Consumidora vítima de incidente de segurança ajuizou ação indenizatória por danos morais contra concessionária de energia elétrica por vazamento de seus dados. Em decisão inédita, o Superior Tribunal de Justiça (“STJ”) negou os danos morais e reconheceu que os danos decorrentes de vazamento de dados não podem ser presumidos, e sim devidamente comprovados pelo titular.
Esse assunto já vinha sendo debatido e divide a opinião dos especialistas e dos tribunais brasileiros. De um lado, há os que defendem que o dano moral seria presumido (in re ipsa) bastando a simples ocorrência do incidente para gerar o dever de indenizar. Do outro lado, que o incidente, por si só, não caracteriza dano indenizável, uma vez que o dano deve ser comprovado.
Apesar de não vinculante, o julgado do STJ pode influenciar os tribunais estaduais a seguirem a mesma direção e servir como fundamento para casos semelhantes.
Entenda o caso
Em resumo, alega a autora que o vazamento dos seus dados pessoais (nome, CPF, RG, gênero, data de nascimento, idade, telefone fixo, telefone celular) teria causado a sua exposição a fraudes por terceiros e requer danos morais em R$ 15.000,00. Em defesa, a concessionária alerta para o risco da indústria do dano moral e destaca não haver prova quanto à existência de danos morais.
Em sentença, o juízo de primeiro grau entendeu que “para caracterizar dano moral, a ensejar reparação, o fato deve gerar grave ofensa à honra, à dignidade ou a atributo da personalidade da pessoa” e que, no caso, o “simples fato de ter ocorrido o vazamento de dados pessoais não enseja indenização por dano moral”.
O Tribunal de Justiça do Estado de São Paulo (“TJSP”) teve entendimento diverso. Destacou que a autora é pessoa idosa e, por sua vulnerabilidade, ficando mais suscetível a eventual golpe. Reconheceu existir responsabilidade objetiva da concessionária por falha na prestação dos serviços, dando provimento ao recurso de apelação da autora e condenando a concessionária a pagar indenização no valor de R$ 5.000,00. A concessionária recorreu da decisão.
O STJ reconheceu que com relação aos dados pessoais comuns, o vazamento não tem o condão, por si só, de gerar dano moral indenizável. “Ou seja, o dano moral não é presumido, sendo necessário que o titular dos danos comprove eventual dano decorrente da exposição dessas informações”. De acordo com o STJ, diferente seria se estivéssemos diante de vazamento de dados sensíveis, que dizem respeito à intimidade da pessoa natural. Aguarda-se o trânsito em julgado da decisão.
Importante: A não condenação dos agentes de tratamento no âmbito judiciário não os isenta das sanções administrativas, que poderão ser aplicadas pela Autoridade Nacional de Proteção de Dados – ANPD.
Em caso de dúvidas, entre em contato com nosso time de Propriedade Intelectual.
*Para acesso à íntegra da ação judicial, acesse www.tjsp.com.br e pesquise pelo processo nº 1003203-67.2021.8.26.0405.A consumer victim of a security incident filed a lawsuit for moral damages against an electric public-service corporation for leaking her data. In an unprecedented decision, the Brazilian Superior Court of Justice ("STJ") denied moral damages and recognized that the damages resulting from data leakage cannot be presumed and must be duly proven by the data subject.
This topic has been debated and divides the opinion of experts and Brazilian courts. On one hand, there are those who argue that moral damage is presumed and that the mere occurrence of the security incident is enough to generate the duty to indemnify. On the other hand, that the security incident, by itself, does not characterize compensable damage, since the damage must be proven.
Although not binding, the STJ decision may influence appellate state courts to follow the same direction and serve as a basis for similar cases.
Understanding the case
In summary, the plaintiff alleges that the leak of her personal data (name, Brazilian taxpayer number, ID, gender, date of birth, age, address, cell phone number) would have exposed her to fraud attempts and requires moral damages of R$15,000.00. In its defense, the electric public-service corporation warns about the risk of creating a moral damages industry and stresses that there is no proof of damages.
The lower court understood that "to characterize moral damage, requiring compensation, the fact must generate serious offense to the honor, dignity or personality attribute of the person" and that, in this case, the "mere fact that personal data has been leaked does not give rise to compensation for moral damage”.
The State of São Paulo Appellate Court had a different understanding. In its decision, the Court emphasized that the plaintiff is an elderly person and due to her age, is more vulnerable and susceptible to fraud attempts. The appellate court recognized the existence of strict liability of the company for failure in providing the services, granting the plaintiff's appeal and ordering the company to pay compensation in the amount of R$ 5,000.00. The company appealed the decision.
The STJ recognized that regarding ordinary personal data, the leak by itself is not capable of generating indemnifiable moral damage. "That is, moral damage is not presumed, and it is necessary that the party alleging the damage proves any damage arising from the exposure of such information”. According to the STJ, the understanding could be different in case of the leakage of sensitive data. A final and unappealable decision is awaited.
Important: The non-condemnation of the data processing agents in the judicial sphere does not exempt them from administrative sanctions - which may be applied by the Brazilian National Data Protection Authority - ANPD.
In case of any queries, please contact our Intellectual Property team.
*To access the full court case, access www.tjsp.com.br and search for case number 1003203-67.2021.8.26.0405.
Newsletter
Assine nossas newsletters para acompanhar as notícias, artigos e informes publicados pelo Lobo de Rizzo