ABV
ADVOGADOS

4 ANOS DE VIGÊNCIA DA LGPD: COMO AS DECISÕES INICIAIS ESTÃO MOLDANDO A PROTEÇÃO DE DADOS NO BRASIL

A entrada em vigor da Lei Geral de Produção de Dados (LGPD) vem transformando significativamente a percepção da sociedade em relação à privacidade e à proteção de dados. Como resultado, houve um aumento nas ações judiciais relacionadas a violações de privacidade e com isso a necessidade de criação de precedentes pelos tribunais, pois à medida que a LGPD se consolida, os casos iniciais analisados pelos tribunais assumem um papel crucial.

Esses precedentes não apenas orientam empresas e cidadãos sobre a aplicação prática da lei, mas também ajudam a esclarecer pontos específicos da legislação. A seguir, abordaremos alguns dos principais precedentes que têm contribuído para a formação desse entendimento, divulgados pelo próprio STJ:

Tribunal Recurso Precedente
 

STJ

 

REsp 2.077.278

Instituição financeira é responsabilizada por tratamento inadequado de dados utilizados em golpe.
 

STJ

 

AREsp 2.130.619

Vazamento de dados não sensíveis não gera indenização por dano moral sem prova de prejuízo real.
 

STJ

 

REsp 1.914.596

Provedores devem fornecer dados de usuários que divulgaram vídeo ofensivo à memória de pessoa falecida.

O primeiro precedente foi estabelecido no julgamento do Recurso nº AREsp 2.130.619, pela Terceira Turma do STJ, que determinou a necessidade de comprovação de prejuízos concretos e mensuráveis causados por incidentes envolvendo dados pessoais.

No processo em questão, a empresa Eletropaulo foi processada devido ao vazamento de dados pessoais de uma cliente, incluindo nome, data de nascimento, endereço e número de identificação.

A consumidora alegou que suas informações foram acessadas por terceiros e posteriormente compartilhadas mediante pagamento, o que criava um risco potencial de fraude e incômodos. O Tribunal de Justiça de São Paulo, entendeu por condenar a empresa ao pagamento de uma indenização no valor de R$5 mil reais em danos morais.

No entanto, o STJ decidiu que a simples comprovação de vazamento de dados não é suficiente para justificar a indenização por danos morais. Para a corte, o vazamento de dados, por si só, não gera o direito à indenização; o titular precisa comprovar o prejuízo concreto causado pela exposição dessas informações.

No entendimento do magistrado, os dados discutidos no processo são aqueles fornecidos em cadastros comuns e, portanto, o mero acesso por terceiros não violaria o direito de personalidade. Isso se deve ao fato de serem dados distintos dos previstos no artigo 5º, inciso II, da LGPD, que define uma lista específica de dados pessoais considerados sensíveis e que, segundo o artigo 11 da mesma lei, requerem um tratamento mais rigoroso. Com base nessa interpretação, o tribunal afastou a indenização que havia sido arbitrada pelo TJSP.

Outro precedente foi originado pelo julgamento do REsp 1.914.596, em que a Quarta turma do STJ entendeu que os provedores de conexão à internet devem fornecer os dados cadastrais dos usuários responsáveis pela publicação de vídeos com ofensas à memória de pessoas falecidas.

O ministro relator, Luis Felipe Salomão, observou que as autoras da ação buscavam a remoção de conteúdos ofensivos para preservar a honra da falecida, Marielle Franco, e identificar os responsáveis, com base no artigo 22 do Marco Civil da Internet (Lei 12.965/2014).

Segundo o ministro, no caso em questão, o direito à privacidade dos usuários que postaram os vídeos não se sobrepunha aos indícios de prática ilegal, pois o STJ já mantinha um entendimento consolidado sobre a necessidade de intervenção judicial para acessar dados protegidos com o objetivo de instruir processos cíveis e criminais.

Em outro caso, no REsp 2.077.278, sob a relatoria da ministra Nancy Andrighi, a Terceira Turma do STJ definiu que, quando informações são utilizadas por estelionatários para aplicar golpes contra consumidores, a instituição financeira é responsável pelo defeito na prestação do serviço, caracterizado pelo tratamento indevido de dados bancários pessoais.

No caso concreto, uma cliente do banco entrou em contato com a instituição financeira por e-mail solicitando orientações sobre a quitação do financiamento de seu veículo. Alguns dias depois, ela recebeu uma mensagem via WhatsApp de alguém que se identificou como funcionário do banco e ofereceu ajuda com a liquidação da dívida, fornecendo o número do contrato e outras informações específicas. Confiando na legitimidade do contato, a cliente realizou o pagamento de um boleto no valor de R$ 19 mil. Após o pagamento e sem obter retorno, ela entrou em contato com o número oficial do banco e descobriu que havia sido vítima de um golpe.

A relatora no STJ destacou que dados sobre operações bancárias são, por regra, de tratamento exclusivo das instituições financeiras, que têm o dever jurídico de preservar as informações obtidas no exercício de sua atividade, exceto em situações excepcionais.

Desse modo, segundo a ministra, o armazenamento de dados feito de maneira inadequada, possibilitando que terceiros tenham conhecimento de informações sigilosas e causem prejuízos ao consumidor, configura defeito na prestação do serviço (artigo 14 do Código de Defesa do Consumidor e artigo 44 da LGPD).

Com o avanço da tecnologia e o aumento das demandas de proteção de dados, novos desafios surgirão, exigindo um acompanhamento contínuo da jurisprudência. Assim, o desenvolvimento de uma base robusta de precedentes será fundamental para que a LGPD continue evoluindo e garantindo uma proteção eficaz dos dados pessoais no país.

Os casos analisados mostram como os tribunais estão interpretando os direitos dos titulares e as obrigações dos agentes de tratamento, além de reforçarem a importância de uma cultura de privacidade e conformidade. A criação de precedentes sólidos é essencial para consolidar a aplicação da LGPD no Brasil, trazendo segurança jurídica e orientações práticas para empresas, órgãos públicos e cidadãos.

Dessa forma, a conformidade com a LGPD passou a representar um diferencial competitivo, incentivando as empresas a investir em governança de dados para evitar sanções e reforçar a confiança de seus clientes e prestadores de serviços, com isso aquelas empresas que adotaram políticas robustas de proteção de dados não apenas reduziram riscos legais, mas também consolidaram sua reputação no mercado.

Gostaria de uma análise própria dos riscos presentes no seu negócio? Entre em contato conosco.

Flávia Meireles (flavia@abvadvogados.com.br ) é sócia da área de privacidade e proteção de dados da Abreu, Barbosa e Viveiros Advogados

Narllyane Guedes (narllyane@abvadvogados.com.br) é advogada do contencioso cível da Abreu, Barbosa e Viveiros Advogados

Leia mais...