O Tribunal de Justiça de São Paulo cancelou sentença que condenava a Prudential a pagar R$ 10 mil de danos morais para um cliente que teve seus dados expostos em um vazamento.
O valor é trocado, mas a decisão unânime do TJ-SP é importante pelo seu impacto nas sentenças futuras de outros tribunais (na jurisprudência, para falar bonito).
A chave do assunto é que o TJ-SP definiu que os dados vazados não se enquadram na definição legal de “dados sensíveis” tal como estabelece a Lei Geral de Proteção de Dados.
Conforme a LGPD, dados sensíveis podem ser, por exemplo, origem racial ou étnica, dados biométricos e relacionados com saúde.
Também foi ressaltado que não houve dano comprovado, pois o autor não experimentou prejuízo com alegadas tentativas de golpe que seriam decorrentes do vazamento.
A decisão é ainda mais importante já que a Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em 2018, ainda não conta com uma jurisprudência consolidada sobre o regime de responsabilidade aplicável a esses casos.
O relator, desembargador Antonio de Almeida Sampaio, estabeleceu inclusive um princípio de responsabilidade pelos dados que deve causar discussões no meio de TI.
“Ressalte-se, por certo, que a exposição de dados não se deu por ato da seguradora. A invasão, como tem acontecido amiúde, não é fruto da má organização das empresas ou entidades estatais”, afirma Sampaio na sua decisão.
A tese da defesa da Prudential, feita pelo escritório Mattos Filho, é que a seguradora não presta serviços de guarda e/ou processamento de dados e, portanto, não poderia ser acusada na falha de prestação de serviços.
Outra parte da defesa é que a ocorrência de um incidente de dados não gera dano moral, e que as eventuais punições devem vir da LGPD e não do Código do Consumidor.
A chave do tema aqui é que enquanto a LGPD multa empresas em 2% do faturamento, até um teto de R$ 50 milhões, o Código do Consumidor indeniza clientes individualmente, o que poderia levar os valores totais para cifras bem maiores.
Jurisprudência
A decisão não é a primeira no TJ-SP nesse sentido, mais um sinal de que se está formando uma consenso jurídico em relação ao tema proteção de dados que é favorável para as empresas.
Em março do ano passado, o TJ-SP decidiu da mesma forma em caso de um cliente da Eletropaulo que estava processando a concessionária por danos morais pelo vazamento dessas informações pessoais.
O vazamento da Eletropaulo incluiu dados como nome, CPF, RG, telefones fixo e celular, e-mail, endereço residencial e data de nascimento.
Após o vazamento no sistema da Eletropaulo, o consumidor teria recebido inúmeras mensagens e ligações indevidas de terceiros.
De acordo com a decisão, as ligações não solicitadas (algumas das quais possivelmente realizadas por quadrilhas de criminosos especializadas) são apenas apenas um “mero dissabor cotidiano, incapaz de ensejar o dever de reparação”.
Fonte: Baguete