sexta-feira, 31 de março de 2023
O vazamento de dados pessoais não gera dano moral presumido
Imagine a seguinte situação
hipotética:
Regina construiu uma casa em um
terreno e, após o imóvel ficar pronto, foi até a concessionária solicitar a
ligação da energia elétrica para a sua residência.
Regina assinou um contrato com a
concessionária, tendo fornecido diversos dados pessoais, tais como: nome
completo, endereço, número do RG, data de nascimento, número de telefone etc.
Cerca de um ano depois, Regina
descobriu que hackers invadiram o sistema da concessionária e de lá copiaram os
dados pessoais de milhares de usuários dos serviços de energia elétrica a fim
de comercializá-los com empresas de vendas e de marketing.
Os dados de Regina também foram copiados
e vendidos, ou seja, essas informações acima mencionadas foram indevidamente vazadas
e compartilhadas.
Diante disso, Regina ajuizou ação
de indenização contra a concessionária de energia elétrica.
O juiz julgou o pedido
improcedente. Segundo argumentou o magistrado:
- é fato incontroverso que houve
o vazamento de dados, decorrente da ação de criminosos;
- no entanto,
a autora não
trouxe prova da
utilização indevida de seus
dados por terceiros;
- para se caracterizar dano
moral, a ensejar reparação, o fato deve gerar grave ofensa à honra, à dignidade
ou a atributo da personalidade da pessoa;
- o simples fato de ter ocorrido
o vazamento de dados pessoais não enseja o pagamento de indenização considerando
que não houve prova do dano moral sofrido.
Inconformada, a autora recorreu alegando
que o vazamento de dados pessoais gera dano moral presumido (in re ipsa),
não sendo necessária comprovação do dano para que haja a indenização. Além
disso, argumentou que se trata de pessoa idosa que ficou muito abalada com o
vazamento.
O STJ acolheu os argumentos
da autora? O vazamento de dados pessoais gera dano moral presumido?
NÃO.
O art. 5º, II, da Lei Geral de Proteção de Dados (LGPD), Lei
nº 13.709/2018, prevê que determinados dados pessoais devem ser qualificados
como “sensíveis”, exigindo exigir um tratamento diferenciado por parte de quem
armazena essas informações:
Art. 5º Para os fins desta Lei,
considera-se:
I - dado pessoal: informação
relacionada a pessoa natural identificada ou identificável;
II - dado pessoal sensível: dado
pessoal sobre origem racial ou étnica, convicção religiosa, opinião política,
filiação a sindicato ou a organização de caráter religioso, filosófico ou
político, dado referente à saúde ou à vida sexual, dado genético ou biométrico,
quando vinculado a uma pessoa natural;
(...)
Os dados de natureza comum são
pessoais, mas não são íntimos. Esses dados pessoais servem apenas para identificação
da pessoa natural e não podem ser classificados como sensíveis.
Os dados que a concessionária
armazenava eram aqueles que se fornece em qualquer cadastro, inclusive nos
sites consultados no dia a dia, não sendo, portanto, acobertados por sigilo. O
conhecimento desses dados por terceiro em nada violaria o direito de
personalidade da autora.
O vazamento de dados pessoais, a
despeito de se tratar de falha indesejável no tratamento de dados de pessoa
natural por pessoa jurídica, não tem o condão, por si só, de gerar dano moral
indenizável. Desse modo, não se trata de dano moral presumido, sendo necessário,
para que haja indenização, que o titular dos dados comprove qual foi o dano decorrente
da exposição dessas informações.
Em suma:
O vazamento de dados pessoais não gera dano moral
presumido.
STJ. 2ª Turma. AREsp 2.130.619-SP, Rel. Min. Francisco Falcão, julgado em
7/3/2023 (Info 766).
Importante. A conclusão seria
diferente se estivéssemos diante de vazamento de dados sensíveis, que dizem
respeito à intimidade da pessoa natural. Neste caso, poderíamos falar em dano
moral presumido.
Portanto, não confunda:
• o vazamento de dados pessoais
não gera dano moral presumido;
• o vazamento de dados pessoais sensíveis
gera dano moral presumido.
DOD Dicas
Os dados pessoais sensíveis consistem em um dos assuntos
mais cobrados envolvendo a Lei Geral de Proteção de Dados. Por isso, é
importante você ler os arts. 11 a 13:
Art. 11. O tratamento de dados
pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
I - quando o titular ou seu
responsável legal consentir, de forma específica e destacada, para finalidades
específicas;
II - sem fornecimento de
consentimento do titular, nas hipóteses em que for indispensável para:
a) cumprimento de obrigação legal
ou regulatória pelo controlador;
b) tratamento compartilhado de
dados necessários à execução, pela administração pública, de políticas públicas
previstas em leis ou regulamentos;
c) realização de estudos por
órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados
pessoais sensíveis;
d) exercício regular de direitos,
inclusive em contrato e em processo judicial, administrativo e arbitral, este
último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de
Arbitragem) ;
e) proteção da vida ou da
incolumidade física do titular ou de terceiro;
f) tutela da saúde,
exclusivamente, em procedimento realizado por profissionais de saúde, serviços
de saúde ou autoridade sanitária; ou
g) garantia da prevenção à fraude
e à segurança do titular, nos processos de identificação e autenticação de
cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art.
9º desta Lei e exceto no caso de prevalecerem direitos e liberdades
fundamentais do titular que exijam a proteção dos dados pessoais.
§ 1º Aplica-se o disposto neste
artigo a qualquer tratamento de dados pessoais que revele dados pessoais
sensíveis e que possa causar dano ao titular, ressalvado o disposto em
legislação específica.
§ 2º Nos casos de aplicação do
disposto nas alíneas “a” e “b” do inciso II do caput deste artigo pelos órgãos
e pelas entidades públicas, será dada publicidade à referida dispensa de
consentimento, nos termos do inciso I do caput do art. 23 desta Lei.
§ 3º A comunicação ou o uso
compartilhado de dados pessoais sensíveis entre controladores com objetivo de
obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por
parte da autoridade nacional, ouvidos os órgãos setoriais do Poder Público, no
âmbito de suas competências.
§ 4º É vedada a comunicação ou o
uso compartilhado entre controladores de dados pessoais sensíveis referentes à
saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas
a prestação de serviços de saúde, de assistência farmacêutica e de assistência
à saúde, desde que observado o § 5º deste artigo, incluídos os serviços
auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de
dados, e para permitir:
I - a portabilidade de dados
quando solicitada pelo titular; ou
II - as transações financeiras e
administrativas resultantes do uso e da prestação dos serviços de que trata
este parágrafo.
§ 5º É vedado às operadoras de
planos privados de assistência à saúde o tratamento de dados de saúde para a
prática de seleção de riscos na contratação de qualquer modalidade, assim como
na contratação e exclusão de beneficiários.
(Promotor MP/TO CESPE 2022) É vedado o tratamento de dados
sensíveis, assim considerados, entre outros, os concernentes a origem étnica,
convicção política e religiosa, saúde e vida sexual. (errado)
(Juiz Federal TRF4) Os dados pessoais sensíveis apenas
poderão ser tratados com o consentimento do titular. (errado)
(PGE/GO FCC 2021) De acordo com a Lei Federal no 13.709/2018,
Lei Geral de Proteção de Dados, uma autarquia deve exigir consentimento do
titular sempre que pretender tratar dados pessoais sensíveis, dispensado aquele
para as demais categorias de dados. (errado)
Art. 12. Os dados anonimizados
não serão considerados dados pessoais para os fins desta Lei, salvo quando o
processo de anonimização ao qual foram submetidos for revertido, utilizando
exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser
revertido.
§ 1º A determinação do que seja
razoável deve levar em consideração fatores objetivos, tais como custo e tempo
necessários para reverter o processo de anonimização, de acordo com as
tecnologias disponíveis, e a utilização exclusiva de meios próprios.
§ 2º Poderão ser igualmente
considerados como dados pessoais, para os fins desta Lei, aqueles utilizados
para formação do perfil comportamental de determinada pessoa natural, se
identificada.
§ 3º A autoridade nacional poderá
dispor sobre padrões e técnicas utilizados em processos de anonimização e
realizar verificações acerca de sua segurança, ouvido o Conselho Nacional de
Proteção de Dados Pessoais.
Art. 13. Na realização de estudos
em saúde pública, os órgãos de pesquisa poderão ter acesso a bases de dados
pessoais, que serão tratados exclusivamente dentro do órgão e estritamente para
a finalidade de realização de estudos e pesquisas e mantidos em ambiente
controlado e seguro, conforme práticas de segurança previstas em regulamento
específico e que incluam, sempre que possível, a anonimização ou
pseudonimização dos dados, bem como considerem os devidos padrões éticos
relacionados a estudos e pesquisas.
§ 1º A divulgação dos resultados
ou de qualquer excerto do estudo ou da pesquisa de que trata o caput deste
artigo em nenhuma hipótese poderá revelar dados pessoais.
§ 2º O órgão de pesquisa será o
responsável pela segurança da informação prevista no caput deste artigo, não
permitida, em circunstância alguma, a transferência dos dados a terceiro.
§ 3º O acesso aos dados de que
trata este artigo será objeto de regulamentação por parte da autoridade
nacional e das autoridades da área de saúde e sanitárias, no âmbito de suas
competências.
§ 4º Para os efeitos deste
artigo, a pseudonimização é o tratamento por meio do qual um dado perde a
possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso
de informação adicional mantida separadamente pelo controlador em ambiente
controlado e seguro.
(Juiz Federal TRF3 2022) Pesquisadores da área de saúde de
uma Universidade pública federal estão realizando uma pesquisa para investigar
a hipótese de que a COVID-19 impactou de maneira desigual a população negra no
país. Para tanto, requereram o acesso à base de dados pessoais do Sistema Único
de Saúde às autoridades sanitárias federais. Assinale a alternativa CORRETA
quanto à incidência da Lei Geral de Proteção de Dados à hipótese:
(A) Como o dado sobre a origem racial ou étnica é considerado
um dado pessoal sensível pela legislação,
apenas com o consentimento de cada indivíduo seria possível
esse acesso.
(B) Na realização de estudos em saúde pública, os órgãos de
pesquisa poderão ter acesso a bases de dados pessoais, inclusive a origem
racial ou étnica, desde que os estudos sejam mantidos em ambiente controlado e
seguro, respeitando-se, sempre que possível, a anonimização ou pseudonimização
dos dados, e observância dos padrões éticos nos termos da legislação.
(C) O órgão de pesquisa será o responsável pela segurança da
informação, admitindo-se, apenas em circunstâncias excepcionais, a
transferência dos dados a terceiros como previsto na legislação.
(D) A Lei Geral de Proteção de Dados não tem disciplina sobre
tratamento de dados pessoais realizados para fins exclusivamente acadêmicos.
Letra B
(PGE/SC FVG 2022) Maria, servidora pública efetiva do Estado
de Santa Catarina, requer, para fins de formulação do pedido de sua
licença-maternidade, cópia integral dos autos de processo administrativo por
meio do qual foi formalizado o requerimento de licença-maternidade da sua
colega, a servidora pública efetiva Sônia. Nos autos desse processo, há
informações sobre a gravidez, dados genéticos e número de inscrição no Cadastro
de Pessoas Físicas (CPF/MF) da criança e de terceiros. Você, como procurador do
Estado de Santa Catarina, é instado a se pronunciar sobre o pedido de Maria. À
luz das disposições da Lei Geral de Proteção de Dados, o pedido deve ser:
(A) inadmitido e arquivado, pois nenhum servidor tem direito
de acesso à informação de outro servidor;
(B) inadmitido e arquivado, na medida em que compete a Maria
requerer a licença-maternidade, como lhe aprouver, não sendo imprescindível a
obtenção das cópias para o exercício desse direito;
(C) admitido e integralmente indeferido, pois havendo dados
sensíveis da mãe, da criança e de terceiros, esses dados tornam o processo
totalmente sigiloso;
(D) admitido e parcialmente deferido, permitindo-se o
fornecimento das cópias requeridas com a anonimização, o bloqueio ou a
eliminação de dados pessoais de outros servidores ou particulares, que sejam
inúteis para o exercício dos direitos previstos na legislação estatutária;
(E) admitido e integralmente deferido, com o fornecimento,
inclusive, de dados sensíveis da mãe, da criança e de terceiros, a Maria, pois
a proteção dos dados, ainda que sensíveis da mãe, da criança e de terceiros não
pode se sobrepor ao interesse público no acesso amplo e irrestrito às
informações constantes dos processos administrativos.
Letra D