STJ - Segunda Turma
AREsp 2.130.619-SP
Agravo em Recurso Especial
Relator: Francisco Falcão
Julgamento: 07/03/2023
Publicação: 10/03/2023
STJ - Segunda Turma
AREsp 2.130.619-SP
Tese Jurídica
O vazamento de dados pessoais não gera dano moral presumido.
Vídeos
Nossos Comentários
Resumo Oficial
Trata-se, na origem, de ação de indenização ajuizada por pessoa idosa contra concessionária de energia elétrica pleiteando indenização por danos morais decorrentes do vazamento e acesso, por terceiros, de dados pessoais.
O art. 5º, II, da Lei Geral de Proteção de Dados - LGPD dispõe de forma expressa quais dados podem ser considerados sensíveis e, devido a essa condição, exigir tratamento diferenciado, previsto em artigos específicos. Os dados de natureza comum, pessoais mas não íntimos, passíveis apenas de identificação da pessoa natural não podem ser classificados como sensíveis.
Os dados objeto da lide são aqueles que se fornece em qualquer cadastro, inclusive nos sites consultados no dia a dia, não sendo, portanto, acobertados por sigilo, e o conhecimento por terceiro em nada violaria o direito de personalidade da recorrida.
O vazamento de dados pessoais, a despeito de se tratar de falha indesejável no tratamento de dados de pessoa natural por pessoa jurídica, não tem o condão, por si só, de gerar dano moral indenizável. Ou seja, o dano moral não é presumido, sendo necessário que o titular dos dados comprove eventual dano decorrente da exposição dessas informações.
Diferente seria se, de fato, estivéssemos diante de vazamento de dados sensíveis, que dizem respeito à intimidade da pessoa natural.
A Lei Geral de Proteção de Dados (LGPD) classifica os dados em algumas categorias. Dentre elas, está a categoria dos dados pessoais sensíveis.
Os dados pessoais sensíveis são classificados dessa forma por serem dados referentes à identidade do titular, que quando vazados podem gerar maior risco, como perseguições por motivação política, étnica ou religiosa. Por conta desses riscos, a LGPD confere maior proteção a esses dados em relação aos demais.
Segundo o artigo 42 da LGPD, o controlador ou o operador que, ao manipular os dados pessoais, causar dano patrimonial ou moral, ou de alguma forma violar a legislação de proteção de dados pessoais, é obrigado a repará-lo.
O caso avaliado pelo STJ é referente a uma ação de indenização ajuizada por pessoa idosa contra concessionária de energia elétrica pleiteando indenização por danos morais decorrentes do vazamento e acesso, por terceiros, de dados pessoais comuns. Na ação, a parte argumenta que o dano moral decorreu do vazamento, por si só (dano moral in re ipsa, ou presumido).
Para o STJ, o vazamento de dados pessoais comuns, não sensíveis, apesar de ser um aborrecimento indesejável ao titular dos dados, não tem o condão, por si só, de gerar dano moral indenizável de forma presumida.