A privacidade é tema caro às pessoas e, com o avanço das tecnologias, do mercado, das mídias sociais e, em última análise, da sociedade da informação, notabilizou-se a intensificação da necessidade de proteção de dados pessoais. Nesse contexto, anos após a vigência de outras leis que pretenderam tutelar a privacidade, no ano de 2018 foi promulgada a Lei nº 13.709, conhecida como Lei Geral de Proteção de Dados ou por sua sigla, LGPD.
A intenção da referida lei é justamente a proteção dos direitos fundamentais de liberdade e privacidade, bem como a proteção da formação da personalidade do indivíduo ao dispor acerca do tratamento dos dados pessoais por pessoas físicas ou jurídicas, sejam de direito público ou privado, bem como através de meios físicos ou digitais, o que ganha especial relevo quando consideramos que os indivíduos dispõem de seus dados pessoais nas redes sociais, nos cadastros comerciais, nas escolas e faculdades, nos hospitais, nas relações com as serventias extrajudiciais (cartórios) e nas mais variadas relações públicas ou privadas, de modo geral. Imagine-se a corriqueira situação de realizar o cadastro para eventuais descontos em farmácias ou o cadastro para utilização de transporte por aplicativo, situações do cotidiano em que dispomos de diversos dados pessoais e que, pela ordem das coisas na atualidade, naturalizamos e sequer percebemos a disposição dos referidos dados.
A lei, por óbvio, é inserida no ordenamento jurídico e buscou adequar seu núcleo fundamental às premissas e princípios da Constituição Federal, dispondo os princípios da finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas.
O legislador categorizou, ainda, os dados em quatro espécies: (i) dados pessoais; (ii) dados sensíveis; (iii) dados públicos, e; (iv) dados anonimizados. De maneira breve, pode-se dizer que os dados pessoais são aqueles hábeis a possibilitar a identificação da pessoa natural, como nome, RG, CPF, etc. Já os dados sensíveis, objeto da presente constatação, são aqueles relacionados com origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas e sobre saúde ou a vida sexual dos indivíduos. Para os dados públicos, por sua vez, levar-se-á em consideração a finalidade, a boa-fé e o interesse público que justificaram a sua disponibilização e a organização poderá tratar os dados tornados públicos pelo titular (desde que seja anterior e de maneira evidente), respeitado o consentimento do titular em caso de compartilhamento externo. Por fim, os dados anonimizados são aqueles tratados por essa técnica (denominada de “anonimização”) que consiste, de forma resumida, na remoção ou modificação de informações que possam identificar o indivíduo, desvinculando-o daqueles dados. É importante ressaltar que a organização deverá adotar as cautelas necessárias para que a disponibilização desses dados não permita a reconstrução do caminho de anonimização e revele o titular.
Verificado o contexto e as informações preliminares sobre a lei e a categorização dos dados, passemos à análise dos dados sensíveis.
Os dados sensíveis estão especificados no art. 5º, inc. II, da LGPD, bem como o tratamento desses dados está regulado no art. 11 da mesma lei, que dispõe, primeiramente, que esses dados só poderão ser tratados com a autorização específica e destacada do seu titular (ou de seu responsável legal), exceto nos casos dispostos no art. 11, inciso II, alíneas “a”, “b”, “c”, “d”, “e”, “f”, “g”. O referido artigo ainda regula outras questões atinentes ao tratamento dos dados sensíveis.
Ressalte-se que a mens legis não foi exaurir as situações em que os dados serão considerados sensíveis, mas a de abarcar um rol exemplificativo de quais seriam aqueles dados com potencial, se exposto e utilizado inadvertidamente, de criar situações de distinção e de discriminação para o seu titular, como pode se verificar nas situações religiosas ou políticas, por exemplo, em que o vazamento poderia resultar em intolerância.
Diferentemente do que ocorre com os dados pessoais, no caso dos dados sensíveis, como dito anteriormente, depende de autorização específica e destacada, isto é, pressupõe ato formal quanto ao consentimento (exceto nos casos previstos nas alíneas supracitadas) e que deverá conter previsão expressa de tratamento dos dados sensíveis (de preferência com aposição de assinatura específica nesse campo de um contrato de adesão, por exemplo). Ressalte-se que, dentre as exceções previstas, haveria a dispensa dessa formalidade do consentimento quando estivermos diante de interesse público, como para a consecução de políticas públicas ou para a prevenção à fraude e à segurança do titular, por exemplo, o que é objeto de crítica na doutrina, em razão do evidente conflito de direitos fundamentais1.
Ainda dentre as exceções, na mesma toada de prevalência de outros direitos fundamentais, há as ligadas ao direito à saúde do titular. Tratando-se deste tema caro e fundamental, a lei excepciona que os dados sensíveis poderão ser tratados quando em benefício do titular, isto é, quando relacionadas à prestação de serviço de saúde, diagnose, terapia, assistência farmacêutica, vedado quando se tratar, única e exclusivamente, de vantagem econômica do controlador, direta ou indiretamente, sobre o titular.
Conjugando o direito à saúde e o interesse público, há, ainda, a previsão de tratamento de dados sensíveis na promoção de estudos em saúde público, evidentemente com restrições legais e procedimentais. Para que seja possível, os referidos dados deverão ser tratados dentro do órgão e exclusivamente para os fins propostos na realização do estudo de saúde, bem como — como em todos os casos — mantidos em local seguro.
A distinção entre os dados pessoais e os dados sensíveis são importantes, também, no que toca a extensão dos danos quando da responsabilização do controlador. A regra geral é a verificação do dano através da análise do caso concreto e dos reflexos que o ilícito produziu na vítima para que, munido desses dados, o julgador tenha elementos para apurar eventual responsabilidade e, em havendo, a quantificação do dano em questão.
Todavia, a jurisprudência considera, em situações excepcionais, que o ilícito é tão danoso e evidente, que basta a verificação de sua ocorrência para considerar presumida a existência de dano moral, o que denominaram de dano moral presumido (ou dano moral in re ipsa).
A Segunda Turma do Superior Tribunal de Justiça, julgando recurso advindo de ação indenizatória ajuizada por particular contra concessionária de energia elétrica que pleiteou indenização por danos morais por vazamento de dados pessoais, entendeu que os danos morais precisariam ser comprovados, na espécie, pois se tratava de dados pessoais, o que não se confunde com dados sensíveis:
PROCESSUAL CIVIL E ADMINISTRATIVO. INDENIZAÇÃO POR DANO MORAL. VAZAMENTO DE DADOS PESSOAIS. DADOS COMUNS E SENSÍVEIS. DANO MORAL PRESUMIDO. IMPOSSIBILIDADE. NECESSIDADE DE COMPROVAÇÃO.
I — Trata-se, na origem, de ação de indenização ajuizado por particular contra concessionária de energia elétrica pleiteando indenização por danos morais decorrentes do vazamento e acesso, por terceiros, de dados pessoais.
II — A sentença julgou os pedidos improcedentes, tendo a Corte Estadual reformulada para condenar a concessionária ao pagamento da indenização, ao fundamento de que se trata de dados pessoais de pessoa idosa.
III – A tese da culpa exclusiva de terceiro não foi, em nenhum momento, abordada pelo Tribunal Estadual, mesmo após a oposição de embargos de declaração apontando a suposta omissão. Nesse contexto, incide, na hipótese, a Súmula n. 211/STJ. In casu, não há falar em prequestionamento ficto, previsão do art. 1.025 do CPC/2015, isso porque, em conformidade com a jurisprudência do STJ, para sua incidência deve a parte ter alegado devidamente em suas razões recursais ofensa ao art. 1022 do CPC/2015, de modo a permitir sanar eventual omissão através de novo julgamento dos embargos de declaração, ou a análise da matéria tida por omissa diretamente por esta Corte. Tal não se verificou no presente feito. Precedente: AgInt no REsp 1737467/SC, Rel. Ministro Napoleão Nunes Maia FIlho, Primeira Turma, julgado em 8/6/2020, DJe 17/6/2020.
IV — O art. 5º, II, da LGPD, dispõe de forma expressa quais dados podem ser considerados sensíveis e, devido a essa condição, exigir tratamento diferenciado, previsto em artigos específicos. Os dados de natureza comum, pessoais mas não íntimos, passíveis apenas de identificação da pessoa natural não podem ser classificados como sensíveis.
V — O vazamento de dados pessoais, a despeito de se tratar de falha indesejável no tratamento de dados da pessoa natural por pessoa jurídica, não tem o condão, por si só, de gerar dano moral indenizável. Ou seja, o dano moral não é presumido, sendo necessário que o titular dos dados comprove eventual dano decorrente da exposição dessas informações.
VI — Agravo conhecido e recurso especial parcialmente conhecido e, nessa parte, provido.2
O Tribunal de Justiça de São Paulo, na mesma linha de entendimento, inadmitiu incidente de resolução de demandas repetitivas (IRDR) em que se pleiteara a uniformização da jurisprudência do TJSP
“em relação à multiplicidade de ações em que consumidores postulam indenização por danos morais em razão de seus dados pessoais terem sido indevidamente vazados dos cadastros dos prestadores de serviços, buscando definir se nestas hipóteses deve prevalecer o entendimento majoritário no sentido de que seria necessária a prova efetiva dos danos extrapatrimoniais ou, a corrente minoritária, no sentido de que os danos morais seriam “in re ipsa”.
A Turma Especial — Privado 3 do TJSP julgou que inexistia a divergência jurisprudencial apontada, bem como que somente é considerado dano moral presumido nos casos de vazamento de dados sensíveis, diferentemente do caso em apreço em que os dados objeto daquela lide eram tão somente pessoais:
FASE DE ADMISSIBILIDADE DE INCIDENTE DE RESOLUÇÃO DE DEMANDAS REPETITIVAS (IRDR) – PRETENSÃO DE UNIFORMIZAÇÃO DA JURISPRUDÊNCIA ACERCA DA NATUREZA DOS DANOS MORAIS EM CASO DE CONSUMIDORES QUE TIVERAM DADOS PESSOAIS VAZADOS POR FORNECEDORES DE SERVIÇOS – INEXISTÊNCIA DE DIVERGÊNCIA JURISPRUDENCIAL — DANO MORAL CONSIDERADO “IN RE IPSA” APENAS NAS HIPÓTESES DE O VAZEMENTO ENVOLVER DADOS SENSÍVEIS DO CONSUMIDOR, ASSIM CONSIDERADOS PELO INCISO II DO ART. 5º LEI Nº 13.709/2018 (LEI GERAL DE PROTEÇÃO DE DADOS, LGPD — DEMANDAS, ALIÁS, CUJA DIVERGÊNCIA NÃO ENVOLVE APENAS QUESTÃO EXCLUSIVAMENTE DE DIREITO, EM RAZÃO DE CONTROVÉRSIA FÁTICA SOBRE A NATUREZA DOS DADOS EFETIVAMENTE VAZADOS NOS CASOS CONCRETOS SUBMETIDOS AO JULGAMENTO DO TRIBUNAL – AUSÊNCIA DE PREENCHIMENTO DE PRESSUPOSTO DE ADMISSIBILIDADE PREVISTO NO ART. 978, § ÚNICO, DO CPC.
INCIDENTE NÃO ADMITIDO.
[…] Frise-se que todos os precedentes afastaram a tese de que os danos morais seriam de natureza “in re ipsa” sob o fundamento de que não houve vazamento de nenhum “dado pessoal sensível” do autor/consumidor, os quais se encontram expressamente regulados no inciso II do art. 5º da Lei Geral de Proteção de Dados.
Entretanto, ao cuidar das ações de indenização envolvendo vazamento de dado pessoal sensível do consumidor, a jurisprudência firmou no sentido de reconhecer a existência de dano moral in re ipsa, ou seja, cuja existência se presume a partir do mero vazamento dos dados pessoais, sendo prescindível a existência de demonstração de que o episódio resultou algum tipo de efeito deletério para o autor.
[…] Conclui-se, pois, que além de inexistir a divergência jurisprudencial indicada na exordial do presente incidente, as ações repetitivas não tratam de questão exclusivamente de direito, havendo necessidade de prévia avaliação fática sobre a natureza dos dados vazados, para só então decidir se o vazamento foi ou não capaz de acarrear danos morais “in re ipsa” ou não.3
Assim, parece importante notar que nem todo vazamento de dados é suscetível de indenização por dano “in re ipsa”, devendo, antes, ser qualificado o dado afetado para posterior verificação de eventual responsabilidade civil.
Conclui-se, portanto, que dado o avanço da sociedade da informação e com a intensificação das interações digitais, verifica-se a importância das regras da LGPD pelos controladores de dados para a garantia e segurança das informações pessoais dos indivíduos, o que fortalece a confiança na relação entre os usuários e as organizações, bem como reduz o potencial de eventuais vazamentos de dados e suas eventuais consequências.
- MULHOLLAND, Caitlin. A tutela dos dados pessoais sensíveis na Lei Geral de Proteção de Dados. In: TEPEDINO, Gustavo; SANTOS, Deborah Pereira Pinto; PEREIRA, Paula Moura Francesconi. Direito civil-constitucional — A construção da legalidade constitucional nas relações privadas. Indaiatuba: Foco: 2022. P. 387-388. ↩︎
- AREsp nº 2.130.619/SP, Rel. Min. Francisco Falcão, Segunda Turma, julgado em 07/03/2023, DJe de 09/02/2023. ↩︎
- IRDR nº 2303666-33.2022.8.26.0000, Rel. Des. Andrade Neto, Turma Especial — Privado 3, j. em 23/02/2023, DJe de 27/02/2023. ↩︎
