Vazamento de dados na jurisprudência do STJ

O vazamento de dados é uma ocorrência cada vez mais comum no mundo digital, e pode gerar diversos riscos para os titulares dos dados, como fraude, roubo de identidade e danos à reputação.

O titular de dados é a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. No caso de vazamento de dados, o titular é a pessoa que teve suas informações pessoais expostas de forma indevida.

A jurisprudência do Superior Tribunal de Justiça (STJ) sobre vazamento de dados é recente, mas já estabeleceu alguns importantes entendimentos. Em um acórdão publicado em março de 2023, o STJ decidiu que o vazamento de dados pessoais comuns não gera dano moral presumido. Ou seja, o titular dos dados deve comprovar que o vazamento lhe causou algum dano moral para que tenha direito à indenização.

Essa decisão foge da maioria das decisões do STJ sobre o mesmo tema e não será seguida nos próximos julgados. O STJ já reconheceu que os dados pessoais são direitos personalíssimos, o que, por si só, já geraria um dano presumido sem a necessidade de comprovação de que o titular de dados teve um dano comprovado:

RECURSO ESPECIAL. FUNDAMENTO NÃO IMPUGNADO. SÚM. 283/STF. AÇÃO DE COMPENSAÇÃO DE DANO MORAL. BANCO DE DADOS. COMPARTILHAMENTO DE INFORMAÇÕES PESSOAIS. DEVER DE INFORMAÇÃO. VIOLAÇÃO. DANO MORAL IN RE IPSA. JULGAMENTO: CPC/15.

  1. Ação de compensação de dano moral ajuizada em 10/05/2013, da qual foi extraído o presente recurso especial, interposto em 29/04/2016 e atribuído ao gabinete em 31/01/2017.
  2. O propósito recursal é dizer sobre: (i) a ocorrência de inovação recursal nas razões da apelação interposta pelo recorrido; (ii) a caracterização do dano moral em decorrência da disponibilização/comercialização de dados pessoais do recorrido em banco de dados mantido pela recorrente.
  3. A existência de fundamento não impugnado – quando suficiente para a manutenção das conclusões do acórdão recorrido – impede a apreciação do recurso especial (súm. 283/STF).
  4. A hipótese dos autos é distinta daquela tratada no julgamento do REsp 1.419.697/RS (julgado em 12/11/2014, pela sistemática dos recursos repetitivos, DJe de 17/11/2014), em que a Segunda Seção decidiu que, no sistema credit scoring, não se pode exigir o prévio e expresso consentimento do consumidor avaliado, pois não constitui um cadastro ou banco de dados, mas um modelo estatístico.
  5. A gestão do banco de dados impõe a estrita observância das exigências contidas nas respectivas normas de regência – CDC e Lei 12.414/2011 – dentre as quais se destaca o dever de informação, que tem como uma de suas vertentes o dever de comunicar por escrito ao consumidor a abertura de cadastro, ficha, registro e dados pessoais e de consumo, quando não solicitada por ele.
  6. O consumidor tem o direito de tomar conhecimento de que informações a seu respeito estão sendo arquivadas/comercializadas por terceiro, sem a sua autorização, porque desse direito decorrem outros dois que lhe são assegurados pelo ordenamento jurídico: o direito de acesso aos dados armazenados e o direito à retificação das informações incorretas.
  7. A inobservância dos deveres associados ao tratamento (que inclui a coleta, o armazenamento e a transferência a terceiros) dos dados do consumidor – dentre os quais se incluem o dever de informar – faz nascer para este a pretensão de indenização pelos danos causados e a de fazer cessar, imediatamente, a ofensa aos direitos da personalidade.
  8. Em se tratando de compartilhamento das informações do consumidor pelos bancos de dados, prática essa autorizada pela Lei 12.414/2011 em seus arts. 4º, III, e 9º, deve ser observado o disposto no art. 5º, V, da Lei 12.414/2011, o qual prevê o direito do cadastrado ser informado previamente sobre a identidade do gestor e sobre o armazenamento e o objetivo do tratamento dos dados pessoais
  9. O fato, por si só, de se tratarem de dados usualmente fornecidos pelos próprios consumidores quando da realização de qualquer compra no comércio, não afasta a responsabilidade do gestor do banco de dados, na medida em que, quando o consumidor o faz não está, implícita e automaticamente, autorizando o comerciante a divulgá-los no mercado está apenas cumprindo as condições necessárias à concretização do respectivo negócio jurídico entabulado apenas entre as duas partes, confiando ao fornecedor a proteção de suas informações pessoais.
  10. Do mesmo modo, o fato de alguém publicar em rede social uma informação de caráter pessoal não implica o consentimento, aos usuários que acessam o conteúdo, de utilização de seus dados para qualquer outra finalidade, ainda mais com fins lucrativos.
  11. Hipótese em que se configura o dano moral in re ipsa.
  12. Em virtude do exame do mérito, por meio do qual foram rejeitadas as teses sustentada pela recorrente, fica prejudicada a análise da divergência jurisprudencial.
  13. Recurso especial conhecido em parte e, nessa extensão, desprovido.

(REsp n. 1.758.799/MG, relatora Ministra Nancy Andrighi, Terceira Turma, julgado em 12/11/2019, DJe de 19/11/2019.)

No caso de vazamento de dados sensíveis, sem quaisquer dúvidas, como informações sobre saúde, orientação sexual ou religião, a jurisprudência do STJ não há mais dúvidas. Nesses casos, o vazamento de dados é considerado dano moral presumido, ou seja, o titular dos dados não precisa comprovar que o vazamento lhe causou algum prejuízo para ter direito à indenização.

A jurisprudência do STJ sobre vazamento de dados é ainda incipiente, mas já estabelece alguns importantes entendimentos que devem nortear as decisões judiciais sobre esse tema.

A mais recente jurisprudência do STJ já aponta a mudança para acolher o dano moral presumido:

CONSUMIDOR. RECURSO ESPECIAL. AÇÃO DECLARATÓRIA DE INEXIGIBILIDADE DE DÉBITO POR VAZAMENTO DE DADOS BANCÁRIOS CUMULADA COM INDENIZAÇÃO POR DANOS MORAIS E REPETIÇÃO DE INDÉBITO. GOLPE DO BOLETO. TRATAMENTO DE DADOS PESSOAIS SIGILOSOS DE MANEIRA INADEQUADA. FACILITAÇÃO DA ATIVIDADE CRIMINOSA. FATO DO SERVIÇO. DEVER DE INDENIZAR PELOS PREJUÍZOS. SÚMULA 479/STJ. RECURSO ESPECIAL PROVIDO.

1. Ação declaratória de inexigibilidade de débito por vazamento de dados bancários cumulada com indenização por danos morais e repetição de indébito, ajuizada em 13/2/2020, da qual foi extraído o presente recurso especial, interposto em 15/2/2022 e concluso ao gabinete em 19/6/2023.

2. O propósito recursal consiste em decidir se a instituição financeira responde por falha na prestação de serviços bancários, consistente no vazamento de dados que facilitou a aplicação de golpe em desfavor do consumidor.

3. Se comprovada a hipótese de vazamento de dados da instituição financeira, será dela, em regra, a responsabilidade pela reparação integral de eventuais danos. Do contrário, inexistindo elementos objetivos que comprovem esse nexo causal, não há que se falar em responsabilidade das instituições financeiras pelo vazamento de dados utilizados por estelionatários para a aplicação de golpes de engenharia social (REsp 2.015.732/SP, julgado em 20/6/2023, DJe de 26/6/2023).

4. Para sustentar o nexo causal entre a atuação dos estelionatários e o vazamento de dados pessoais pelo responsável por seu tratamento, é imprescindível perquirir, com exatidão, quais dados estavam em poder dos criminosos, a fim de examinar a origem de eventual vazamento e, consequentemente, a responsabilidade dos agentes respectivos. Os nexos de causalidade e imputação, portanto, dependem da hipótese concretamente analisada.

5. Os dados sobre operações bancárias são, em regra, de tratamento exclusivo pelas instituições financeiras. No ponto, a Lei Complementar 105/2001 estabelece que as instituições financeiras conservarão sigilo em suas operações ativas e passivas e serviços prestados (art. 1º), constituindo dever jurídico dessas entidades não revelar informações que venham a obter em razão de sua atividade profissional, salvo em situações excepcionais. Desse modo, seu armazenamento de maneira inadequada, a possibilitar que terceiros tenham conhecimento de informações sigilosas e causem prejuízos ao consumidor, configura defeito na prestação do serviço (art. 14 do CDC e art. 44 da LGPD).

6. No particular, não há como se afastar a responsabilidade da instituição financeira pela reparação dos danos decorrentes do famigerado “golpe do boleto”, uma vez que os criminosos têm conhecimento de informações e dados sigilosos a respeito das atividades bancárias do consumidor. Isto é, os estelionatários sabem que o consumidor é cliente da instituição e que encaminhou e-mail à entidade com a finalidade de quitar sua dívida, bem como possuem dados relativos ao próprio financiamento obtido (quantidade de parcelas em aberto e saldo devedor do financiamento).

7. O tratamento indevido de dados pessoais bancários configura defeito na prestação de serviço, notadamente quando tais informações são utilizadas por estelionatário para facilitar a aplicação de golpe em desfavor do consumidor.

8. Entendimento em conformidade com Tema Repetitivo 466/STJ e Súmula 479/STJ: “As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias“.

9. Recurso especial conhecido e provido para reformar o acórdão recorrido e reestabelecer a sentença proferida pelo Juízo de primeiro grau.

(REsp n. 2.077.278/SP, relatora Ministra Nancy Andrighi, Terceira Turma, julgado em 3/10/2023, DJe de 9/10/2023.)

Exemplos de danos morais por vazamento de dados

  • Fraude: Se o titular dos dados for vítima de fraude após o vazamento de suas informações, como o uso de seu cartão de crédito ou de sua identidade para abrir uma conta bancária, ele pode comprovar que o vazamento lhe causou dano moral.
  • Roubo de identidade: Se o titular dos dados tiver sua identidade roubada após o vazamento de suas informações, ele pode comprovar que o vazamento lhe causou dano moral.
  • Danos à reputação: Se o titular dos dados tiver sua reputação prejudicada após o vazamento de suas informações, ele pode comprovar que o vazamento lhe causou dano moral.

Medidas para proteger os dados pessoais

  • Usar senhas fortes e únicas para cada conta: Senhas fortes e únicas ajudam a proteger as contas de acesso a dados pessoais.
  • Ativar a autenticação de dois fatores: A autenticação de dois fatores adiciona um nível extra de segurança às contas, exigindo que o usuário digite um código enviado por SMS ou e-mail para acessar a conta.
  • Atualizar regularmente os softwares e aplicativos: Os softwares e aplicativos atualizados geralmente incluem correções de segurança que podem ajudar a proteger os dados pessoais.
  • Ser cauteloso ao fornecer dados pessoais: Os titulares dos dados devem ser cautelosos ao fornecer dados pessoais a empresas ou organizações. Só devem fornecer dados pessoais quando forem necessários e devem se certificar de que a empresa ou organização está comprometida com a segurança dos dados.

Ao tomar essas medidas, os titulares dos dados podem reduzir o risco de vazamento de dados e proteger sua privacidade. E, para isso, o Instituto SIGILO está à disposição de todos os seus associados para auxiliá-los a endereçar estas questões para as melhores soluções possíveis.

A UNIÃO FAZ O SIGILO!

Instituto SIGILO

Quer saber mais sobre o INSTITUTO SIGILO?

Clique aqui