A AB2L iniciou suas atividades em 2017 e, desde então, escreve os capítulos de uma história que tem muito para contar sobre o ecossistema de tecnologia jurídica.
Conheça nossas associadas.
Programas para educar o mercado, fomentar o ecossistema e participar ativamente do processo de regulamentação brasileiro entre direito e tecnologia.
Capítulos regionais/locais exclusivos para associados e grupos abertos ao público em geral.
Mais de 300 horas de conteúdo educacional focado no ecossistema jurídico e tecnológico.
Exclusivo para associados.
Texto original de Severino Goes, publicado pela CONJUR
O TJ-SP reconheceu a ocorrência de vazamento dos dados pessoais não sensíveis do autor da ação e condenou a ré a fornecer declaração completa que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, assim como a cópia exata de todos os dados referentes ao titular constantes em seus bancos de dados no prazo de 30 dias, sob pena de multa diária de R$500, inicialmente limitada em R$5.000.
No acórdão da 27ª Câmara de Direito Privado, o desembargador Alfredo Attié, relator do caso, nota que a respeito do regime de responsabilidade civil previsto na LGPD, não se trata mais, como antigamente, de aplicação das regras da responsabilidade subjetiva ou objetiva.
Segundo ele, deve-se levar em conta o “que a doutrina vem definindo como responsabilidade ativa ou proativa, hipótese em que, às empresas não é suficiente o cumprimento dos artigos da lei, mas será necessária a demonstração da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, a eficácia dessas medidas”.
O desembargador, no entanto, afastou condenação por danos morais. “O dano moral, ainda mais sob uma perspectiva constitucionalizada do Direito Civil, somente se configura quando houver lesão à dignidade humana e seus substratos: liberdade, igualdade, solidariedade e integridade psicofísica”, o que não ficou demonstrado na ação.
E completou: “os dados vazados, no caso, dizem respeito a informações essencialmente públicas ou de fácil acesso a terceiros, isto é, nome, CPF, data de nascimento e idade. Quanto aos números de telefone fixo e celular, bem como o endereço de e-mail, muito embora tais informações não sejam, em regra, de caráter público, também não revelam qualquer dado sensível ou que, por si só, possa comprometer a dignidade do autor, caso de conhecimento público”. “Eventual recebimento de mensagens ou incômodo, embora não mereça menosprezo, é fato que cabe ser imputado a seus causadores, e se for o caso de admitir-se qualquer reparo nesse sentido.”
A advogada Luiza Leite, com experiência em Direito Digital, com foco em proteção de dados e privacidade, analisou a decisão. “Na LGPD, a grande discussão, em termos de indenização do titular, gira em torno da definição de qual o tipo de responsabilidade deve ser aplicada pela lei: objetiva ou subjetiva. Ou seja, se é necessário comprovar o efetivo dano e/ou a conduta ilícita do agente para fins de responsabilização”, afirmou.
Nesse sentido, segundo ela, o que ocorre é a jurisprudência tentando suprir essa lacuna com posicionamentos que defendem ambos os lados. Com isso, o cenário acaba sendo de insegurança jurídica, uma vez que os tribunais têm proferido decisões tanto no sentido de reconhecer o dano moral presumido (proveniente da responsabilização objetiva) quanto exigindo a comprovação efetiva do abalo moral sofrido (responsabilização subjetiva).
No caso do acórdão do TJ paulista, segundo a especialista, foi seguido o segundo posicionamento. “Uma das preocupações com esse tipo de decisão é sobre as empresas deixarem de se atentar aos cuidados com a proteção de dados, visto que o simples vazamento de dados não gera o dever de indenizar. Contudo, o relator levanta um ponto interessante que de certa forma ameniza essa preocupação: a ideia de responsabilidade proativa. Ou seja, a empresa deve comprovar que adotou medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, a eficácia dessas medidas”, salienta.
Além disso nota que outro ponto de atenção na decisão refere-se à diferenciação entre os tipos de dados pessoais. Um dos argumentos levantados pelo relator do caso é de que a configuração do dano moral presumido se daria com base na natureza dos dados violados, cabendo apenas quando se tratar de dados pessoais sensíveis. “Contudo, a LGPD não faz esta distinção para fins de responsabilização no artigo 42 da lei. O tratamento ilícito tanto de dados pessoais sensíveis quanto dados pessoais ‘comuns’ é passível de responsabilização e indenização”, sustenta a especialista.
Na opinião dela, para que as empresas se resguardem de ambos os posicionamentos, é recomendado que adotem medidas de compliance com a LGPD. “Ter uma boa política de gestão de incidentes é essencial para mitigar os danos causados. Da mesma forma que servem como precaução para evitar possíveis incidentes e se configuram como atenuantes. Assim como, investir em plataformas de gestão de riscos e direito dos titulares, gera eficiência e resguarda as empresas de possíveis litígios”, diz.
Clique aqui para ler o acórdão
Apelação Cível 1008308-35.2020.8.26.0704
Nossas novidades direto em sua caixa de entrada.