Com a entrada em vigor da Lei 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD), existia um sentimento comum de que a LGPD desaguaria na judicialização e na consequente formação de uma “indústria do dano moral” em volta do tema, tal como aconteceu com a entrada em vigor do Código de Defesa do Consumidor na década de 90.
Passados quase dois anos da sua entrada em vigor, apesar de estamos observando o ajuizamento de ações que invocam a LGPD, a bem da verdade é que está muito aquém do que se projetava.
O Relatório produzido pelo Escritório Opice Blum[1], aponta que no ano de 2021 foram proferidas aproximadamente 465 decisões em todos os Tribunais pátrios que efetivamente trataram de matéria vinculada à LGPD.
Mas o que tem surpreendido, em grande medida, é que os Tribunais têm se mostrado bem cautelosos quanto a condenação ou não de indenização por danos morais com base na LGPD.
Muito se discute se a mera violação à algum preceito normativo da LGPD já faria por si só nascer o dever de indenizar, ou seja, independentemente da comprovação do efetivo dano suportado pela parte, o agente de tratamento deveria ressarcir pecuniariamente o Titular de dados, o chamado dano in re ipsa, como ocorre, por exemplo, nos casos de negativações indevidas em que a mera inscrição do nome da pessoa nos cadastros de proteção ao crédito já faz nascer o dever de indenizar, ainda que a pessoa não tenha experimentado qualquer prejuízo em razão desta conduta ilegal, como no caso de eventual negativa de crédito em razão do apontamento irregular.
Pois bem.
O art. 42 da LGPD traz em seu texto legal que “O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.”
Contudo, é imperioso observar se tal responsabilidade seria de caráter objetiva, bastando a mera comprovação da violação normativa para nascer o dever de indenizar (in re ipsa), ou se ela seria subjetiva, hipótese em que para além da comprovação da violação normativa a vítima deveria comprovar efetivamente ter suportado algum dano na sua esfera patrimonial ou extrapatrimonial.
Para exemplificar, quero trazer para pauta dois julgados do E. Tribunal de Justiça do Estado de São Paulo, um deles inclusive foi tema do meu último artigo.
No primeiro caso, um Titular de dados entrou com uma ação indenizatória em face de uma Companhia de Energia após tomar conhecimento que os seus dados tratados por aquela empresa teriam vazados e que desde então teria passado a receber inúmeros SMS’s, ligações e e-mails de empresas que jamais manteve qualquer relação. Apesar de ser incontroverso o incidente de segurança que culminou com o vazamento de dados do Titular e inúmeros outros clientes da referida empresa, o Tribunal entendeu que a mera violação (vazamento de dados) não ensejaria o dever de indenizar, vez que não teria restado comprovado nos autos que o Titular tenha experimentado qualquer prejuízo em razão do vazamento dos seus dados, vez que aqueles dados vazados seriam dados meramente cadastrais fornecidos facilmente em qualquer lugar, portanto, incabível qualquer indenização por danos morais[2], diferentemente se fossem dados sensíveis, o que ocorreu no nosso segundo exemplo abaixo citado.
No segundo caso, ao contrário do primeiro, uma gestante que havia acabado de sofrer um aborto espontâneo, teria sido abordada pelo aplicativo de mensageria por uma empresa ofertando os serviços de coleta, transporte, processamento e armazenamento de células tronco do sangue do cordão umbilical de bebês, contudo a Titular afirmou que em momento algum teria consentido com o tratamento de seus dados pessoais por aquela empresa. Neste caso, o Tribunal entendeu que o agente de tratamentos além de ter violado a LGPD, vez que tratou dados sensíveis sem o consentimento da Titular, também violou a sua esfera privada causando-lhe prejuízos de ordem moral[3], condenando o agente de tratamento ao pagamento de indenização aos danos morais causados à Titular.
Com isso, podemos observar que para a caracterização do dano moral os Tribunais têm apontado que a mera violação à LGPD, por si só, não trará consigo o dever de indenizar moralmente o Titular de dados, o que em meu ponto de vista se mostra um entendimento correto e adequado.
Contudo, importante consignar que ainda que eventualmente não caiba uma indenização por dano moral, isso não impede que o agente de tratamento seja condenado, por exemplo, em obrigação de fazer e/ou não fazer, em especial frente aqueles direitos previstos nos arts. 18 e seguintes da LGPD, bem como ainda que seja imposta multa administrativa no âmbito de atuação da ANPD, MP ou SENACON.
Caso seja vítima de alguma violação envolvendo seus dados pessoais, não deixe de entrar em contato, o nosso escritório está preparado para lhe prestar uma assessoria jurídica personalizada na intenção de defender os seus interesses.
[1] https://opiceblum.com.br/wp-content/uploads/2019/07/Relatorio_Anual_Jurimetria_28.01_versao_final.pdf
[2] Autos nº 1025226-41.2020.8.26.0405
[3] Autos nº 1041607-35.2021.8.26.0100