Com a LGPD, discussão se intensificou e ganhou os tribunais. O entendimento adotado pelo STJ é indicativo de uma jurisprudência em construção
O vazamento de dados é um problema cada vez mais recorrente num contexto cada vez mais digitalizado.
Os incidentes envolvendo tratamento irregular de dados pessoais têm ganhado cada vez mais relevância nos últimos anos, sobretudo após a entrada em vigor da lei 13.709/18 (Lei Geral de Proteção de Dados Pessoais - LGPD).
Nesse contexto, é comum que os tribunais sejam chamados a julgar demandas nas quais titulares de dados pleiteiam indenização por danos morais decorrentes de vazamento de dados pessoais.
Mas será que basta o fato de informações pessoais terem sido expostas e compartilhadas para haver indenização de danos morais?
O entendimento atual do Superior Tribunal de Justiça (AREsp 2.130.619) é de que embora o vazamento de dados pessoais possa ter consequências negativas para seu titular, como a exposição de informações privadas, a mera violação ou divulgação dos dados não é suficiente para gerar um dano moral indenizável. É necessário que o titular dos dados comprove que sofreu um prejuízo em decorrência do vazamento das informações.
Em outras palavras, na hipótese de que uma pessoa foi afetada diretamente por consequências dos vazamentos de dados, o titular dos dados terá que comprovar o seu prejuízo. Ou seja, a simples existência de um incidente de segurança, que afeta os usuários digitais, apesar de ser danosa e ofensiva à sua privacidade, não é suficiente.
A necessidade de comprovação do dano moral em casos de vazamento de dados pessoais - do ponto de vista jurisprudencial - é medida importante para evitar a proliferação de demandas infundadas e garantir a adequada proteção dos direitos do titular dos dados.
Todavia, a verdade é que estamos diante de uma jurisprudência em construção, que ainda "engatinha" nos Tribunais Superiores, e naturalmente essas questões serão respondidas com o passar do tempo.
Por outro lado, é importante destacar que o vazamento de dados pessoais pode ter consequências não somente para os titulares, mas também para as empresas responsáveis pelo tratamento dos dados, tendo em vista os impactos econômicos e reputacionais decorrentes dos incidentes de segurança da informação.
Isso porque, na LGPD (Artigo 52) estão previstas sanções administrativas em decorrência de vazamentos de dados. São elas:
Advertência;
Multa Simples, de até 2% (dois por cento) do faturamento da empresa, limitada no total, a R$ 50.000.000,00 (cinquenta milhões de reais), por infração;
Multa diária, com limite total de R$ 50.000.000,00 (cinquenta milhões de reais);
Publicização da infração;
Bloqueio dos dados pessoais;
Eliminação dos dados pessoais;
Suspensão parcial do funcionamento do banco de dados por no máximo de 6 (seis) meses, prorrogável por igual período, até que se regularize a situação;
Suspensão do exercício da atividade de tratamento dos dados pessoais por no máximo de 6 (seis) meses, prorrogável por igual período;
Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Assim, é fundamental que as empresas que realizam o tratamento de dados pessoais possuam um efetivo programa de adequação à LGPD, bem como adotem medidas de segurança adequadas e estejam preparadas para lidar com eventuais vazamentos e violações de segurança.