Acórdão do TJ-SP abre discussão sobre aplicação de indenizações pela LGPD

Publicado em
Acórdão do TJ-SP abre discussão sobre aplicação de indenizações pela LGPD

Texto original de Severino Goes, publicado pela CONJUR

O TJ-SP reconheceu a ocorrência de vazamento dos dados pessoais não sensíveis do autor da ação e condenou a ré a fornecer declaração completa que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, assim como a cópia exata de todos os dados referentes ao titular constantes em seus bancos de dados no prazo de 30 dias, sob pena de multa diária de R$500, inicialmente limitada em R$5.000.

No acórdão da 27ª Câmara de Direito Privado, o desembargador Alfredo Attié, relator do caso, nota que a respeito do regime de responsabilidade civil previsto na LGPD, não se trata mais, como antigamente, de aplicação das regras da responsabilidade subjetiva ou objetiva.

Segundo ele, deve-se levar em conta o “que a doutrina vem definindo como responsabilidade ativa ou proativa, hipótese em que, às empresas não é suficiente o cumprimento dos artigos da lei, mas será necessária a demonstração da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, a eficácia dessas medidas”.

O desembargador, no entanto, afastou condenação por danos morais. “O dano moral, ainda mais sob uma perspectiva constitucionalizada do Direito Civil, somente se configura quando houver lesão à dignidade humana e seus substratos: liberdade, igualdade, solidariedade e integridade psicofísica”, o que não ficou demonstrado na ação.

E completou: “os dados vazados, no caso, dizem respeito a informações essencialmente públicas ou de fácil acesso a terceiros, isto é, nome, CPF, data de nascimento e idade. Quanto aos números de telefone fixo e celular, bem como o endereço de e-mail, muito embora tais informações não sejam, em regra, de caráter público, também não revelam qualquer dado sensível ou que, por si só, possa comprometer a dignidade do autor, caso de conhecimento público”. “Eventual recebimento de mensagens ou incômodo, embora não mereça menosprezo, é fato que cabe ser imputado a seus causadores, e se for o caso de admitir-se qualquer reparo nesse sentido.”

A advogada Luiza Leite, com experiência em Direito Digital, com foco em proteção de dados e privacidade, analisou a decisão. “Na LGPD, a grande discussão, em termos de indenização do titular, gira em torno da definição de qual o tipo de responsabilidade deve ser aplicada pela lei: objetiva ou subjetiva. Ou seja, se é necessário comprovar o efetivo dano e/ou a conduta ilícita do agente para fins de responsabilização”, afirmou.

Nesse sentido, segundo ela, o que ocorre é a jurisprudência tentando suprir essa lacuna com posicionamentos que defendem ambos os lados. Com isso, o cenário acaba sendo de insegurança jurídica, uma vez que os tribunais têm proferido decisões tanto no sentido de reconhecer o dano moral presumido (proveniente da responsabilização objetiva) quanto exigindo a comprovação efetiva do abalo moral sofrido (responsabilização subjetiva).

No caso do acórdão do TJ paulista, segundo a especialista, foi seguido o segundo posicionamento. “Uma das preocupações com esse tipo de decisão é sobre as empresas deixarem de se atentar aos cuidados com a proteção de dados, visto que o simples vazamento de dados não gera o dever de indenizar. Contudo, o relator levanta um ponto interessante que de certa forma ameniza essa preocupação: a ideia de responsabilidade proativa. Ou seja, a empresa deve comprovar que adotou medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, a eficácia dessas medidas”, salienta.

Além disso nota que outro ponto de atenção na decisão refere-se à diferenciação entre os tipos de dados pessoais. Um dos argumentos levantados pelo relator do caso é de que a configuração do dano moral presumido se daria com base na natureza dos dados violados, cabendo apenas quando se tratar de dados pessoais sensíveis. “Contudo, a LGPD não faz esta distinção para fins de responsabilização no artigo 42 da lei. O tratamento ilícito tanto de dados pessoais sensíveis quanto dados pessoais ‘comuns’ é passível de responsabilização e indenização”, sustenta a especialista.

Na opinião dela, para que as empresas se resguardem de ambos os posicionamentos, é recomendado que adotem medidas de compliance com a LGPD. “Ter uma boa política de gestão de incidentes é essencial para mitigar os danos causados. Da mesma forma que servem como precaução para evitar possíveis incidentes e se configuram como atenuantes. Assim como, investir em plataformas de gestão de riscos e direito dos titulares, gera eficiência e resguarda as empresas de possíveis litígios”, diz.

Clique aqui para ler o acórdão
Apelação Cível 1008308-35.2020.8.26.0704

COMPARTILHAR
VEJA TAMBÉM
Todo carnaval tem seu fim

Todo carnaval tem seu fim

A falta de liquidez no mundo das startups e o início das disputas societárias.
Mark Zuckerberg mostra protótipos de óculos para realidade virtual: ‘Vão criar experiências fantásticas’

Mark Zuckerberg mostra protótipos de óculos para realidade virtual: 'Vão criar experiências fantásticas'

Segundo o presidente da Meta, controladora do Facebook, óculos têm como objetivo tornar o metaverso tão realista quanto o mundo físico.
Os funcionários que terão semana de 4 dias com salário integral

Os funcionários que terão semana de 4 dias com salário integral

Milhares de trabalhadores do Reino Unido e 70 empresas participam a partir do dia 6 de junho, de um experimento que vai durar quatro semanas.
Startup ESG Incentiv.me lança ferramenta de governança e transparência

Startup ESG Incentiv.me lança ferramenta de governança e transparência

Batizada de Monitore, solução permite que empresas acompanhem projetos sociais investidos por meio de impostos e verba direta
EMPRESAS ALIADAS

Receba nossa Newsletter

Nossas novidades direto em sua caixa de entrada.