A Lei Geral de Proteção de Dados (LGPD) classifica os dados em algumas categorias. Dentre elas, está a categoria dos dados pessoais sensíveis.  

Art. 5º Para os fins desta Lei, considera-se:

I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

Os dados pessoais sensíveis são classificados dessa forma por serem dados referentes à identidade do titular, que quando vazados podem gerar maior risco, como perseguições por motivação política, étnica ou religiosa. Por conta desses riscos, a LGPD confere maior proteção a esses dados em relação aos demais. 

Segundo o artigo 42 da LGPD, o controlador ou o operador que, ao manipular os dados pessoais, causar dano patrimonial ou moral, ou de alguma forma violar a legislação de proteção de dados pessoais, é obrigado a repará-lo.

O caso avaliado pelo STJ é referente a uma ação de indenização ajuizada por pessoa idosa contra concessionária de energia elétrica pleiteando indenização por danos morais decorrentes do vazamento e acesso, por terceiros, de dados pessoais comuns. Na ação, a parte argumenta que o dano moral decorreu do vazamento, por si só (dano moral in re ipsa, ou presumido). 

Trata-se, na origem, de ação de indenização ajuizada por pessoa idosa contra concessionária de energia elétrica pleiteando indenização por danos morais decorrentes do vazamento e acesso, por terceiros, de dados pessoais.

O art. 5º, II, da Lei Geral de Proteção de Dados - LGPD dispõe de forma expressa quais dados podem ser considerados sensíveis e, devido a essa condição, exigir tratamento diferenciado, previsto em artigos específicos. Os dados de natureza comum, pessoais mas não íntimos, passíveis apenas de identificação da pessoa natural não podem ser classificados como sensíveis.

Os dados objeto da lide são aqueles que se fornece em qualquer cadastro, inclusive nos sites consultados no dia a dia, não sendo, portanto, acobertados por sigilo, e o conhecimento por terceiro em nada violaria o direito de personalidade da recorrida.

O vazamento de dados pessoais, a despeito de se tratar de falha indesejável no tratamento de dados de pessoa natural por pessoa jurídica, não tem o condão, por si só, de gerar dano moral indenizável. Ou seja, o dano moral não é presumido, sendo necessário que o titular dos dados comprove eventual dano decorrente da exposição dessas informações.

Diferente seria se, de fato, estivéssemos diante de vazamento de dados sensíveis, que dizem respeito à intimidade da pessoa natural.