Inteiro teor TSP condena empresa por vazamento de dados
Tribunal de Justiça de São Paulo TJ-SP - Recurso Inominado Cível: RI 1003086-21.2021.8.26.0003 SP 1003086-21.2021.8.26.0003
Ementa para citação
Resumo
Inteiro Teor
Inteiro Teor
Registro: 2021.0000118522
ACÓRDÃO
Vistos, relatados e discutidos estes autos de Recurso Inominado Cível nº 1003086-21.2021.8.26.0003, da Comarca de São Paulo, em que é ANA MARIA NISHIMURA DA CRUZ, é recorrido ELETROPAULO METROPOLITANA ELETRICIDADE DE SÃO PAULO S/A .
ACORDAM, em 4a Turma Recursal Cível - Santo Amaro do Colégio Recursal - Santo Amaro, proferir a seguinte decisão: "Deram provimento em parte ao recurso. V. U.", de conformidade com o voto do Relator, que integra este acórdão.
O julgamento teve a participação dos MM. Juízes ROGER BENITES PELLICANI - SANTO AMARO (Presidente) E ANALUÍSA LIVORATI OLIVA DE BIASI PEREIRA DA SILVA - SANTO AMARO.
São Paulo, 25 de outubro de 2021.
Carlos Eduardo Santos Pontes de Miranda
RELATOR
Recurso nº: 1003086-21.2021.8.26.0003
Recorrente: Ana Maria Nishimura da Cruz
Recorrido: Eletropaulo Metropolitana Eletricidade de São Paulo S/A
Voto nº 42
Recurso inominado Vazamento de dados pessoais de cliente por empresa fornecedora de energia elétrica Relação de consumo Tratamento de dados pessoais de pessoa localizada no território nacional e após 17/09/2020 LGPD aplicável ao caso
Vazamento denota que não foram adotadas medidas de segurança eficazes pela controladora/fornecedora (art. 46 da LGPD), o que caracteriza defeito na prestação do serviço Responsabilidade objetiva da controladora/fornecedora (art. 14 do CDC) Ação de eventual hacker que constitui fortuito interno Danos morais in re ipsa, conforme precedente do STJ
Indenização arbitrada em R$ 5.000,00 Sentença reformada Recurso provido.
Vistos.
Trata-se de recurso inominado interposto por Ana Maria Nishimura da Cruz.
O processo foi proposto por Ana Maria Nishimura da Cruz contra Eletropaulo Metropolitana Eletricidade de São Paulo S.A.
Na inicial, alega-se que: a) a autora é cliente da ré; b) houve vazamento de dados pessoais da autora tratados pela ré; c) após o vazamento, a autora passou a receber inúmeras ligações e mensagens de terceiros. Pede-se: a) a condenação da ré a informar com que entidades públicas e privadas realizou compartilhamento de dados pessoais; b) a condenação da ré a fornecer declaração completa com os dados tratados e detalhes do tratamento; c) a condenação da ré a recolher os dados compartilhados sem autorização; d) a expedição de ofícios para comunicação sobre o incidente de segurança;
e) condenação da ré a dar ampla publicidade à violação de dados; f) indenização por
danos morais.
A sentença recorrida julgou improcedentes os pedidos da inicial.
Em seu recurso, a parte autora alega: a) defeito na prestação do serviço;
b) ocorrência de dano moral in re ipsa . Pede reforma da sentença recorrida para que seja julgado procedente o pedido de indenização por danos morais.
Apresentadas contrarrazões.
É o relatório.
Os documentos de fls. 573/581 provam que a autora tem renda mensal de aproximadamente R$ 1.300,00. Por isso, a ela concedo a gratuidade da justiça.
O recurso é adequado e tempestivo. Dispensado o preparo em virtude da gratuidade da justiça. Logo, porque presentes os pressupostos de admissibilidade, conheço do recurso.
A relação travada entre as partes se rege pelo CDC, pois há prestação de serviço a destinatário final (art. 2º do CDC).
Os documentos acostados à inicial fazem verossímeis as alegações da parte autora. Por essa razão, inverto o ônus da prova (art. 6º, VIII, do CDC).
É dado pessoal a informação relacionada a pessoa natural identificada ou identificável (art. 5º, I, da LPGD) e denomina-se tratamento qualquer operação realizada com dados pessoais (art. 5º, X, da LGPD).
No caso, são fatos incontroversos que a parte ré, na qualidade de controladora (art. 5º, VI, da LGPD), realizou tratamento de dados pessoais da parte autora e que esta se localiza no território nacional (art. 3º, caput , II, da LGPD).
Também é incontroverso que os fatos narrados na inicial se deram após 17/09/2020, véspera da entrada em vigor de todos os dispositivos da LGPD que não disciplinavam sanções administrativas ou o funcionamento da Autoridade Nacional de Proteção de Dados e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (art. 65 da LGPD, com redação alterada pela Medida Provisória nº 869/2018, convertida na Lei nº 13.859/2019, e pela Medida Provisória nº 959/2020, convertida na Lei nº 14.010/2020).
Por conseguinte, o tratamento é regido pela LGPD.
De acordo com o art. 45 da LGPD:
Art. 45. As hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente.
Trata-se de norma que expressamente reconhece a especialidade do CDC e sua prevalência em relação à LGPD no que tange ao regime de responsabilidade civil do fornecedor. Em relação à regularidade em si do tratamento de dados pessoais, é disciplinada pelos princípios e regras previstos na LGPD.
Na inicial, alega-se que vazamento de dados pessoais tratados pela parte ré causou dano à parte autora. Por conseguinte, a responsabilidade da parte ré, tanto na qualidade tanto de controladora (art. 5º, VI, da LGPD) quanto de fornecedora (art. 3º do CDC), se submete às regras do art. 14 do CDC.
O fornecedor responde pelos danos causados ao consumidor (art. 14, caput , do CDC):
a) por defeitos relativos à prestação do serviço;
b) por informações insuficientes ou inadequadas sobre sua fruição e riscos.
No primeiro caso, reputa-se defeituoso o serviço quando não fornece a segurança que o consumidor dele pode esperar, levando-se em consideração, o modo de seu fornecimento, o resultado e os riscos que razoavelmente dele se esperam e a época em que foi fornecido (art. 14, § 1º, do CDC).
No segundo caso, a responsabilidade não depende de defeito do serviço, mas se relaciona à falta de clareza e precisão sobre instruções relativas à fruição e aos riscos do serviço que possam ocasionar acidentes de consumo.
Em regra, a responsabilidade do fornecedor é objetiva (art. 14, caput , do CDC), restando caracterizada se provados: a) a existência do defeito ou do vício de informação; b) a existência do dano; c) o nexo de causalidade entre o defeito ou o vício de informação e o dano. Todavia, se o serviço for prestado por profissional liberal (art. 14, § 4º, do CDC), dependerá da verificação de culpa (negligência, imprudência ou imperícia).
Na espécie, alega-se defeito do serviço.
A parte autora afirma que, durante tratamento, a parte ré permitiu o vazamento de seus dados pessoais, consistentes em nome, CPF, data de nascimento, idade, telefone fixo, telefone celular, e-mail, carga instalada, consumo estimado, tipo de instalação, leitura e endereço.
Tal alegação é provada pelo documento de fl. 354.
A disciplina de proteção de dados tem por fundamentos o respeito à privacidade, a autodeterminação informativa, a inviolabilidade da intimidade e a defesa do consumidor (art. 2º, I, II, IV e VI, da LGPD).
A autodeterminação informativa, reconhecida pelo Pleno do STF como direito fundamental autônomo decorrente dos direitos da personalidade positivados na CF ( ADI 6387 MC-Ref, Relator (a): ROSA WEBER, Tribunal Pleno, julgado em 07/05/2020, PROCESSO ELETRÔNICO DJe-270 DIVULG 11-11-2020 PUBLIC 12-11-2020), pode ser assim definida (MALDONADO, Viviane Nóbrega; BLUM, Renato Opice (Coord.). LGPD: Lei Geral de Proteção de Dados comentada. 2 ed. São Paulo: Thomson Reuters Brasil, 2020, p. 29):
A autodeterminação informativa, que é o controle pessoal sobre o trânsito de dados relativo ao próprio titular e, portanto, uma extensão de liberdades do indivíduo conjuga as duas já mencionadas concepções de privacidade de dados: a primeira de caráter negativo e estático; e a moderna, em que a intervenção (proteção) é dinâmica, durante todo o ciclo de vida dos dados nos mais variados meios em que possa circular. Nas palavras de Stefano Rodotà é um "poder permanente de controle sobre seus próprios dados".
Para que se permita o efetivo controle do titular sobre o tratamento de seus dados pessoais, de modo a impedir a violação à sua intimidade e à sua vida privada, deve o agente de tratamento adotar medidas de segurança eficazes, nos termos do art. 46, caput , da LGPD:
Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
É de se esperar do controlador/fornecedor que o tratamento por ele realizado seja de tal modo seguro que não permita o vazamento não autorizado de dados pessoais do titular/consumidor, ou seja, que estes dados sejam utilizados exclusivamente pelo controlador/fornecedor para as finalidades explicitamente informadas ao titular/consumidor (art. 6º, I, da LGPD). Se o tratamento oferecer risco, deve ele ser previamente informado ao titular/consumidor (art. 6º, VI, da LGPD e art. 6º, III, do CDC).
Na hipótese dos autos, entendo que houve defeito na prestação do serviço, porquanto não forneceu a segurança que dele se espera, especialmente quando considerados o modo de seu fornecimento, os resultados almejados e a ausência de prova de que a parte autora foi previamente informada, de forma clara e precisa, acerca dos reais riscos a que se submetia o tratamento de seus dados pessoais.
Se a parte ré tivesse adotado medidas técnicas e administrativas verdadeiramente aptas a impedir o vazamento de dados (art. 46 da LGPD), este não teria ocorrido. Sequer é possível cogitar fato de terceiro a afastar a responsabilidade (art. 14, § 3º, II, do CDC), porquanto a ação de hacker que porventura tenha invadido o banco de dados é fato previsível, sendo esperado da parte ré que o obste. Logo, configura fortuito interno (TJSP; Apelação Cível 1014830-47.2020.8.26.0100 ; Relator (a): Kioitsi Chicuta; Órgão Julgador: 32a Câmara de Direito Privado; Foro Central Cível - 41a Vara Cível; Data do Julgamento: 29/07/2021; Data de Registro: 29/07/2021).
Desta feita, a parte ré responde por eventuais danos causados à parte autora (art. 14 do CDC).
De acordo com Carlos Roberto Gonçalves (GONÇALVES, Carlos Roberto. Direito civil brasileiro. Volume 4: responsabilidade civil. 7 ed. São Paulo: Saraiva, 2012, p. 379-380):
(...) o dano moral direto consiste na lesão a um interesse que visa a satisfação ou gozo de um bem jurídico extrapatrimonial contido nos direitos da liberdade (como a vida, a integridade corporal, a liberdade, a honra, o decoro, a intimidade, os sentimentos afetivos, a própria imagem) ou nos atributos da pessoa (como o nome, a capacidade, o estado de família). O dano moral indireto consiste na lesão a um interesse tendente à satisfação ou gozo de bens jurídicos patrimoniais, que produz um menoscabo a um bem patrimonial, devido a uma lesão a um bem patrimonial da vítima. Deriva, portanto, do fato lesivo a um interesse patrimonial. É a hipótese, por exemplo, da perda de objeto de valor afetivo.
No caso dos autos, o dano moral se caracteriza pela violação à autodeterminação informativa (a parte autora foi privada do controle mínimo sobre seus dados pessoais, postos à disposição de terceiros que, normalmente, deles fazem mau uso), à vida privada e à tranquilidade (o uso não autorizado de dados pessoais para a prática de fraudes e publicidade abusiva é fato notório).
Indiferente se os dados pessoais vazados eram ou não sensíveis (art. 5º, I e II, da LGPD), pois ambas as espécies recebem proteção constitucional e legal. Não é porque o tratamento de dados pessoais sensíveis se faz por regras mais rígidas que o incorreto tratamento de dados não sensíveis é irrelevante ao direito. Observe-se que sequer o art. 42 da LGPD, que disciplina a responsabilidade dos agentes de tratamento, diferencia o tipo de dado pessoal para estabelecer a obrigação de indenizar.
Também pouco importa, para caracterização de dano moral, se os dados vazados são passíveis de obtenção por outras fontes, porquanto a LGPD expressamente estabelece que o tratamento de dados pessoais tornados públicos deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização (art. 7º, § 3º, da LGPD) e observar propósitos legítimos e específicos, preservando-se os direitos do titular (art. 7º, § 7º, do LGPD). Ao permitir que terceiros desconhecidos tenham acesso aos dados da parte autora, a parte ré descumpre ambas as regras citadas.
Por fim, destaco que a caracterização do dano não depende de prova de outros desdobramentos lesivos, tais como perpetração de fraude com os dados vazados. De acordo com precedente do STJ, o simples compartilhamento não autorizado dos dados pessoais enseja dano moral in re ipsa :
RECURSO ESPECIAL. FUNDAMENTO NÃO IMPUGNADO. SÚM. 283/STF. AÇÃO DE COMPENSAÇÃO DE DANO MORAL. BANCO DE DADOS. COMPARTILHAMENTO DE INFORMAÇÕES PESSOAIS. DEVER DE INFORMAÇÃO. VIOLAÇÃO. DANO MORAL IN RE IPSA. JULGAMENTO: CPC/15.
(...)
7. A inobservância dos deveres associados ao tratamento (que inclui a coleta, o armazenamento e a transferência a terceiros) dos dados do consumidor - dentre os quais se inclui o dever de informar - faz nascer para este a pretensão de indenização pelos danos causados e a de fazer cessar, imediatamente, a ofensa aos direitos da personalidade.
8. Em se tratando de compartilhamento das informações do consumidor pelos bancos de dados, prática essa autorizada pela Lei 12.414/2011 em seus arts. 4º, III, e 9º, deve ser observado o disposto no art. 5º, V, da Lei 12.414/2011, o qual prevê o direito do cadastrado ser informado previamente sobre a identidade do gestor e sobre o armazenamento e o objetivo do tratamento dos dados pessoais
9. O fato, por si só, de se tratarem de dados usualmente fornecidos pelos próprios consumidores quando da realização de qualquer compra no comércio, não afasta a responsabilidade do gestor do banco de dados, na medida em que, quando o consumidor o faz não está, implícita e automaticamente, autorizando o comerciante a divulgá-los no mercado; está apenas cumprindo as condições necessárias à concretização do respectivo negócio jurídico entabulado apenas entre as duas partes, confiando ao fornecedor a proteção de suas informações pessoais.
10. Do mesmo modo, o fato de alguém publicar em rede social uma informação de caráter pessoal não implica o consentimento, aos usuários que acessam o conteúdo, de utilização de seus dados para qualquer outra finalidade, ainda mais com fins lucrativos.
11. Hipótese em que se configura o dano moral in re ipsa.
12. Em virtude do exame do mérito, por meio do qual foram rejeitadas as teses sustentada pela recorrente, fica prejudicada a análise da divergência jurisprudencial.
13. Recurso especial conhecido em parte e, nessa extensão, desprovido.
( REsp 1758799/MG, Rel. Ministra NANCY ANDRIGHI, TERCEIRA TURMA, julgado em 12/11/2019, DJe 19/11/2019)
O mesmo tribunal reconhece que a indenização por danos morais não tem simples função compensatória, mas também punitiva e preventiva:
RECURSOS ESPECIAIS. DIREITO CIVIL E PROCESSUAL CIVIL. AÇÃO DE INDENIZAÇÃO POR DANOS MORAIS. PUBLICAÇÃO DE LIVRO. FALSO RELATO DE CUNHO RACISTA E EUGÊNICO ATRIBUÍDO A POLÍTICO. REPERCUSSÃO NACIONAL E INTERNACIONAL DA FALSA IMPUTAÇÃO. DANO MORAL REPARAÇÃO ESPECÍFICA. PRINCÍPIO DA REPARAÇÃO INTEGRAL DO DANO. CERCEAMENTO DE DEFESA. NÃO OCORRÊNCIA. NÃO RECEBIMENTO DA APELAÇÃO POR PREMATURIDADE. TRÂNSITO EM JULGADO. HONORÁRIOS ADVOCATÍCIOS. VALOR RAZOÁVEL. REVISÃO. SÚMULA 7/ST (...)
5. A indenização por danos morais possui tríplice função, a compensatória, para mitigar os danos sofridos pela vítima; a punitiva, para condenar o autor da prática do ato ilícito lesivo, e a preventiva, para dissuadir o cometimento de novos atos ilícitos.
Ainda, o valor da indenização deverá ser fixado de forma compatível com a gravidade e a lesividade do ato ilícito e as circunstâncias pessoais dos envolvidos.
(...)
( REsp 1440721/GO , Rel. Ministra MARIA ISABEL GALLOTTI, QUARTA TURMA, julgado em 11/10/2016, DJe 11/11/2016)
CIVIL E PROCESSUAL CIVIL. RECURSO ESPECIAL. RESPONSABILIDADE CIVIL. MORTE DE MÃE E FILHA POR CHOQUE. QUEDA DE FIO ELÉTRICO. CONCESSIONÁRIA. FORÇA MAIOR OU CASO FORTUITO. DANO MORAL DEVIDO AO IRMÃO E ESPOSO SUPÉRSTITES. VALOR INSUFICIENTE PARA COIBIR NOVAS FALHAS NA PRESTAÇÃO DO SERVIÇO. DESPROPORÇÃO DO DANO EM RELAÇÃO AO SOFRIMENTO. MAJORAÇÃO NECESSÁRIA.
(...)
2. Quando a função punitiva dos danos morais não é respeitada e o valor arbitrado está em desproporcionalidade com o sofrimento experimentado, mostra-se necessário majorar o quantum da compensação. Precedentes.
(...)
( REsp 1171826/RS , Rel. Ministra NANCY ANDRIGHI, TERCEIRA TURMA, julgado em 17/05/2011, DJe 27/05/2011)
Para a fixação da indenização (art. 944 do CC), considero os seguintes fatores: a) a natureza do bem jurídico lesado; b) os tipos de dados pessoais vazados; c) a capacidade econômica das partes; d) a necessidade de punição do causador do dano e o caráter inibitório da indenização.
Diante disso, adequada à espécie indenização de R$ 5.000,00.
Correção e juros de mora da data deste acórdão (TJSP; Recurso Inominado Cível 1001899-88.2020.8.26.0010 ; Relator (a): Carlos Eduardo Santos Pontes de Miranda; Órgão Julgador: 4a Turma Recursal Cível - Santo Amaro; Foro Regional III - Jabaquara - 1a Vara do Juizado Especial Cível; Data do Julgamento: 13/07/2021; Data de Registro: 13/07/2021; TJSP; Recurso Inominado Cível 1042496-60.2019.8.26.0002 ; Relator (a): Analuísa Livorati Oliva De Biasi Pereira da Silva - Santo Amaro; Órgão Julgador: 4a Turma Recursal Cível - Santo Amaro; Foro Regional II - Santo Amaro - 1a Vara do Juizado Especial Cível; Data do Julgamento: 19/05/2021; Data de Registro: 19/05/2021).
Ante o exposto, dou parcial provimento ao recurso para reformar a sentença e condenar a parte ré a pagar à parte autora indenização por danos morais no valor de R$ 5.000,00, corrigida pela Tabela Prática do TJSP e acrescida de juros de mora simples de 1% ao mês a partir da data deste acórdão.
Porque a parte recorrente foi vencedora neste recurso, não são devidas verbas sucumbenciais (art. 55, caput , do CPC).
Anote-se a gratuidade da justiça concedida à autora.
É como voto.
Carlos Eduardo Santos Pontes de Miranda
Relato
0 Comentários