A ADEQUAÇÃO À LGPD É UMA NECESSIDADE PARA A DEFESA EM AÇÃO DE DANOS CONTRA AS ESCOLAS
Num mundo cada vez mais informatizado, com várias tecnologias e ferramentas, as escolas com a edição da Lei Geral de Proteção de Dados devem estar preparadas para defesa de seu patrimônio, ou conjunto de propriedades, nas ações de danos que começam a ganhar corpo nos tribunais do Brasil a fora.
Não é possível ainda identificar uma tendência do pensamento jurídico nos tribunais, contudo, já podemos ver decisões favoráveis às empresas que já estão se adequando a LGPD. O caso em tela mostra que a empresa estava se adequando à LGPD quando se deu o vazamento de dados por ataque de hackers.
Destaque-se que as ações de danos contra as empresas têm como pressuposto o dano in re ipsa, ou seja, o dano moral que não precisa de prova, pois é presumido. Nestes casos, basta a parte provar a prática do ato ilícito, vazamento dos danos, uma vez configurado a parte pode exigir o dano.
Na presente decisão o Tribunal, embora pudesse considerar o dano moral in re ipsa, aplicável ao caso, na realidade, adotou a excludente de responsabilidade por culpa exclusiva de terceiro, ataque de hackers, utilizando seu processo de proteção de dados.
Tribunal de Justiça de São Paulo TJ-SP – Recurso Inominado Cível : RI 1002694-39.2021.8.26.0405 SP 1002694-39.2021.8.26.0405 – Inteiro Teor
TRIBUNAL DE JUSTIÇA DO ESTADO DE SÃO PAULO Osasco-SP
Nº Processo: 1002694-39.2021.8.26.0405
Registro: 2021.0000066513
ACÓRDÃO
Vistos, relatados e discutidos estes autos de Recurso Inominado Cível nº 1002694-39.2021.8.26.0405, da Comarca de Osasco, em que é HELENA …., é recorrido ELETROPAULO METROPOLITANA ELETRICIDADE DE SÃO PAULO S/A .
ACORDAM, em 2ª Turma Cível do Colégio Recursal – Osasco, proferir a seguinte decisão: à unanimidade, negaram provimento ao recurso e condenaram o (a) recorrente ao pagamento das custas e verba honorária, arbitrada em 10% sobre o valor da causa, restando suspensa a exigibilidade em razão da gratuidade da justiça, de conformidade com o voto do Relator, que integra este acórdão.
O julgamento teve a participação dos MM. Juízes MARIANA ….(Presidente sem voto), SAMUEL …. E DANIELLE … .
Osasco, 25 de junho de 2021.
André ……….
RELATOR
TRIBUNAL DE JUSTIÇA DO ESTADO DE SÃO PAULO Osasco-SP
Nº Processo: 1002694-39.2021.8.26.0405
Recurso nº: 1002694-39.2021.8.26.0405
Recorrente: Helena …
Recorrido: Eletropaulo Metropolitana Eletricidade de São Paulo S/A
Voto nº 1002694
EMENTA – RECURSO INOMINADO – AÇÃO DE CONHECIMENTO – LEI GERAL DE PROTEÇÃO DE DADOS – DIVULGAÇÃO DE DADOS ARMAZENADOS – NECESSÁRIA MANIFESTAÇÃO DE VONTADE DO TITULAR – VAZAMENTO DE INFORMAÇÕES – AUSÊNCIA DE PROVA DE OMISSÃO QUALIFICADA DA EMPRESA (FALHA REITERADA NOS SISTEMAS DE INFORMÁTICA) – ATAQUE HACKER – EXCLUDENTE DE RESPONSABILIDADE – ARTIGO 43, INCISO III, DA LEI Nº 13.709/2018 – SENTENÇA MANTIDA – RECURSO DESPROVIDO.
Vistos.
I. RELATÓRIO
O MM André Luiz Tomasi de Queiróz – Relator
Relatório dispensado, nos termos do artigo 46, da Lei nº 9.099/1995.
II. VOTO
O MM André … – Relator
O recurso não comporta provimento.
A sentença de primeiro grau deve ser mantida, por fundamentos diversos.
Sobre a questão dos autos deve o órgão julgador obediência à dualidade protetiva, constante do Código de Defesa do Consumidor e da Lei Geral de Proteção de Dados.
Em relação a esta última, a LGPD dispõe “sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural” e tem por fundamentos (artigo 2º):
I – o respeito à privacidade;
II – a autodeterminação informativa;
III – a liberdade de expressão, de informação, de comunicação e de opinião;
IV – a inviolabilidade da intimidade, da honra e da imagem;
V – o desenvolvimento econômico e tecnológico e a inovação;
VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
No que tange à utilização dos dados da parte, estabelece o artigo 7º:
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I – mediante o fornecimento de consentimento pelo titular;
II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII – para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; (Redação dada pela Lei nº 13.853, de 2019)
IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
…
§ 3º O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.
§ 4º É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei.
§ 5º O controlador que obteve o consentimento referido no inciso I do caput deste artigo que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas nesta Lei.
§ 6º A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas nesta Lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular.
Ressalvados os casos previstos de forma específica na lei, para a utilização dos dados faz-se necessário o consentimento expresso, por escrito ou por outro meio que demonstre a manifestação de vontade do titular. A utilização dos dados sem a prova do consentimento implica na responsabilização do controlador ou operador dos dados, in verbis:
Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
Assim, diversamente do que consta da sentença de primeiro grau, a divulgação dos dados pessoais do consumidor, sem seu consentimento, gera dano moral in re ipsa , conforme entendimento esposado pelo E. Tribunal da Cidadania:
RECURSO ESPECIAL. FUNDAMENTO NÃO IMPUGNADO. SÚM. 283/STF. AÇÃO DE COMPENSAÇÃO DE DANO MORAL. BANCO DE DADOS. COMPARTILHAMENTO DE INFORMAÇÕES PESSOAIS. DEVER DE INFORMAÇÃO. VIOLAÇÃO. DANO MORAL IN RE IPSA. JULGAMENTO:
CPC/15.
…
4. A hipótese dos autos é distinta daquela tratada no julgamento do REsp 1.419.697/RS (julgado em 12/11/2014, pela sistemática dos recursos repetitivos, DJe de 17/11/2014), em que a Segunda Seção decidiu que, no sistema credit scoring, não se pode exigir o prévio e expresso consentimento do consumidor avaliado, pois não constitui um cadastro ou banco de dados, mas um modelo estatístico.
5. A gestão do banco de dados impõe a estrita observância das exigências contidas nas respectivas normas de regência – CDC e Lei 12.414/2011 – dentre as quais se destaca o dever de informação, que tem como uma de suas vertentes o dever de comunicar por escrito ao consumidor a abertura de cadastro, ficha, registro e dados pessoais e de consumo, quando não solicitada por ele.
6. O consumidor tem o direito de tomar conhecimento de que informações a seu respeito estão sendo arquivadas/comercializadas por terceiro, sem a sua autorização, porque desse direito decorrem outros dois que lhe são assegurados pelo ordenamento jurídico: o direito de acesso aos dados armazenados e o direito à retificação das informações incorretas.
7. A inobservância dos deveres associados ao tratamento (que inclui a coleta, o armazenamento e a transferência a terceiros) dos dados do consumidor – dentre os quais se inclui o dever de informar – faz nascer para este a pretensão de indenização pelos danos causados e a de fazer cessar, imediatamente, a ofensa aos direitos da personalidade.
8. Em se tratando de compartilhamento das informações do consumidor pelos bancos de dados, prática essa autorizada pela Lei 12.414/2011 em seus arts. 4º, III, e 9º, deve ser observado o disposto no art. 5º, V, da Lei 12.414/2011, o qual prevê o direito do cadastrado ser informado previamente sobre a identidade do gestor e sobre o armazenamento e o objetivo do tratamento dos dados pessoais.
9. O fato, por si só, de se tratarem de dados usualmente fornecidos pelos próprios consumidores quando da realização de qualquer compra no comércio, não afasta a responsabilidade do gestor do banco de dados, na medida em que, quando o consumidor o faz não está, implícita e automaticamente, autorizando o comerciante a divulgá-los no mercado; está apenas cumprindo as condições necessárias à concretização do respectivo negócio jurídico entabulado apenas entre as duas partes, confiando ao fornecedor a proteção de suas informações pessoais.
10. Do mesmo modo, o fato de alguém publicar em rede social uma informação de caráter pessoal não implica o consentimento, aos usuários que acessam o conteúdo, de utilização de seus dados para qualquer outra finalidade, ainda mais com fins lucrativos.
11. Hipótese em que se configura o dano moral in re ipsa.
12. Em virtude do exame do mérito, por meio do qual foram rejeitadas as teses sustentada pela recorrente, fica prejudicada a análise da divergência jurisprudencial.
13. Recurso especial conhecido em parte e, nessa extensão, desprovido. (REsp 1758799/MG, Rel. Ministra NANCY …., TERCEIRA TURMA, julgado em 12/11/2019, DJe 19/11/2019) negrita-se
No mesmo sentido, o E. Tribunal de Justiça Bandeirante: Apelações Cíveis. Ação condenatória de obrigação de fazer c.c indenização por ato ilícito. Sentença de parcial procedência.
Inconformismo de ambas as partes. Divulgação de números telefônicos do autor. Banco de dados. Compartilhamento de informações pessoais. Abertura de cadastro com dados pessoais do consumidor sem autorização. Dever de informação. Código de Defesa do Consumidor. Violação à privacidade. Dano moral in re ipsa. Entendimento em sede de recurso especial, REsp. 1.758.799.
Sentença reformada em parte. Sucumbência exclusiva da ré. Recurso do autor provido e não provido o da ré. (TJSP; Apelação Cível 1013002-14.2018.8.26.0576; Relator: Hélio ….; Órgão Julgador: 23ª Câmara de Direito Privado; Foro de São José do Rio Preto – 3ª Vara Cível; Data do Julgamento: 19/06/2020; Data de Registro: 19/06/2020) negrita-se
Apelação Cível. Ação condenatória de obrigação de fazer c.c indenização por ato ilícito. Sentença de improcedência.Inconformismo. Divulgação de estimativa de renda mensal do autor. Banco de dados. Compartilhamento de informações pessoais.
Abertura de cadastro com dados pessoais do consumidor sem autorização. Dever de informação. Código de Defesa do Consumidor.
Violação à privacidade. Dano moral in re ipsa. Entendimento em sede de recurso especial, REsp. 1.758.799. Irregularidade configurada.
Exclusão determinada. Sentença reformada. Sucumbência exclusiva da ré. Recurso provido. (TJSP; Apelação Cível 1032408-21.2018.8.26.0576; Relator (a): Hélio Nogueira; Órgão Julgador: 23ª Câmara de Direito Privado; Foro de São José do Rio Preto – 3ª Vara Cível; Data do Julgamento: 15/06/2020; Data de Registro: 15/06/2020) negrita-se
Por tal razão, optando o controlador ou operador por manter dados, sensíveis ou não do indivíduo, torna-se obrigado a obter e operacionalizar os meios necessários para assegurar a integralidade e privacidade do conteúdo (artigo 44), sendo-lhe vedado o compartilhamento sem consentimento expresso , somente isentando-se nos casos previstos no artigo subsequente:
A Ricardo Furtado Sociedade de Advogados estará lançando no início do ano que vem um serviço de adequação a LGPD informatizado para as escolas de todos os portes. Faça já um contato com nosso comercial e veja como podemos lhe axiliar na implantação a LGPD.
Art. 43. Os agentes de tratamento só não serão responsabilizados quando provarem:
I – que não realizaram o tratamento de dados pessoais que lhes é atribuído;
II – que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou
III – que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
No caso dos autos, a questão não diz respeito ao compartilhamento voluntário , mas se refere a um ataque cibernético realizado por terceiro , em local específico de armazenamento de dados (Unidade de Osasco), sendo que a parte recorrida adotou medidas imediatas de comunicação e informação aos consumidores, em especial à recorrente (fls. 23-24) – adimplindo com o disposto no artigo 6º, inciso III, do CDC.
Não há nenhum documento que demonstre vício ou falha deliberada da parte recorrida acerca de seus sistemas de segurança , apesar do vazamento excepcional dos dados. Vale dizer, não há omissão qualificada em razão da reiteração de condutas, como a presente, que implique sua responsabilização por não dar tratamento adequado aos dados armazenados.
Dessa forma, ao menos do que consta dos autos, trata-se de situação isolada em decorrência de ataque de hackers, incidindo a excludente do inciso III, do artigo 43, da LGPD. Entretanto, caso estivessem comprovados fatos reiterados de acesso ao sistema informatizado da ré, a omissão no aperfeiçoamento do sistema implicaria no seu dever de indenizar.
Em caso análogo:
Responsabilidade civil – Vazamento de dados pessoais da recorrente, extraídos do banco de dados da concessionária-recorrida, em razão da ação de hackers – Falha na prestação do serviço, na medida em que a concessionária-recorrida não adotou medidas de segurança adequadas para proteger os dados pessoais de seus consumidores – Ação de hackers que, no entanto, caracteriza fortuito externo, na medida em que não pode ser considerada inerente ao risco da atividade empresarial desenvolvida pela concessionária-recorrida – Culpa exclusiva de terceiro que rompe o nexo de causalidade, nos termos do art. 14, § 3º, inciso II, do Código de Defesa do Consumidor – … (TJSP; Recurso Inominado Cível 1002616-53.2021.8.26.0564; Relator (a): Leonardo Caccavali Macedo; Órgão Julgador: 2ª Turma Cível; Foro de São Bernardo do Campo – Vara do Juizado Especial Cível; Data do Julgamento: 14/06/2021; Data de Registro: 15/06/2021)
Por fim, embora presente o dano moral in re ipsa, aplicável a excludente de responsabilidade por culpa exclusiva de terceiro.
Posto isso, NEGO PROVIMENTO ao recurso e condeno o (a) recorrente ao pagamento das custas e de verba honorária, arbitrada em 10% sobre o valor da causa, restando suspensa a exigibilidade em razão da gratuidade da justiça.