Recente julgamento realizado pela Segunda Turma do Superior Tribunal de Justiça jogou luzes à interpretação da Lei Geral de Proteção de Dados – LGPD, especialmente em relação ao necessário e oportuno cotejo entre Dados Pessoais e Dados Pessoais Sensíveis, bem como o dever de indenizar em caso de vazamento.
Em decisão publicada em 10 de março de 2023, a Segunda Turma do STJ se debruçou sobre ação oriunda do TJSP na qual era postulada indenização por danos morais pelo vazamento e compartilhamento indevido de dados pessoais pelo controlador Eletropaulo Metropolitana Eletricidade de São Paulo S.A. (ARE º 2.130.619 – SP)[1]. A autora da ação alegava que, a partir do vazamento dos dados fornecidos à prestadora de serviços, foi exposta ao risco de fraudes e importunações por terceiros estranhos àquela relação de consumo.
Entretanto, em análise ponderada, o Relator Francisco Falcão fez uma diferenciação entre os artigos 7° e 11° da Lei 13.709/2018 (LGPD) que preveem, respectivamente, sobre o tratamento de Dados Pessoais e de Dados Pessoais Sensíveis. Destacou que no seu entendimento, ao contrário do que é previsto sobre Dados Pessoais, os Sensíveis constam em rol taxativo do artigo 5°, II da LGPD e têm tratamento diferenciado, portanto, exigindo maior acuidade pelo controlador.
No caso concreto analisado pelo STJ, a autora postulava indenização pelo vazamento de dados pessoais, tais como, nome completo, RG, data de nascimento, idade, telefone e endereço, cujas informações não são consideradas como sensíveis pela LGPD por não constarem de forma expressa. Assim sendo, como dito pelo Julgador, nesses casos, o dano moral não é presumido, apesar de se tratar de “falha indesejável” no tratamento de dados de pessoa natural por pessoa jurídica. Logo, foi consignado, em decisão unânime da 2ª Turma, que a indenização pretendida apenas existiria na hipótese de prova efetiva do dano sofrido, que não ocorreu.
De fato, os Dados Pessoais considerados Sensíveis pela lei em vigor são aqueles previstos de forma objetiva no artigo 5°, II, como segue: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Cumpre referir, no entanto, que a doutrina majoritária que vem nascendo pondera que outros dados pessoais, a depender do caso concreto, também podem ser considerados como sensíveis. Tal entendimento decorre da previsão do artigo 11, §1° da LGPD que assim dispõe: Aplica-se o disposto neste artigo a qualquer tratamento de dados pessoais que revele dados pessoais sensíveis e que possa causar dano ao titular, ressalvado o disposto em legislação específica.
Com efeito, é importante destacar que, além da interpretação oferecida pelo Relator de que os dados sensíveis somente são os que constam no artigo 5°, II da LGPD, outros também, a depender da circunstância, devem ser tratados com as mesmas cautelas legais previstas no artigo 11 da mesma Lei, sob pena de violação às normas da LGPD.
A decisão em tela é relevante no cenário atual, pois demonstra a importância dos primeiros estudos e percepções sobre a LGPD nos Tribunais Superiores. Além disso, demonstra o que é, de fato, protegido pela Lei quando se fala em dados pessoais sensíveis e, consequentemente, as implicações legais do vazamento.
Felipe Chamorro Robleski
[1]https://processo.stj.jus.br/processo/julgamento/eletronico/documento/mediado/?documento_tipo=integra&documento_sequencial=178204788®istro_numero=202201522622&peticao_numero=&publicacao_data=20230310&formato=PDF