Qual o dano decorrente de violação das leis de proteção de dados?

No início de março, o Superior Tribunal de Justiça (STJ) publicou um acórdão^[1] no ARESP 2.130.619, em ação de indenização por danos morais proposta contra a Enel, devido a um vazamento de dados pessoais^[2]. A 2ª Turma do STJ entendeu, unanimemente, que o vazamento de dados, por si só, não constitui dano moral, devendo haver comprovação do prejuízo antes da concessão de qualquer indenização.

Mais recentemente, no último dia 5, a Corte de Justiça da União Europeia (CJEU, na sigla em inglês) também decidiu sobre o direito à indenização decorrente da violação de direitos de proteção de dados pessoais^[3], tema endereçado pelo artigo 82 do GDPR^[4].

A nova decisão da CJEU afirma que as empresas não precisarão pagar indenizações pela mera violação da lei, de maneira semelhante ao que foi entendido pelo STJ. No entanto, a decisão da CJEU é vinculativa, e se aplicará a todos os casos de responsabilização civil por violação das leis de proteção de dados na Europa.

De qualquer forma, em ambas decisões, uma questão central é colocada: a mera violação da lei de proteção de dados pode constituir, por si só (ou in re ipsa), dano moral indenizável ao titular de dados?

Análise da decisão europeia

No caso analisado, a empresa pública de correios da Áustria havia utilizado um algoritmo para coletar informações sobre as preferências políticas dos usuários de seus serviços. No curso do processo, não foram apresentadas provas de que os dados tenham sido divulgados a terceiros ou utilizados para finalidades abusivas. No entanto, um titular processou a Österreichische Post por danos morais no valor de € 1.000.

Na CJEU, o Attorney General^[5] havia argumentado que a mera “perda de controle” sobre os dados não daria ao titular o direito de reparação, devendo, também, ser comprovado efetivo prejuízo. Também argumentou que a obrigação de reparação do artigo 82 seria meramente civil, e não destinada à “punição” dos infratores.

Embora tenha rejeitado o argumento de que a indenização agiria como alguma forma de penalização das empresas^[6], a CJEU acatou o argumento de que, para além da mera violação de direito, seria necessário  algum tipo de dano aferível para justificar a indenização^[7].

Questões conceituais e o direito brasileiro

O que significa, no entanto, essa decisão? Quais suas consequências para o campo da proteção de dados pessoais? E de que forma a mesma questão poderá ser enfrentada no Brasil? Um esclarecimento sobre os termos envolvidos neste debate poderá ser de enorme auxílio para futuras decisões – sejam elas judiciais, políticas ou acadêmicas.

Diferentemente de debates anteriores sobre a responsabilidade nas leis de proteção de dados (objetiva ou subjetiva), a decisão não se focou na noção de culpa sobre o resultado. Na verdade, o julgado estabelece que, ainda que tenha culpa em produzir o resultado, as empresas não seriam obrigadas a pagar indenização, a não ser que diante da comprovação dos prejuízos causados aos titulares.

Pensando na jurisprudência nacional, a regra geral aplicável aos danos materiais é, de fato, a comprovação do prejuízo pelo ofendido. Uma exceção existe para o chamado “dano in re ipsa” ou “dano presumido” – um dano constituído diante da mera comprovação de que ocorreu um ato ilícito ou violação da lei.

O caso dos danos morais, no entanto, é especial. Justamente porque o tratamento dado às violações aos direitos de personalidade é de dano presumido. Nesse sentido, foi elaborado o Enunciado 445 da V Jornada de Direito Civil, que dita: “o dano moral indenizável não pressupõe necessariamente a verificação de sentimentos humanos desagradáveis como dor ou sofrimento”. Esta mesma lógica pode ser encontrada em diversos julgados nas variadas cortes brasileiras (por exemplo, o REsp 121757/RJ^[8], AREsp 1586945^[9], Ag 20362-90.2019.5.04.0205, entre outros). Ou seja, por padrão, o dano moral é considerado como dano in re ipsa, e é reconhecido sempre que há violação do direito da personalidade envolvido no caso.

No Brasil, uma decisão que seguisse o entendimento da CJEU, envolveria, portanto, enfrentar uma questão anterior: a proteção de dados pessoais deve ser considerada como um direito da personalidade?

Na jurisprudência internacional, não encontramos uma resposta clara. Alguns tribunais já tomaram decisões a respeito do ônus probatório em caso de vazamentos de dados pessoais, chegando às mesmas conclusões quanto à presunção dos danos.

Por exemplo, no Canadá, a questão relativa ao dano por vazamento de dados foi resolvida em 2014 no caso Sofio v. Investment Industry Regulatory Organization of Canada (IIROC)^[10], determinando que o ônus probatório do uso indevido das informações caberia ao autor. Mas o país não dispunha de lei federal regulando a proteção de dados à época das decisões. No Reino Unido, um caso semelhante foi iniciado, mas posteriormente retirado pelo autor^[11].

Já no Brasil, em teoria, não haveria obstáculos para que o dano decorrente de uma violação da LGPD fosse considerado como dano moral. Afinal, o dano é definido, no Código Civil brasileiro, como a “lesão a um bem juridicamente tutelado, causando prejuízo de ordem patrimonial ou extrapatrimonial”. E, em abstrato, um “bem jurídico” poderá ter natureza patrimonial ou extrapatrimonial, sendo essencialmente uma escolha política de cada ordenamento jurídico definir a categoria dos bens tutelados. Se nos perguntamos se a proteção dos dados pessoais é um bem jurídico patrimonial ou extrapatrimonial, cabe ao poder público, seja por meio do Legislativo ou do Judiciário, responder.

Conforme mencionado, esse enquadramento do dano como moral depende de que a proteção de dados seja considerada um direito da personalidade, tal como a privacidade, a honra e a imagem. Incidentalmente, esse é um ponto reiterado na academia. Por exemplo, na obra Proteção de dados pessoais: a função e os limites do consentimento, Bruno Bioni comenta que:

“[o] direito à proteção de dados pessoais angaria autonomia própria. É um novo direito da personalidade que não pode ser amarrado a uma categoria específica, em particular ao direito à privacidade”.^[12]

Danilo Doneda também já defendeu o enquadramento da proteção de dados como nova espécie do direito personalíssimo:

“Os dados pessoais configuram-se como uma extensão da personalidade, constituem elementos substanciais de nossa singularidade, por isso podem ser compreendidos como reflexos pessoais capazes de nos identificar em nossas particularidades e enquanto seres sociais. Disso decorre a importância de elevar a proteção de dados pessoais a um status de direito da personalidade, que inclusive está em vias de ser incluído na gama de nossos direitos fundamentais  pela PEC 17/2019”.^[13]

Considerando que a proteção de dados é um direito intrinsecamente associado ao direito à privacidade, o enquadramento destes danos como danos morais é totalmente plausível. E, nesse caso, a exigência de comprovação de prejuízo estaria em forte discordância com o que a jurisprudência brasileira estabeleceu sobre a indenização de danos morais.

Vale ressaltar que, inclusive, a decisão do STJ determinando a necessidade de comprovação do prejuízo pelo autor se refere ao dano a ser aferido como moral, inclusive mencionando a relação direta do dano moral com os direitos da personalidade. Por que, então, estabelecer um ônus probatório atípico para esta espécie de dano?

Neste sentido, o cenário parece ser de que a construção doutrinária e jurisprudencial do direito à proteção de dados está caminhando em sentidos divergentes. E a nova decisão da CJEU adiciona um ponto de complexidade nesse debate, que terá de ser enfrentado pelos juízes e acadêmicos brasileiros. Para além de copiar a aplicação das leis de proteção de dados estrangeiras, é importante que os juízes e acadêmicos locais pensem respostas coerentes com as construções doutrinárias e jurisprudenciais brasileiras.

Para isso, é necessário que haja um esclarecimento conceitual quanto à natureza do direito de proteção de dados como direito da personalidade, abordando as consequências deste enquadramento para o modo de apuração de danos (morais ou materiais), além das consequências para fins de indenização. Caso contrário, o direito à proteção de dados sofre o perigo de tornar-se um ponto de constante insegurança jurídica, uma jabuticaba ou simplesmente um conceito vazio.

---

^[1] Acesso em: https://www.stj.jus.br/sites/portalp/Paginas/Comunicacao/Noticias/2023/17032023-Titular-de-dados-vazados-deve-comprovar-dano-efetivo-ao-buscar-indenizacao–decide-Segunda-Turma.aspx

^[2] No caso, foram expostos os dados de nome, RG, gênero, data de nascimento, idade, telefones,  endereço e algumas informações relacionadas ao contrato com a empresa (todos dados pessoais comuns, e não sensíveis, um importante ponto esclarecido no acórdão).

^[3]Acesso em: https://curia.europa.eu/juris/document/document.jsf;jsessionid=9F7A5D148B609991D0B0CDA7C922A2CF?text=&docid=273284&pageIndex=0&doclang=pt&mode=req&dir=&occ=first&part=1&cid=3632530

^[4] https://gdpr-info.eu/art-82-gdpr/

^[5]  Sánchez-Bordona que emitiu um parecer em 06 de outubro de 2022. Acesso em: https://curia.europa.eu/juris/document/document.jsf?text=&docid=266842&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=1670230

^[6]“[A] indemnização do dano devido a este título deve ser proporcionada, efetiva e dissuasiva, para que a indemnização atribuída possa desempenhar uma função compensatória sem revestir um caráter punitivo que seria alheio ao direito da União”.

^[7]“[R]esulta claramente da redação desta disposição que a existência de um «dano» ou de um «[prejuízo]» que foi «sofrido» constitui uma das condições do direito de indemnização previsto na referida disposição, tal como a existência de uma violação do RGPD e de um nexo de causalidade entre esse dano e essa violação, sendo estas três condições cumulativas”.

33      Por conseguinte, não se pode considerar que toda e qualquer «violação» das disposições do RGPD confere, por si só, o referido direito de indemnização em benefício do titular dos dados, conforme definido no artigo 4.°, ponto 1, deste regulamento. Tal interpretação seria contrária à redação do artigo 82.°, n.° 1, do referido regulamento.

^[8] “IV – O dano moral, tido como lesão à personalidade, à honra da pessoa, mostra-se às vezes de difícil constatação, por atingir seus reflexos parte muito íntima do indivíduo – o seu interior. Foi visando, então, a uma ampla reparação que o sistema jurídico chegou à conclusão de não se cogitar da prova do prejuízo para demonstrar a violação do moral humano.”

^[9] “Nesse passo, o dano e nexo causal estão devidamente comprovados, sendo o dano a violação da honra, objetivamente considerada, sendo desnecessária a prova da dor, do sofrimento, até por serem impossíveis de se comprovar.”

^[10]https://mcmillan.ca/insights/security-breach-implicating-personal-information-which-injuries-are-compensable/#1

^[11] https://www.farrer.co.uk/news-and-insights/english-court-allows-gdpr-representative-action-to-proceed/

^[12] BIONI,  Bruno  Ricardo.  Proteção  de  dados  pessoais:  a  função  e  os  limites  do  consentimento. 2. ed. Rio de Janeiro: Forense, 2020. E-book apud SANTOS, D. F. “A PROTEÇÃO DOS DADOS PESSOAIS COMO NOVA ESPÉCIE DE DIREITO DA PERSONALIDADE”. V. 13 N. 21 (2021), ARTIGOS. Publicado 2021-10-20.

^[13] DONEDA, Danilo. Da privacidade à proteção de dados pessoais: elementos da formação da lei geral deproteção de dados. São Paulo: Thomson Reuters Brasil, 2019. E-book apud SANTOS, D. F. “A PROTEÇÃO DOS DADOS PESSOAIS COMO NOVA ESPÉCIE DE DIREITO DA PERSONALIDADE”. V. 13 N. 21 (2021), ARTIGOS. Publicado 2021-10-20.