Publications / Articles

(Português) Quatro anos da Lei Geral de Proteção de Dados: precedentes do STJ

(Português) Quatro anos da Lei Geral de Proteção de Dados: precedentes do STJ

Written by João Pedro Ferraz Delgado . 02 . 11 . 2024 Published in Articles

(Português) Por João Pedro Delgado 

 

A Lei nº 13.709, publicada em agosto de 2018, conhecida como Lei Geral de Proteção de Dados Pessoais, entrou em vigor em agosto de 2020, dois anos depois, tendo produzido grande impacto na conduta tanto de instituições públicas quanto privadas em relação ao procedimentos de coleta, armazenamento, tratamento e compartilhamento de dados, sobretudo ao destacar o direito de qualquer cidadão a saber como, quando e por que os seus dados foram captados, assegurando a este, ainda, o direito de revogar o consentimento para isso. 

Considerando a pequena revolução causada no ambiente corporativo, inúmeras questões relacionadas ao assunto têm sido levadas ao Poder Judiciário, o qual tem sido provocado a analisar e resolver diversas questões, como responsabilidade por eventual vazamento, hipóteses de indenização, entre outras, destacando-se os seguintes entendimentos: 

Titular de dados vazados deve comprovar prejuízo efetivo ao requerer indenização 

Ainda que o vazamento de dados seja uma falha no tratamento de informações pessoais, ele não garante automaticamente o direito à indenização por danos morais. Para que haja direito a eventual indenização, o titular dos dados deve efetivamente demonstrar o prejuízo real causado pela exposição dessas informações. 

Referido entendimento foi aplicado pela Segunda Turma ao julgar o AREsp 2.130.619, de uma concessionária de energia elétrica, revertendo uma decisão do TJSP. A corte estadual havia ordenado que a concessionária pagasse R$ 5 mil em danos morais devido ao vazamento de dados pessoais de uma cliente, como nome, data de nascimento, endereço e número de documento de identificação. A consumidora, por sua vez, alegou que suas informações foram acessadas por terceiros e compartilhadas mediante pagamento, criando um risco potencial de fraude e incômodos. 

O Ministro Francisco Falcão, relator do recurso, destacou que o artigo 5º, inciso II, da LGPD apresenta uma lista específica de dados pessoais considerados sensíveis, que, conforme o artigo 11 da mesma lei, requerem tratamento diferenciado. Entre esses dados estão informações sobre origem racial ou étnica, convicções religiosas, opiniões políticas, associação a sindicatos ou organizações religiosas, além de dados relacionados à saúde sexual e outras informações íntimas. 

Para o magistrado, os dados em questão são aqueles fornecidos em qualquer cadastro, “inclusive nos sites consultados no dia a dia, não sendo, portanto, protegidos por sigilo, e o conhecimento por terceiros não violaria o direito de personalidade da recorrida”, afastando, assim a ocorrência de dano moral. 

Provedores de conexão à internet devem fornecer dados de autor de post ofensivo à pessoa falecida 

No julgamento do REsp 1.914.596, a Quarta Turma do STJ decidiu no sentido de que os provedores de conexão à internet devem fornecer os dados cadastrais (nome, endereço, RG e CPF) dos usuários que publicaram conteúdos ofensivos, neste caso no YouTube, contra a memória de uma pessoa falecida. 

O caso envolveu publicação de vídeos com ofensas à memória da vereadora Marielle Franco (PSOL-RJ), assassinada em 2018 junto de seu motorista, Anderson Gomes. A irmã e a companheira de Marielle entraram com uma ação contra o Google, administrador do YouTube, requerendo a remoção dos vídeos ofensivos. O pedido foi aceito em primeira instância e confirmado pelo Tribunal de Justiça do Rio de Janeiro (TJRJ). 

No entanto, o TJRJ rejeitou o pedido das autoras para que os provedores de acesso fornecessem a identificação dos responsáveis pelos vídeos, alegando que esses provedores não eram parte do processo. 

O Ministro Luis Felipe Salomão, relator do caso, destacou que as autoras buscavam a remoção dos conteúdos ofensivos para preservar a honra da falecida e identificar os responsáveis, com base no artigo 22 do Marco Civil da Internet (Lei 12.965/2014). Segundo o relator, o STJ já possuia entendimento consolidado sobre a necessidade de intervenção judicial para obter dados protegidos e instruir processos cíveis e criminais. Ele afirmou que, neste caso, a privacidade dos usuários que publicaram os vídeos não prevalecia diante dos indícios de conduta ilegal, destacando que “a LGPD não exclui a responsabilidade da quebra de sigilo. Ao contrário, apresenta regras sobre tal ocorrência, que, no caso, revela-se possível, considerando as espécies de dados, a finalidade da quebra e o contexto em que apresentados. 

Instituição financeira possui responsabilidade por tratamento indevido de dados pessoais utilizados em golpe 

No REsp 2.077.278, sob a relatoria da ministra Nancy Andrighi, a Terceira Turma do STJ se posicionou no sentido de que a instituição financeira possui responsabilidade pelo defeito na prestação do serviço quando há tratamento inadequado de dados pessoais bancários, permitindo que estelionatários utilizem essas informações para aplicar golpes contra consumidores. 

No caso, uma mulher entrou em contato com seu banco por e-mail solicitando orientações sobre como quitar o financiamento de um veículo, tendo recebido, dias depois, mensagem via WhatsApp de uma pessoa que se apresentou como funcionária do banco, propondo a liquidação do financiamento e fornecendo o número do contrato e outros dados. Acreditando na legitimidade do procedimento, a cliente pagou um boleto de R$ 19 mil. Após o pagamento, não tendo recebido resposta ou confirmação, entrou em contato com o número oficial da instituição e descobriu que havia sido vítima de um golpe. 

O juízo de primeira instância declarou válido o pagamento e considerou o contrato de financiamento quitado. No entanto, o TJSP reformou essa decisão, entendendo que o golpe foi facilitado pela comunicação informal e que as informações do boleto falso não correspondiam ao contrato original. O tribunal concluiu que a cliente não tomou as precauções necessárias ao utilizar um canal não oficial para tratar da quitação, afastando a responsabilidade do banco e atribuindo a culpa ao estelionatário e à própria vítima. 

A ministra relatora no STJ, todavia, entendeu que os dados sobre operações bancárias são, em regra, de tratamento exclusivo das instituições financeiras, conforme estabelecido pela Lei Complementar 105/2001, que impõe o dever de sigilo em suas operações ativas e passivas e nos serviços prestados (artigo 1º). Esse dever jurídico impede a revelação de informações obtidas em razão da atividade profissional, salvo em situações excepcionais. 

Assim, segundo a ministra, o armazenamento inadequado de dados, permitindo que terceiros acessem informações sigilosas e causem prejuízos ao consumidor, configura defeito na prestação do serviço, aplicando ao caso o artigo 14 do Código de Defesa do Consumidor e artigo 44 da LGPD. 

A Ministra sustenta que “não há como afastar a responsabilidade da instituição financeira pela reparação dos danos decorrentes do golpe do boleto, uma vez que os criminosos têm conhecimento de informações e dados sigilosos sobre as atividades bancárias do consumidor. Ou seja, os estelionatários sabem que o consumidor é cliente da instituição, que enviou e-mail à entidade para quitar sua dívida, e possuem dados relativos ao próprio financiamento (quantidade de parcelas em aberto e saldo devedor)”, defendendo que cabe à instituição providenciar medidas de segurança sobre referidas informações e dados.