Desde a entrada em vigor da Lei Geral de Proteção de Dados (LGPD) em setembro de 2020, a discussão sobre a responsabilidade das empresas em garantir a segurança dos dados pessoais aos quais têm acesso tem sido intensa. Com a chegada dos casos de violação à LGPD aos tribunais, era aguardada uma decisão das Cortes Superiores a respeito da possibilidade de caracterização do dano moral por incidentes de segurança que envolvessem vazamento de dados pessoais na categoria de dano moral presumido (in re ipsa).

O Superior Tribunal de Justiça (STJ) julgou Agravo em Recurso Especial decorrente de ação de indenização ajuizada por consumidora contra a concessionária de energia elétrica Eletropaulo Metropolitana Eletricidade de São Paulo S/A em função do vazamento de dados pessoais, na qual a consumidora pleiteava dano moral presumido pelo fato de seus dados terem sido acessado por terceiros não autorizados. Em decisão proferida em 07 de março de 2023, o STJ rejeitou essa pretensão da consumidora.

De acordo com o Relator Ministro Franciso Falcão, o vazamento de dados pessoais não sensíveis, conforme definição constante no artigo 5º, II da LGPD, não tem o condão de acarretar necessariamente dano moral indenizável, cabendo a quem alega tal dano comprovar o prejuízo decorrente do acesso de terceiros aos dados não sensíveis do titular requerente. Esse entendimento prevaleceu de forma unânime na 2ª Turma julgadora, que acompanharam o voto do relator nesse quesito.

Os casos de vazamento de dados pessoais são notícias frequentes na mídia e representam uma situação na qual os titulares de dados pessoais têm seus dados expostos a terceiros não autorizados, muitas vezes incluindo dados sensíveis. De acordo com a pesquisa “Painel LGPD nos Tribunais”, realizada pelo IDP em parceria com o Jusbrasil, os casos relacionados à incidentes de segurança no tratamento de dados pessoais representam a maioria dos problemas levados aos tribunais brasileiros nos 2 primeiros anos de vigência da lei, evidenciando a importância da adequação das organizações às normas de proteção de dados pessoais e segurança da informação. Por esse motivo é fundamental que as empresas realizem projetos de adequação à LGPD e que tais projetos também abarquem as questões técnicas atinentes à segurança da informação e não apenas aos aspectos jurídicos que envolvem a proteção de dados pessoais. É sempre bom lembrar que a proteção de dados pessoais é um tema multifacetado e que para que uma organização tenha êxito em construir uma governança eficaz em dados pessoais deve congregar profissionais de expertises diversas e complementares, como jurídica, de tecnologia e segurança da informação, compliance, entre outras.

A decisão do STJ representa um importante passo para o cenário de proteção de dados no Brasil e estabelece um precedente relevante, diante do elevado número de ações relacionadas ao tema em trâmite no Brasil.

O acórdão pode ser acessado aqui.