A Lei Geral de Proteção de Dados, Lei nº 13.709/2018, entrou em vigor com suas sanções administrativas em agosto de 2021, inaugurando uma nova era na relação entre empresas, organizações públicas e os titulares de dados pessoais no Brasil. Desde então, a jurisprudência dos tribunais estaduais, do Superior Tribunal de Justiça e do próprio Supremo Tribunal Federal tem construído, caso a caso, a interpretação prática de institutos que o texto legal havia definido em termos ainda abertos e sujeitos a controvérsia. A jurisprudência sobre a LGPD é, por natureza, um campo em construção acelerada, com decisões que definem o alcance dos direitos dos titulares, a extensão da responsabilidade dos controladores e operadores, os critérios de quantificação dos danos decorrentes de vazamentos e do tratamento ilícito de dados pessoais, e as relações entre a LGPD e outros diplomas normativos como o Código de Defesa do Consumidor, o Marco Civil da Internet e as leis setoriais de proteção de dados. Para advogados, empresas e profissionais de compliance, acompanhar essa jurisprudência emergente é tarefa de primeira importância, pois as decisões judiciais estão definindo o que a LGPD significa na prática, para além do que o texto da lei diz em abstrato. "A LGPD que os tribunais estão construindo pode ser muito diferente da LGPD que o legislador escreveu, e essa diferença é o campo mais relevante para quem precisa cumprir a lei."
Responsabilidade Civil por Vazamentos de Dados
Um dos campos de maior volume de litígios envolvendo a LGPD é o da responsabilidade civil de controladores e operadores por danos decorrentes de vazamentos de dados pessoais. Os tribunais estaduais de todo o Brasil têm recebido centenas de ações de indenização por dano moral fundadas no artigo 42 da LGPD, que estabelece que o controlador ou o operador que causar dano patrimonial, moral, individual ou coletivo em violação à legislação de proteção de dados são obrigados a repará-lo. O debate central nessas ações é sobre a natureza da responsabilidade civil, se objetiva, dispensando a prova de culpa, ou subjetiva, exigindo demonstração de negligência, imprudência ou imperícia do controlador. O STJ tem sinalizado que a responsabilidade por danos decorrentes de vazamentos tende a ser objetiva quando o controlador é pessoa jurídica que exerce atividade de risco com dados pessoais, em linha com o artigo 927, parágrafo único, do Código Civil, e com o regime de responsabilidade do Código de Defesa do Consumidor. A quantificação do dano moral em casos de vazamento tem sido objeto de ampla oscilação entre os tribunais, com valores que variam de alguns centenas a dezenas de milhares de reais, dependendo da sensibilidade dos dados expostos, da extensão do vazamento e da conduta do controlador após o incidente. "O vazamento de dados que expõe informações sensíveis de milhões de titulares não é erro técnico anônimo, é evento que gera responsabilidade jurídica concreta que os tribunais estão cada vez mais dispostos a reconhecer."
O Dano In Re Ipsa nos Vazamentos de Dados
Uma das questões mais debatidas na jurisprudência sobre LGPD é se o mero vazamento de dados pessoais configura dano moral in re ipsa, ou seja, presumido, independentemente de demonstração de prejuízo concreto pelo titular afetado. A discussão remete ao debate já existente sobre o dano moral por negativação indevida, resolvido pela Súmula nº 323 do STJ, e tem implicações práticas enormes, pois se o vazamento gerar dano presumido, qualquer titular afetado teria direito à indenização sem produzir prova específica de consequências negativas. Os tribunais estaduais têm decidido de forma divergente sobre esse ponto, com alguns reconhecendo o dano in re ipsa e outros exigindo demonstração de consequências concretas como constrangimento, fraude sofrida ou exposição pública de dados sensíveis. O STJ ainda não consolidou tese específica sobre o tema, mas os primeiros julgamentos das turmas de direito privado sinalizam tendência para a diferenciação entre o tipo de dado vazado, com dados sensíveis como saúde, orientação sexual e dados financeiros gerando presunção de dano mais facilmente, e dados menos sensíveis exigindo prova adicional de impacto concreto.
A LGPD e o Código de Defesa do Consumidor
A relação entre a LGPD e o Código de Defesa do Consumidor é tema de crescente relevância jurisprudencial, dado que a maioria das relações de tratamento de dados pessoais no Brasil ocorre em contexto de relação de consumo. O STJ tem reconhecido que as duas leis são aplicáveis de forma complementar, sem que uma exclua a outra, de modo que o titular de dados que é também consumidor pode invocar tanto os direitos da LGPD quanto as proteções do CDC na mesma ação. Essa cumulação de regimes tem impacto sobre a responsabilidade do controlador, pois o CDC impõe responsabilidade objetiva ao fornecedor por defeitos do serviço, o que reforça a tendência de objetivação da responsabilidade por danos decorrentes do tratamento inadequado de dados. A inversão do ônus da prova prevista no artigo 6º, inciso VIII, do CDC, quando reconhecida em litígios envolvendo tratamento de dados pessoais de consumidores, transfere ao controlador o dever de demonstrar que o tratamento foi realizado de forma adequada e em conformidade com a LGPD, aliviando o titular da quase impossível tarefa de provar o que ocorreu no ambiente tecnológico interno do controlador. "A combinação de LGPD e CDC na proteção do consumidor-titular de dados é instrumento poderoso que os tribunais estão gradualmente consolidando."
Direitos dos Titulares e a Tutela Judicial
O capítulo III da LGPD elenca um conjunto de direitos dos titulares de dados pessoais, incluindo o direito de acesso às informações sobre o tratamento, de correção de dados incompletos ou inexatos, de exclusão de dados desnecessários ou tratados em desconformidade com a lei, de portabilidade e de revogação do consentimento. A tutela judicial desses direitos tem gerado ações específicas nos Juizados Especiais e nas Varas Cíveis, com pedidos de obrigação de fazer ou não fazer combinados com indenização por dano moral. O prazo para resposta às solicitações dos titulares, que a LGPD fixa em quinze dias, tem sido objeto de litígios em que a demora na resposta ou a resposta inadequada é apontada como violação autônoma passível de indenização. A Autoridade Nacional de Proteção de Dados, em suas orientações e nas sanções administrativas que vem aplicando desde o início de sua atuação fiscalizatória, tem contribuído para a definição dos parâmetros que os tribunais aplicam na avaliação do cumprimento adequado dos direitos dos titulares, embora suas decisões administrativas não vinculem o Judiciário de forma direta.
Impactos Econômicos e o Custo da Não Conformidade
A jurisprudência emergente sobre LGPD está gerando impactos econômicos expressivos para empresas de diferentes portes e setores. O passivo potencial de ações individuais de indenização por dano moral em casos de vazamento de dados que atinjam milhões de titulares pode chegar a valores astronomicamente elevados quando multiplicado pelo número de afetados, motivando as empresas a investirem em programas de conformidade que reduzam o risco de incidentes. O seguro de responsabilidade civil por riscos cibernéticos, que cobre os custos de resposta a incidentes de segurança, as indenizações a titulares e as multas administrativas da ANPD, tornou-se produto de crescente demanda no mercado de seguros corporativos brasileiro. A ANPD, ao aplicar as sanções do artigo 52 da LGPD, que vão de advertência a multa de até 2 por cento do faturamento da empresa no exercício anterior, limitada a cinquenta milhões de reais por infração, contribui para o custo da não conformidade de forma que o mercado já precifica nas decisões de investimento em governança de dados. "O custo de um programa de conformidade com a LGPD, por mais expressivo que pareça, é sempre inferior ao custo de um vazamento de dados que chegue aos tribunais e às manchetes."
Tendências e o Horizonte da Jurisprudência Sobre LGPD
O horizonte da jurisprudência sobre LGPD aponta para consolidação progressiva em questões que ainda dividem os tribunais, especialmente sobre a natureza da responsabilidade civil, os critérios de quantificação do dano moral e a relação entre a competência da ANPD e a competência do Judiciário para resolver conflitos sobre proteção de dados. A possibilidade de ações coletivas de indenização em casos de grandes vazamentos, por meio de ações civis públicas movidas pelo Ministério Público ou por associações de defesa do consumidor, é campo em desenvolvimento que pode transformar a economia das lides envolvendo LGPD, deslocando a composição do litígio do plano individual para o plano coletivo. A internacionalização dos dados, com questões sobre a transferência internacional e a aplicação da LGPD a controladores situados no exterior que tratam dados de titulares brasileiros, é outro tema de crescente relevância que a jurisprudência precisará endereçar com maior precisão nos próximos anos, em diálogo com o GDPR europeu e com as regulações de outras jurisdições de referência.
A jurisprudência sobre LGPD está em construção acelerada e qualquer profissional que trabalhe com dados pessoais, tecnologia, consumidor ou responsabilidade civil precisa acompanhar seu desenvolvimento de forma sistemática. As decisões dos tribunais estaduais, do STJ e da ANPD estão definindo, em tempo real, o que significa cumprir a LGPD na prática, quais consequências decorrem de seu descumprimento e quais direitos os titulares podem efetivamente exercer por meio do sistema de justiça. Para as empresas, o investimento em programas de conformidade informados por essa jurisprudência emergente é a forma mais inteligente de navegar um campo normativo em que o custo da incerteza é crescente e o custo da negligência está sendo definido, caso a caso, pelos tribunais que darão ao Brasil sua jurisprudência definitiva sobre proteção de dados pessoais.