentou como impeditivos do direito do Requerente os seguintes fundamentos: a) ausência de sua responsabilidade; b) falta de prova do fato alegado pelo autor como constitutivo de seu direito; c) inexistência de nexo causal; e, d) não caracterização de dano moral.

Em 1ª instância, decidiu-se que a responsabilidade da requerida é objetiva, nos termos do CDC e da LGPD, e que era irrelevante se a construtora possuía mecanismos eficazes para a proteção de dados.

Porém, o TJSP reverteu a decisão, sob o entendimento de que:

(i) a LGPD só é aplicável ao caso concreto a partir da sua vigência plena; como se sabe, os dispositivos referentes à responsabilidade civil dos agentes de tratamento entraram em vigor 24 meses após a data de publicação da LGPD, ou seja, a vigência plena ocorreu apenas em 14/08/2020;

(ii) é necessária prova inequívoca de que a empresa repassou os dados pessoais; a construtora reforçou a falta de provas que indicasse o mau uso dos dados de seus clientes e afirmou que tem feito diversos programas para ampliar as políticas de proteção de dados e se adequar às exigências da LGPD; entre as ações adotadas, a construtora mencionou a criação de um comitê interno de privacidade, a contratação de especialistas voltados exclusivamente para a gestão da proteção dos dados e treinamentos de funcionários, parceiros e corretoras sobre as novas regras da LGPD;

(iii) o simples encaminhamento de mensagens genéricas (por exemplo, convites para eventos ou apresentação de serviços) não configura dano moral, tratando-se de mero dissabor.

• Processo nº1025180-52.2020.8.26.0405

A consumidora moveu ação de indenização por dano moral em face de empresa fornecedora de energia elétrica, fundada na suposta apropriação, por terceiros, de dados pessoais da consumidora, extraídos dos cadastros da concessionária de energia.

O pedido foi julgado improcedente, uma vez que não se demonstrou que a empresa deixou de adotar medida de segurança recomendada pela ciência ou determinada pela ANPD (Autoridade Nacional de Proteção de Dados Pessoais), de modo a ter dado causa a que terceiros tivessem acesso àqueles dados.

A decisão ressaltou a natureza dos dados que foram vazados indevidamente: nome; número de inscrição junto ao CPF; telefones fixo e celular; endereço eletrônico; carga instalada no imóvel e consumo estimado, tipo de instalação, leitura e endereço residencial. E afirmou que tais dados não são acobertados por mínimo sigilo. Asseverou, ainda, que “o conhecimento por terceiro em nada macularia qualquer direito da personalidade da parte autora“. Ou seja, os dados vazados não constituíam dados pessoais sensíveis e nem se relacionavam à intimidade, de modo que o pedido indenizatório foi negado.

A consumidora recorreu da sentença, mas o TJSP manteve o posicionamento da 1ª instância, no mesmo sentido do primeiro acórdão ora comentado. Os fundamentos: (i) foi comprovado que os sistemas envolvidos no incidente eram efetivamente seguros e cumpriam as determinações legais da LGPD; logo, é possível fixar a culpa de terceiro para desconstituir o nexo de causalidade; e, (ii) o simples encaminhamento de mensagens genéricas não configura dano moral e é entendido como mero aborrecimento, pois sequer existe, principalmente nos dias de hoje, pessoa que não receba ligação de telemarketing com oferecimento de produtos e serviços que não foram solicitados.

Foi apontado, também, que não há vedação ao compartilhamento de informações acerca do consumidor, desde que este seja previamente informado sobre quem está armazenando seus dados pessoais e haja transparência do objetivo do tratamento desses dados.

Portanto, o posicionamento no Tribunal de Justiça de São Paulo, com base nos dois acórdãos ora citados, vai no sentido de que, ainda que ocorra vazamento de dados pessoais, o titular dos dados deve comprovar o prejuízo, uma vez que o recebimento de ligações, propagandas via e-mail e mensagens indesejadas não é, por si só, suficiente para configurar dano moral, tratando-se de mero aborrecimento. Ademais, há que ficar demonstrado que os agentes de tratamento não adotaram o padrão mínimo para evitar que o vazamento dos dados pessoais ocorresse.

É essencial que as empresas sejam transparentes e informem aos titulares dos dados pessoais, de forma clara e objetiva, por meio de políticas de privacidade ou no momento da coleta, quais são os dados pessoais coletados, como é feita a coleta e onde esses dados serão armazenados, o tempo de armazenamento e se haverá o uso compartilhado desses dados com parceiros comerciais, bem como indiquem a figura do encarregado, cuja competência é intermediar a comunicação entre os titulares dos dados e os agentes de tratamento, bem como entre estas e o órgão de controle externo. Com isso, se mantém valiosa a assessoria para o mapeamento, adequação e gestão dos dados pessoais das atividades das empresas, por força do relacionamento trabalhista, consumerista, contratual, entre outros.