STJ decide que vazamento de dados pessoais comuns não gera dano moral presumido
No dia 10 de março de 2023, o Superior Tribunal de Justiça (STJ) publicou acórdão no qual decidiu que vazamento de dados pessoais comuns (ou seja, não sensíveis) não gera dano moral presumido.
- O Caso
Uma consumidora entrou com uma ação contra a Enel alegando que a concessionária vazou seus dados pessoais (nome completo, RG, gênero, data de nascimento, idade, telefone fixo, telefone celular e endereço, além de dados relativos ao uso de energia elétrica) e que tais dados foram vendidos, de modo que ela poderia ser vítima de fraudes e importunação. Com base nisso, requereu uma indenização por danos morais no valor de R$ 15.000,00.
Em primeira instância a ação foi julgada improcedente, pois não ficou evidenciado o dano sofrido pela Autora.
A Autora então interpôs recurso ao Tribunal de Justiça de São Paulo (TJSP), o qual reformou a sentença, condenando a concessionária ao pagamento de indenização por danos morais no valor de R$ 5.000,00. O TJSP argumentou que o vazamento dos dados da Autora demonstrou uma falha de segurança da concessionária e que a Autora, por ser idosa, estaria mais vulnerável a fraudes.
A concessionária, então, interpôs recurso ao STJ, requerendo a reforma do acórdão do TJSP. O STJ deu provimento ao recurso, entendendo como indevida a indenização, na medida em que não houve comprovação do dano moral sofrido pela Autora.
- Dados Pessoais Sensíveis
Um ponto que gerou discussão nesse caso foi a respeito de dados pessoais sensíveis. Isso porque o TJSP em seu acórdão categorizou os dados pessoais vazados como sensíveis. No entanto, o STJ acertadamente fundamentou que a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados – “LGPD”) define em seu art. 5º, inciso II um rol taxativo de dados pessoais sensíveis, e que os dados vazados não entrariam nessa categoria.
- Dano Moral Presumido
Outro ponto de discussão foi a respeito do dano moral presumido. O STJ argumentou que, não sendo os dados pessoais vazados sensíveis, o dano moral não pode ser presumido, devendo haver comprovação de dano para que a indenização seja aplicada.
“O vazamento de dados pessoais, a despeito de se tratar de falha indesejável no tratamento de dados de pessoa natural por pessoa jurídica, não tem o condão, por si só, de gerar dano moral indenizável. Ou seja, o dano moral não é presumido, sendo necessário que o titular dos dados comprove eventual dano decorrente da exposição dessas informações.”
O acórdão completo pode ser lido por este link.