TJSP afasta dano moral por vazamento de dados pessoais

A 25ª Câmara de Direito Privado do Tribunal de Justiça de São Paulo (TJ-SP) modificou de maneira unânime a sentença inicialmente proferida pela 4ª Vara Cível de Limeira (SP), a qual havia condenado a seguradora Prudential ao pagamento de R$ 10 mil por danos morais pelo vazamento de dados pessoais de seu segurado. 

Após sofrer um ataque hacker à sua base de dados, o que é também compreendido como acesso não autorizado por terceiros, a seguradora informou aos titulares que tiveram seus dados pessoais afetados. Essa conduta está em conformidade com o artigo 48 da Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018), que estipula as situações em que é necessária a informação, não somente para a Autoridade Nacional de Proteção de Dados (ANPD), mas também para os titulares atingidos.

Ciente do vazamento envolvendo seus dados, o segurado ajuizou ação indenizatória contra a seguradora, alegando que teve ciência de que estelionatários estavam usando os dados pessoais para compras.

Após sentença de procedência que fixou R$ 10 mil por danos morais ao segurado, a seguradora recorreu ao Tribunal de Justiça de São Paulo, que reformou a sentença observando, essencialmente, o posicionamento do Superior Tribunal de Justiça (STJ)[1].

O TJSP, por sua vez, seguiu a linha de fundamentação do STJ e destacou que os dados pessoais envolvidos no incidente da seguradora não se configuram como dados pessoais sensíveis e, se não há dano comprovado, não é o caso de fixar danos morais em favor do segurado.

Além disso, há um importante ponto do acórdão que chama a atenção, pois o TJSP menciona que “a exposição de dados não se deu por ato da seguradora. A invasão, como tem acontecido amiúde, não é fruto da má organização das empresas ou entidades estatais.”

O acórdão se revela como um importante precedente para a LGPD no âmbito judicial e demonstra a importância da reflexão sobre alguns pontos:

- o TJSP, ao observar que não há dano moral comprovado, segue o correto posicionamento do STJ e minimiza a probabilidade da chamada “indústria do dano moral”;

- ficou comprovado no processo que o incidente não envolve dados pessoais sensíveis e que, portanto, o dano moral não seria presumido. Por isso, é importante refletir se a sua empresa teria condições de comprovar a dimensão do ataque hacker, bem como os dados que foram atingidos, para minimizar a probabilidade de uma condenação;

- a decisão evidencia a necessidade de as empresas estabelecerem não só mecanismos de segurança dos dados, mas também meios que os comprovem;

- assim como a anterior decisão do STJ, a decisão do TJSP ressalta a necessidade de cautela no tratamento de dados pessoais sensíveis, reforçando o princípio da necessidade e finalidade;

- independentemente de não haver condenação neste caso, é muito provável que a seguradora responda a outras ações indenizatórias, além de ser certa a possibilidade de responder a processo administrativo da ANPD.

A jurisprudência sobre a LGPD ainda é bastante escassa, o que serve como ponto de atenção para evitarmos possíveis passivos.

[1] Segundo o STJ, diante de incidente envolvendo dados pessoais, não é aplicável o dano moral presumido, especialmente quando não se trata de dado pessoal sensível. Veja a notícia publicada no site da ZNA em que comentamos que o STJ afasta o dano moral presumido em caso de vazamento de dados pessoais.