O direito a proteção aos dados pessoais é um direito que abrange e dialoga com a privacidade1, mas, vai além2 e se relaciona com as próprias instituições democráticas3, por isso, tem proteção jurídica específica, inclusive constitucionalmente garantida como direito fundamental4.

Na seara do direito privado, a sua proteção traz em si a necessária preocupação para com a prevenção dentro da responsabilidade por danos. É que em um caso de incidente de segurança ou vazamento de dados pessoais não há a possibilidade de retornar ao status quo5, ou seja, de recolher os dados que foram acessados por terceiros, sem a devida autorização.

Equipara-se ao conto da fofoca. Neste conto, para punir um cidadão que gostava de espalhar fofocas da vida dos demais, o sacerdote da aldeia determinou que o cidadão subisse na torre da igreja, que era o ponto mais alto da cidade e levasse consigo um travesseiro de penas de ganso. Deste local, ele deveria abrir a fronha e deixar que as penas se espalhassem pela cidade. Feito isso, o cidadão retornou e o sacerdote solicitou então que ele recolhesse todas as penas que foram espalhadas e as colocasse de volta ao travesseiro. Ao tentar executar a tarefa, o indivíduo reclamou e afirmou que era impossível recolher todas as penas de ganso que foram espalhadas, pois o vento as levou para lugares distantes e que não saberia onde procurá-las. Portanto, seria impossível recuperá-las6.

E da mesma forma são os dados. Após um vazamento, não há como saber quem ou quantas pessoas os acessaram. Também, não é possível ter o controle de que serão apagados ou não serão compartilhados para outras pessoas. Por isso, fala-se em prejuízos incomensuráveis7.

O vazamento de dados em si se tornou uma preocupação mais evidente para os estudiosos do tema com a publicação da Lei Geral de Proteção de Dados Pessoais (Lei n.º 13.709, de 14 de agosto de 2018). Imaginava-se e especulava-se que haveria um incentivo para que a sociedade se preocupasse mais com os dados pessoais, próprios e de terceiros, desde o seu manuseamento até a implementação de procedimentos de segurança para evitar ou rapidamente agir quando do vazamento destes dados8.

Neste período da vacatio legis, que durou efetivamente até 2020, foram adotadas medidas para responsabilizar, ao menos civilmente, as empresas que permitiam que os seus dados fossem acessados sem o consentimento do titular. Foi o que ocorreu na Ação Civil Pública proposta pelo Ministério Público do Distrito Federal e Territórios, por meio da Comissão de Proteção de Dados Pessoais, em face do Banco Inter. Neste caso, após a instauração de inquérito civil público, constatou-se que, em razão de um incidente de segurança, houve o vazamento dos dados de mais de cem mil correntistas deste banco digital, por meio de um arquivo de 40 GB (quarenta gigabytes) criptografado e por isso, foi requerido o valor de R$ 10.000.0000,00 (dez milhões de reais) a título de danos morais coletivos. Durante o trâmite do processo, o Banco realizou acordo no valor de R$ 1.500.000,00 (um milhão e quinhentos mil reais), por meio do qual R$ 1.000.000,00 (um milhão) foi destinado a políticas públicas de combates aos crimes cibernéticos e R$ 500.000,00 (quinhentos mil reais) para instituições de caridade9.

Outros casos de vazamentos foram investigados pela mesma comissão do Ministério Público do Distrito Federal e Territórios, com altos valores em danos morais10. Mas, nas cortes especiais, percebe-se um caminho inverso e uma interpretação menos rigorosa para defesa e efetiva proteção dos dados pessoais, o que pode ser verificado no que diz respeito aos valores das indenizações e, especialmente, nas ações individuais11. A preocupação para com os valores de reparação, especialmente diante do infundado receio de criação de uma suposta indústria de dano moral12, por muitas vezes fomenta a análise do custo-benefício pelo ofensor13.

Surge, então, a pergunta, o que fazer para uma reparação que realmente impeça, isto é, tenha o caráter punitivo e preventivo e não seja mero fomentador da lesão ao direito a proteção dos dados pessoais? Uma possível solução seria a reparação por danos transindividuais, pois para estes casos não se aplicaria a preocupação para com o enriquecimento indevido da vítima14.

Assim, há a necessidade em estudar a possível aplicação do dano moral transindividual15 para o caso de tratamento de dados, especificamente o seu vazamento.

No que diz respeito ao dano moral para este sujeito coletivo, uma das possíveis restrições era pensar este tipo de dano como reparação apenas da dor ou sofrimento de uma pessoa identificada16, contudo, esta não é a posição atual que cada mais está desvinculada deste conceito pessoal e subjetivo de mágoa17. A percepção de se tratar de um dano considerado imaterial, isto é, sem características patrimoniais que "pressupõe a frustração de uma utilidade extrapatrimonial tutelada pelo direito"18, permite uma indenização/reparação coletiva.

O dano moral transindividual está vinculado com a injustiça do dano, isto é, com a gravidade da ilicitude configurada que atinge bens de uma coletividade. Configura-se quando há lesão "a valores fundamentais da sociedade e se essa vulneração ocorrer de forma injusta e intolerável"19, assim como vinculado a uma ilicitude inescusável "de modo a não trivializar, banalizar a configuração do aludido dano moral coletivo"20.

Portanto, se não houver lesão a valores considerados como fundamentais da sociedade ou que tenham sido decorrentes de forma injusta e intolerável, afastado será o dano moral coletivo21. Com isso, volta-se ao questionamento, para o caso de proteção de dados pessoais, pode-se tratar deste tipo de dano?

Para isso, parte-se do pressuposto que a responsabilidade civil não pressupõe "a consumação de um suporte fático rigidamente previsto em um tipo legal"22 e a tutela de direitos " deixou uma órbita individual, a fim de alcançar um aspecto coletivo"23. Portanto, presume-se a possibilidade de tutela da lesão pelo viés da coletividade quando se está diante de um bem jurídico da coletividade.

Fato que ocorre no caso do direito em questão. Isto porque é direito fundamental, previsto constitucionalmente no art. 5º, LXXIX, da Constituição Federal24, o que significa que a sua lesão pode ser considerada como uma ofensa a valores fundamentais de uma sociedade como um todo. Ainda, para o caso dos dados pessoais, o artigo 42 da LGPD25 prevê que o tratamento de dados pessoais possa ocasionar dano coletivo. Por isso, entende-se que estariam superados eventuais óbices para a sua configuração como dano moral transindividual, a partir deste contexto da relevância para a coletividade.

Por outro lado, no que diz respeito a gravidade da ilicitude para sua configuração, apesar do Superior Tribunal de Justiça, ao apreciar caso sobre vazamento de dados, ter mencionado que se trata de "falha indesejável"26, é preciso que seja compreendida como conduta repudiada. A expressão utilizada não foi no sentido de analisar a ilicitude em si, mas sim a sua reprovabilidade e por isso, não contenha os melhores signos para a compreensão do significado desejado em caso de danos transindividuais. É que é imprescindível que se tenha um ambiente seguro e controlado27, para evitar incidentes de segurança28, assim como sejam adotadas medidas adequadas para quando da sua ocorrência com o intuito de minimizar os danos29, de acordo com a própria legislação e, portanto, qualquer conduta contrária significa ofensa literal a legislação, isto é, grave a ponto de ser considerada como ilicitude intolerável. 

O último ponto a ser analisado é que o dano moral é in re ipsa e para o vazamento de dados, o mesmo julgado acima mencionado que poderia ter minimizado a ilicitude afastou o dano moral presumido30. Mas, no caso da presunção para o dano coletivo essa será diversa do dano individual. É que no coletivo, o dano decorre da violação do direito transindividual em discussão, "sendo o fato, por si mesmo, passível de avaliação objetiva quanto a ter ou não aptidão para caracterizar o prejuízo moral coletivo, este sim nitidamente subjetivo e insindicável."31

Assim, entende-se que é possível falar em dano moral transindividual para os casos de vazamentos de dados e essa indenização teria a possibilidade de permitir a prevenção e punição necessária para evitar que novos casos ocorram, uma vez que não é possível simplesmente retornar ao status quo, quando se fala em dados pessoais. E a reparação desse dano para além da função sancionatória, contém em si "o fulcro preventivo que desestimula o ofensor a reiterar a prática de ilícitos metaindividuais, bem como o aspecto pedagógico, de alerta a potenciais lesantes que se proponham à prática do mesmo comportamento reprovável"32. Pontos essenciais para casos como o vazamento de dados pessoais.

Fonte: https://www.migalhas.com.br/coluna/migalhas-de-responsabilidade-civil/390884/dano-moral-transindividual-para-o-vazamento-de-dados-pessoais

Imagem: s.conjur.com.br