Em julgamento à ação judicial movida por cliente de Distribuidora de Energia (“Distribuidora”) que teve seus dados pessoais expostos por ataque de hacker ao banco de dados da empresa, a segunda turma do Superior Tribunal de Justiça (“STJ”), em março de 2023, negou o pedido de danos morais da cliente. Dados referentes a data de nascimento, números de CPF e RG, gênero, endereço, números de telefone, carga instalada, consumo estimado, tipo de instalação e leitura foram indevidamente extraídos dos sistemas da Distribuidora. Diante desta situação, a consumidora entrou com uma ação judicial pleiteando indenização por danos morais.
Após tramitação em primeira e segunda instâncias, que, respectivamente, haviam rejeitado o pedido da consumidora e, após, acolhido e condenado a Distribuidora ao pagamento de danos morais pelo fato, a empresa interpôs recurso especial, que culminou na decisão do STJ. O julgamento de segunda instância (desfavorável à Distribuidora) teve por principal fundamento a falha na prestação do serviço e a existência de um dano moral presumido (sem necessidade de demonstração de um efetivo e concreto dano), com base no Código de Defesa do Consumidor (“CDC”).
Já no STJ, segundo o voto do Ministro Falcão, relator do julgamento, acompanhado pelos demais ministros de forma unânime, os danos morais causados por vazamento de dados não sensíveis, como dados cadastrais informados corriqueiramente no dia a dia, devem ser provados concretamente para que se tenha direito a indenização. De modo contrário, o ministro ressaltou que casos relativos à exposição de dados sensíveis (conforme definidos pela Lei Geral de Proteção de Dados – “LGPD”), que são aqueles ligados à convicção religiosa, opinião política, filiação à sindicato, dados relativos à saúde e à vida sexual e dados genéticos de pessoa natural, dada sua natureza íntima, poderiam atrair aplicação de dano presumido. Já que o caso analisado não contemplou dados sensíveis e a prova efetiva do dano alegado pela autora da ação não teria ocorrido, a decisão de segunda instância foi reformada.
Para concluir, é válido lembrar que a decisão não tem efeito vinculante, ou seja, não terá de ser acatada pelos outros órgãos do judiciário em outros processos, mas tem peso fundamental como jurisprudência para casos similares, podendo respaldar um movimento de ponderação quanto a aplicação do regime de responsabilidade civil previsto no CDC em matéria de proteção de dados pessoais. Assim, o julgamento inaugura uma moderada jurisprudência, que evita, sobretudo, a judicialização exacerbada do tema.
