Visão
Neste texto, busca-se apresentar duas perspectivas sobre um conceito dogmático específico, relacionado aos temas: segurança cibernética, divulgação de dados pessoais, prejuízo e responsabilidade.
São utilizados dois casos, um no Brasil, AREsp nº 2.130.619 – Superior Tribunal de Justiça (STJ), e um na Europa, C-340/21 – Tribunal de Justiça da União Europeia (TJ-UE), para exemplificar e destacar suas diferentes visões.
Não será feita uma análise detalhada de todos os aspectos dos casos, nem serão consideradas as diversas previsões legais existentes e aplicáveis às situações, ou ainda, os elementos normativos que mereceriam uma atenção mais aprofundada. O objetivo é apenas utilizá-los como exemplos e extrair uma característica específica, comum a ambos, relacionada ao tema.
Questão fundamental
Opta-se por abordar, de forma sucinta, um aspecto que surge a partir da seguinte pergunta: diante do vazamento (ou outra situação acidental) de informações pessoais causado por uma violação do sistema de segurança cibernética de um determinado responsável pelo tratamento, o temor do titular em relação a uma possível utilização abusiva de seus dados no futuro, devido a essa violação, poderia fundamentar a configuração de danos não materiais [1]?
Partindo desse questionamento – o qual, aliás, constitui uma das especificidades normativas no pedido de reenvio do caso C-340/21 TJ-UE – parece-nos um tema essencial a ser delineado, dada a digitalização cada vez mais presente em nossas vidas e os riscos que esse processo acarreta, não apenas para o funcionamento estrutural de Estados e entidades privadas, mas também para a dimensão subjetiva profundamente envolvida nesse cenário, a qual o Direito, por vezes, observa e ao mesmo tempo molda.
AREsp nº 2.130.619
Iniciando pelo caso brasileiro, julgado em 7/3/2023, nota-se uma construção normativa que limita a possibilidade do “temor do titular”, na situação mencionada, servir de base para a caracterização, no caso, de um dano moral.
É claro que a análise realizada está diretamente ligada à maneira como o caso foi apresentado, com seus argumentos e diretrizes. No entanto, destacam-se três fundamentos centrais que “substanciam” o cerne normativo da decisão, sendo importantes para o tema em questão.
1) O primeiro pressuposto das razões está relacionado à ‘natureza’ das informações vazadas; argumenta-se que, no caso em análise, as informações vazadas não seriam classificadas pela lei como sensíveis; seriam aquelas utilizadas comumente em “qualquer registro”; “o conhecimento por terceiros não violaria o direito de personalidade do recorrente”; (data de nascimento; CPF, RG, endereço, números de telefone e celular, entre outros);
2) ao mesmo tempo, argumenta-se que, “[…] diferente seria se, de fato, estivéssemos diante de vazamento de dados sensíveis, que dizem respeito à intimidade da pessoa natural”;
3) aliando-se a uma condição que exige a comprovação do dano em relação ao vazamento de informações pessoais; “[…] trata-se da exposição inconveniente de informações pessoais comuns desprovidas de comprovação do dano”, dano esse relacionado à valoração estabelecida no item i), sobre o tipo de informações pessoais, e também a uma limitação das possibilidades e riscos que o vazamento de informações pessoais acaba por gerar, determinando assim,
“[…] o vazamento de informações pessoais, embora seja uma falha indesejável no tratamento de informações pessoais de pessoa natural por pessoa jurídica, não tem o poder, por si só, de gerar um dano moral indenizável”, sendo necessário que “o titular das informações comprove eventual dano decorrente da exposição dessas [informações]”.
informações.”
C-340/21
Em contrapartida, no contexto europeu, decidido em 14 de dezembro de 2023, aborda a questão sob uma perspectiva favorável à possibilidade de o “temor do titular” ser uma base para a caracterização de danos não materiais (conforme mencionado, adota-se a expressão danos não materiais, por ser a utilizada no julgamento, na versão em português de Portugal).
No entanto, esse temor não é aleatório. Inicialmente, considera-se que o direito à compensação estabelecido no artigo 82, nº 1, do Regulamento Geral de Proteção de Dados (RGPD), está em fase de construção a partir do considerando 146, o qual menciona: “o conceito de dano deve ser interpretado de forma ampla, à luz da jurisprudência do Tribunal de Justiça, de modo a refletir plenamente os objetivos” do regulamento.
Freepik
O TJ-UE, ao analisar também sua jurisprudência, considera que o artigo 82, nº 1, do RGPD, não faz diferenciação entre as possíveis situações envolvendo uma violação do dever de segurança e o consequente vazamento de dados pessoais.
“[…] Os danos não materiais alegados pelo titular dos dados, de um lado, estão relacionados a uma utilização indevida de seus dados pessoais por terceiros que já ocorreu na data de sua solicitação de compensação, ou, por outro lado, estão ligados ao medo sentido por essa pessoa de que essa utilização possa ocorrer no futuro.”
Além disso, leva-se em consideração o considerando 85, 1., do RGPD, que menciona que “se não forem tomadas as medidas adequadas e oportunas, a violação de dados pessoais pode acarretar danos físicos, materiais ou não materiais às pessoas físicas, como a perda de controle sobre seus dados pessoais, a restrição de seus direitos, a discriminação, o furto ou a usurpação de identidade […] ou qualquer outra desvantagem econômica ou social significativa”.
O TJ-UE observa que, no RGPD, é apontada, por exemplo, a possibilidade de caracterização de danos a serem enfrentados pelo titular, quando da perda de controle sobre seus próprios dados, “[…] em razão de uma violação deste regulamento, mesmo que não tenha havido uma utilização efetivamente indevida dos dados em questão em prejuízo dessas pessoas — dispensando-se, portanto, a comprovação, pelo titular, de um efetivo “uso indevido por terceiros”, de seus dados pessoais desprotegidos.
Por fim, no entanto, para o TJ-UE, seguindo a jurisprudência do caso Österreichiche Post (C-300/21), o titular dos dados, mesmo que busque uma compensação não material, com base em ‘temor’, deve comprovar que “[…] essas consequências são constitutivas de danos não materiais, no entendimento do artigo 82 deste regulamento”, o que significa que, os tribunais nacionais, ao analisar um pedido de compensação baseado no temor de uma utilização indevida de seus dados pessoais no futuro, relacionado à situação descrita, deverão verificar se esse temor é substancial e válido, levando em conta as […] circunstâncias específicas envolvidas e em relação à pessoa em questão”, embora, por fim, o TJ-UE estabeleça que o artigo 82, nº 1, do RGPD, deve ser interpretado, considerando que
“[…] o temor que um titular dos dados sinta de uma eventual utilização indevida de seus dados pessoais por terceiros, decorrente de uma violação deste regulamento é capaz, por si só, de caracterizar danos não materiais, conforme esta disposição.”
Conclusão
Ambos os casos mencionados e citados acima abordam questões fático-normativas parecidas. Não foi feita uma análise aprofundada das hipóteses, especialmente levando em consideração os diferentes dispositivos legais aplicáveis, que levantam, portanto, interpretações específicas (ou em consideração à forma como as situações foram expostas para apreciação, o que também influencia o modelo de normatividade que será estabelecido no Poder Judiciário).
Em suma, infere-sebenefícios de ambos, que, de maneira complementar, apresentam indícios para um crescimento doutrinário atento às situações expostas, cada vez mais corriqueiras, não apenas no Brasil, ou na Europa, mas ao redor do globo.
De forma sucinta e sem qualquer intenção de ser exaustivo, percebe-se que, a abordagem doutrinária, relacionada à preocupação do titular, devido à possibilidade de utilização indevida futura de informações pessoais ilegalmente processadas, com o subsequente “vazamento” (ou acessos não autorizados, ou disseminação, entre outras hipóteses previstas na legislação brasileira, por exemplo), encontra justificação no mundo digitalizado da atualidade, para delinear novos campos de atuação e evolução da categoria “dano”.
Ao mesmo tempo, é importante considerar, sempre, quais dados foram processados ilegalmente, não apenas para verificar se a “preocupação do titular” é válida (lembrando a lição de 1983, do Tribunal Constitucional Federal da Alemanha — “não existem mais dados insignificantes”), mas, também, para avaliar a gravidade da situação e, possivelmente, a intensidade das punições e o montante da indenização.
Da mesma forma, cabe à parte prejudicada evidenciar, e, em certa medida e dependendo da natureza da relação jurídica estabelecida (e das leis aplicáveis, que podem estabelecer regras diferentes de avaliação, responsabilidade e ônus probatório etc.), argumentar e apresentar os indícios suficientes que sejam capazes de justificar o seu receio, como um receio legítimo.
As duas últimas observações estão intimamente relacionadas, ou podem estar.
Destaca-se que, um elemento essencial da questão a ser analisada, relaciona-se à perda de controle do titular, sobre as informações pessoais ilegalmente processadas, nas situações referidas, representando uma circunstância em desacordo com o conceito, em certa medida, de autodeterminação informativa, que é um dos princípios da disciplina de proteção de dados pessoais em vários contextos, especialmente, no Brasil (artigo 2º, II, Lei Geral de Proteção de Dados Pessoais – LGPD).
[1] Termo utilizado na versão portuguesa no julgamento C-340/21 TJ-UE.
