Incidente de segurança é tema de 7 em cada 10 decisões judiciais relacionadas à LGPD, indica estudo do Opice Blum

report jurimetria_Report

Em junho deste ano, a LGPD (Lei Geral de Proteção de Dados) foi citada em 162 decisões judiciais em âmbito nacional, das quais 63 faziam menção a matérias específicas da lei. Ainda de acordo com a primeira edição do estudo de jurimetria do Opice Blum, Bruno e Vainzof Advogados, as outras 99 decisões que apenas citaram a legislação tratavam sobre: a obtenção de concessão ou rejeição do segredo de justiça; a ocultação de dados em documentos emitidos pelo Judiciário; ou a ocultação de nomes de testemunhas. A pesquisa buscou a maior extensão possível, mas não envolve todos os tribunais brasileiros por questões técnicas ou sistêmicas.

No rol de matérias específicas relacionadas à LGPD abordadas por tribunais no período analisado, o tema incidente de segurança aparece em quase 70% das decisões, seguido de direito à exclusão, base legal e finalidade, direito ao acesso/à confirmação, uso compartilhado, dados sensíveis, consentimento, responsabilidade do agente (controlador/operador), bloqueio ou anonimização e, por fim, definição de dados pessoais.

O gráfico abaixo mostra a divisão dos assuntos específicos da LGPD tratados no mês de junho pelo Judiciário.

O levantamento também demonstra que, em junho deste ano, a imensa maioria das decisões judiciais – o equivalente a 92% – foi proferida pelo TJSP (Tribunal de Justiça de São Paulo), sendo que os 8% restantes se dividem em Tribunal Regional do Trabalho da 2ª Região (São Paulo/Capital), Tribunal Regional do Trabalho da 15ª Região (São Paulo/Interior), Superior Tribunal de Justiça (STJ), Tribunal de Justiça de Santa Catarina (TJSC) e Tribunal de Justiça do Distrito Federal e Territórios (TJDFT).

Dano indenizável

Uma das conclusões que se pode tirar a partir do estudo de jurimetria realizado é que o vazamento, por si só, não gera necessariamente indenização por dano moral. Nesse aspecto, das 63 decisões judiciais, apenas 6 reconheceram, na primeira instância, o dano moral in re ipsa, o que representa menos de 10% do total (veja gráfico abaixo).

Ou seja, a exfiltração de dados, por si só, não é suficiente para gerar a obrigação de indenizar, sendo necessário haver a comprovação efetiva do dano moral sofrido pelo titular de dados. Fizemos report sobre o dano moral in re ipsa no contexto da LGPD. Acesse aqui.

No segundo grau de jurisdição, nosso levantamento identificou comportamento semelhante, com 75% das decisões determinando a comprovação efetiva do abalo sofrido para o reconhecimento do dano moral. Como exemplo, importante analisar decisão proferida pelo TJSP em incidente de segurança, sem que o autor tenha

comprovado o uso indevido dos seus dados pessoais. “Assim, intimidade e privacidade são direitos que integram a dignidade humana, e é certo que sua violação é indenizável. No entanto, o mero risco de violação não constitui violação. É um passo antecedente. Apenas a concretização desses riscos consubstanciada no acesso indevido a dados pessoais constitui a violação”, diz trecho da decisão.

Destaques

Há, ainda, decisões que exemplificam o comportamento dos tribunais em relação às indenizações pecuniárias. Dos 63 julgados que mencionaram matéria específica da LGPD, apenas 9 reconheceram indenizações pecuniárias aplicadas às empresas, com valor médio de R$ 2.861,25. Confira abaixo três exemplos.

  • Incidente de segurança da informação. Apesar de não ter havido a identificação dos dados vazados e de dano efetivo (prejuízo) ao titular, foi reconhecida a incidência de dano moral in re ipsa decorrente do incidente. Como consequência, a empresa foi condenada, em primeira instância, ao pagamento de R$ 10 mil por danos morais;
  • Incidente de segurança da informação. Magistrado considerou que o incidente resultou em compartilhamento indevido dos dados. Como consequência, condenou a ré ao pagamento de R$ 3 mil por danos morais;
  • Serviços bancários. Compartilhamento de dados com empresa de cobrança, sem que o titular de dados fosse inadimplente. Condenação no valor de R$ 2.500,00 por danos morais.

No entanto, como observado, em decisões condenatórias, a maioria dos julgadores não estabelece a condenação pecuniária. Vejamos alguns exemplos:

  • Incidente de segurança da informação. O réu foi condenado a providenciar ao autor, por 3 anos, serviço de monitoramento mantido por birô de crédito, de modo que possa monitorar eventual uso indevido do seu nome relacionado ao vazamento;
  • Incidente de segurança da informação. Recolher os dados pessoais do autor de todos os locais em que foram compartilhados sem autorização, no prazo de 5 dias, ou comunicar a impossibilidade técnica da obrigação;
  • Contrato com academia de ginástica. Anular, por abusividade, a cláusula que trata de dado pessoal sensível (biométrico) do consumidor com consentimento colhido em contrato de adesão.

Por fim, nos destaques das decisões que mencionam matéria específica da LGPD, apesar de ter sido reconhecido o incidente, o julgador exigiu a comprovação efetiva do abalo, a fim de trazer a obrigação de pagamento. Dessa forma, como visto anteriormente, os tribunais, em junho, afastaram o dano moral in re ipsa, conforme os exemplos abaixo.

  • Incidente de segurança da informação. Concessionária de serviço essencial. Incidente reconhecido. Dano moral não comprovado. Incidente não gera dano moral in re ipsa. Reconhecimento de que a ré adotou todas as medidas para mitigar riscos. Autor que não se dirigiu à ANPD. Expedição de ofícios indeferida. Afastamento da condenação, com destaque para a postura diligente da empresa para mitigar os riscos (importância de postura ativa diante de incidentes);
  • Incidente de segurança da informação. Concessionária de serviço essencial. Incidente reconhecido. Dano moral não comprovado. Mero incidente não gera dano moral in re ipsa. Ofício ao Ministério Público para apuração de eventual ilícito por parte do autor, que passou a aliciar potenciais lesionados, mais especificamente, clientes, objetivando ajuizamento de ações indenizatórias.

Além do Judiciário, os titulares de dados podem, com a vigência do artigo 52 da LGPD, buscar a reparação dos seus direitos junto à ANPD. Assim como ocorreu no contexto do GDPR (General Data Protection Regulation), na União Europeia, cuja aplicação de sanções foi baixa nos primeiros meses da sua entrada em vigor, a expectativa é que a ANPD tenha comportamento semelhante, adotando as sanções somente em último caso.

Para mais informações, nossas equipes permanecem à disposição.

Share on facebook
Facebook
Share on google
Google+
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp