Vítimas de vazamentos de dados precisarão apresentar quais prejuízos sofreram em ações contra empresas por danos morais. O precedente foi criado por decisão do STJ (Superior Tribunal de Justiça) sobre LGPD (Lei Geral de Proteção de Dados).
Até então, advogados usavam o Código de Defesa do Consumidor para argumentar que cabia às empresas a responsabilidade de comprovar que não houve danos.
Em julgamento realizado no último dia 7, o STJ entendeu que vazamentos de dados pessoais não presumem dano moral da empresa à vítima. A segunda turma da corte recusou, por unanimidade, o pedido de indenização de Maria Edite de Souza, idosa que teve dados contratuais com a concessionária de energia Eletropaulo vazados.
Para o especialista em cibersegurança do escritório Mattos Filho Thiago Sombra, que prestou assessoria técnica à defesa da Enel (empresa italiana que controla a Eletropaulo), a interpretação do tribunal superior previne a instalação de uma "indústria da indenização", uma vez que consumidores podiam propor ações sem ter sofrido dano.
Levantamento do Mattos Filho mostra que, entre 2020, quando a LGPD entrou em vigor, e 2022, o número de ações na área cresceu 500%: de menos de 20 para 120.
Questionada, a Enel diz que não comentará a ação judicial.
Já o representante de Maria Edite na ação contra a Eletropaulo, o advogado Luis Eduardo Borges da Silva, afirmou à reportagem que "nesse caso específico, houve flagrante afronta ao artigo 14 do CDC". Esse trecho da lei determina que o fornecedor, sendo culpado ou não, responde pela reparação de danos ao consumidor.
"A LGPD não pode ser aplicada ou interpretada isoladamente", diz Silva.
Um cibercriminoso vazou número de documento de identidade, idade, telefones, endereço e informações de consumo de energia de Maria Edite. A Eletropaulo apresentou seus protocolos de proteção de dados pessoais e argumentou que o delito digital foi de autoria de alguém de fora da relação comercial. Por isso, o Código de Defesa do Consumidor não poderia ser aplicado.
A defesa da empresa alegou que uma decisão dessa matéria deveria respeitar, além do CDC, os artigos da LGPD sobre responsabilidade e ressarcimento de danos. De acordo com a legislação, o operador e o controlador de dados têm presunção de inocência. O juiz pode reverter o ônus da prova se julgar que o titular pode vir a ter dificuldades para reunir evidências.
O ministro relator Francisco Falcão concordou com o argumento e teve o voto acompanhado por seus dois colegas de turma. O tribunal superior entendeu que Maria Edite havia tido a chance de apresentar evidências concretas na primeira instância, quando perdeu a ação. A defesa da mulher alegou que ela havia ficado exposta a riscos de fraude com o vazamento.
A sentença do STJ no recurso especial reverteu condenação do Tribunal de Justiça do Estado de São Paulo à Eletropaulo. A empresa teria de pagar R$ 5.000 a Maria Edite por ter vazado dados pessoais de uma pessoa idosa.
Na sentença do recurso especial movido pela Eletropaulo, Falcão discorda do tribunal estadual. Disse que os dados vazados não eram sensíveis. A LGPD classifica como sensíveis informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político.
Para Sombra, do Mattos Filho, a decisão traz estabilidade jurídica às empresas que tratam dados de clientes. O tema mais recorrente nas ações de LGPD em 2021 e 2022 foi responsabilidade civil em casos de incidentes de segurança, como os vazamentos de dados. A aplicação conjunta da LGPD com o CDC também se destacou em 2021.
Nos casos em que houve condenação por violação à LGPD, magistrados fixaram multas entre R$ 2.000 e R$ 20 mil contra as empresas, de acordo com levantamento do Mattos Filho.
Os tribunais de São Paulo, Minas Gerais e Distrito Federal foram os mais atuantes na área; os setores de prestação de serviço, infraestrutura e energia e financeira, os mais implicados nas ações.
Segundo o especialista do Mattos Filho, anúncios recente da ANPD (Autoridade Nacional de Proteção de Dados) podem acelerar a adequação das empresas à LGPD.
No fim de fevereiro, a agência divulgou o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, com diretrizes para definir indenizações. As multas podem chegar a R$ 50 milhões.
As fiscalizações da ANPD começaram ainda em 2020, quando a LGPD entrou em vigência, mas, sem dosimetria, a agência não podia aplicar sanções administrativas.
Comentários
Os comentários não representam a opinião do jornal; a responsabilidade é do autor da mensagem.