Em novembro de 2020, a Enel sofreu um vazamento de dados. Na ocasição, diversos clientes da região de Osasco (SP) receberam uma notificação da companhia informando o incidente com impactos em informações pessoais, incluindo desde nome completo, endereço e número de conta bancária. Meses depois, uma cliente da Enel entrou na justiça pedindo uma indenização por danos morais. Entretanto, de acordo com o Superior Tribunal de Justiça (STJ), o vazamento de dados não tem a capacidade, por si só, de gerar dano moral indenizável, é necessário que o titular comprove o efetivo prejuízo gerado pela exposição dessas informações.
O entendimento foi estabelecido pela Segunda Turma do STJ ao dar provimento ao recurso especial da companhia e, por unanimidade, reformar acórdão do Tribunal de Justiça de São Paulo (TJSP) que havia condenado a concessionária a pagar indenização por danos morais de R$ 5 mil, em virtude do vazamento dos dados de uma cliente.
Na ação de reparação de danos, a cliente alegou que foram vazados dados pessoais como nome, data de nascimento, endereço e número do documento de identificação. Ainda segundo a consumidora, os dados foram acessados por terceiros e, posteriormente, compartilhados com outras pessoas mediante pagamento – situação que, para ela, gerava potencial perigo de fraude e de importunações. O pedido foi julgado improcedente em primeiro grau, mas o TJSP reformou a sentença por entender que o vazamento de dados reservados da consumidora configurou falha na prestação de serviços.
Na visão do Guilherme Guimarães, Advogado e Sócio fundador do Guilherme Guimarães Advogados Associados e da Datalege Consultoria Empresarial, a regra é que os danos dessa natureza sejam comprovados pelo titular para que se justifique a condenação do ofensor ao pagamento de uma indenização.
“Excepcionalmente, são admitidos os chamados danos in re ipsa, nos quais o prejuízo, por ser presumido, independe de prova. A fixação do valor do dano é totalmente subjetiva. Mas existem parâmetros para a avaliação do dano moral: a) extensão do dano – tal critério está previsto no artigo 944, do Código Civil; b) grau de culpa do ofensor; c) punição e exemplaridade; d) culpa concorrente da vítima; e) situação econômica do ofensor e do ofendido; e proporcionalidade”, explica Guimarães em entrevista à Security Report nesta segunda-feira (20).
Em sua avaliação, situações como essa reportada, podem abrir portas para novos processos contra as organizações. Segundo ele, a LGPD poderá ser mais perigosa do que a legislação trabalhista. “Veja que em uma empresa com mil empregados, existe a possibilidade de apenas um propor uma ação na esfera trabalhista, enquanto se a empresa possuir vinte mil titulares em sua base de dados, todos são potenciais autores de uma ação em decorrência de, por exemplo, um vazamento de dados pessoais”, pontua o profissional, reforçando que a ANPD já recebeu mais de 7 mil denúncias de titulares.
Por outro lado, o advogado explica que por mais que a indenização seja paga pelos danos causados, caso seja comprovado, não necessariamente a empresa pagará a multa da LGPD, pois existem vários aspectos a serem observados pela norma que disciplina as sanções para a aplicação de qualquer pena. Ele reforça ainda: “se a condenação decorreu do fato de que a empresa não conseguiu se defender satisfatoriamente bem na esfera judicial, não há como negar que poderá chegar ao mesmo resultado na ANPD”.
Com essa questão envolvendo processos de clientes, bem como a recentemente publicação da Dosimetria, o que traz novas perspectivas ao cenário, Guimarães enfatiza que agora, mais do que nunca, o titular deverá buscar informações sobre como a empresa que trata os dados aplica as medidas de segurança, técnicas e administrativas. Só assim será possível garantir a proteção de dados, em especial, para diminuir eventual impacto negativo para o titular no caso de um incidente.
Procon-SP notificou Enel
Posteriormente, diante da grande repercussão do caso, a distribuidora de energia não respondeu satisfatoriamente aos questionamentos sobre o ocorrido ao Procon-SP. O órgão chegou a informar que o caso está sendo analisado pela diretoria de fiscalização e que poderá aplicar multa conforme prevê o Código de Proteção e Defesa do Consumidor, caso tudo não esteja esclarecido.
Segundo apuração do Procon-SP, a Enel não chegou a especificar alguns itens como: quais os parâmetros usados para a classificação da confidencialidade dos dados; quais fundamentos se baseia para permitir o acesso de parceiros, colaboradores e estagiários aos dados pessoais mantidos sob sua guarda; e quais as políticas de segurança de dados utilizadas para evitar que esses dados sigilosos sejam copiados.
*Com informações do Superior Tribunal de Justiça (STJ)
