A regra geral em responsabilidade civil é de que somente são indenizáveis os danos concretos e comprovados. Tanto a responsabilidade civil subjetiva (fundada na culpa), quanto a objetiva (independente de culpa) exigem a prova de dano efetivo para que surja o dever de indenizar.
Mais do que isso, o dano é o elemento que balizará a quantificação da indenização, que deve corresponder à extensão do prejuízo causado, nos termos do art. 944 do Código Civil. Portanto, a princípio não são indenizáveis danos hipotéticos ou indeterminados.
A doutrina e a jurisprudência flexibilizaram essa regra em situações excepcionais para os casos em que é logicamente aceitável que tenham decorrido danos morais da conduta do agente, dispensando prova concreta deles. Nesses casos, excepcionalmente, o dano pode ser presumido, bastando a comprovação da conduta violadora do agente e do seu nexo de causalidade com o dano alegado (o chamado dano de in re ipsa, ou seja, “da própria coisa”).
A Lei Geral de Proteção de Dados Pessoais (Lei nº. 13.709/2018 – “LGPD”) prevê que aquele que causar dano em razão do tratamento de dados em violação à norma é obrigado a repará-lo. Diante disso, a questão é definir se, na hipótese de vazamento/tratamento indevido de dados pessoais, presumem-se ou não os danos morais possivelmente sofridos pelo seu titular.
A questão é objeto de controvérsia no direito europeu, em que a LGPD se baseia. A jurisprudência sobre a necessidade de prova do dano moral em casos de vazamento de dados diverge entre países da União Europeia (“UE”) e até mesmo entre cortes dentro do mesmo país.
Em razão dessa divergência, em 2021 as Supremas Cortes da Áustria e da Alemanha submeteram à Corte Europeia de Justiça perguntas-chave a respeito dos danos morais em razão de infrações à legislação europeia de proteção de dados (General Data Protection Regulation – GDPR).
Como o GDPR é uma norma da UE, e não de cada país-membro, espera-se que a Corte Europeia de Justiça defina se é necessário que o autor da ação sofra um dano efetivo ou basta o descumprimento da norma para que haja o dever de indenizar. Essa consulta ainda está pendente perante a Corte Europeia de Justiça (Case C-300/21: Request for a preliminary ruling from the Oberster Gerichtshof (Austria) submetido em 12.5.2021).
NO BRASIL
O tema é recente no Judiciário brasileiro, que tem divergido a respeito. Parte da jurisprudência tem decidido que o mero vazamento de dados é suficiente para presumir o dano moral de seu titular, como o fez a 38ª Câmara de Direito Privado do Tribunal de Justiça de São Paulo (“TJ/SP”) ao condenar uma plataforma de compras digital ao pagamento de indenização por danos morais a um consumidor que teve seus dados vazados.
Segundo o acórdão, o dano moral no caso seria in re ipsa, pois ele “decorre do próprio fato violador, o que dispensa a produção de prova a respeito de sua ocorrência, impondo, por seu turno, a necessidade de resposta, que nada mais é do que a reparação do mal causado” (Processo nº. 1007375-66.2021.8.26.0077, relatora Desembargadora Anna Paula Dias Costa, julgado em 8.7.2022).
Outra parte da jurisprudência, entretanto, afirma que o vazamento de dados per se não gera presunção de dano moral, cabendo ao titular dos dados comprovar o alegado abalo moral. Nesse sentido, acórdão da 31ª Câmara de Direito Privado do mesmo TJ/SP afastou indenização pedida por consumidor contra concessionária de energia elétrica.
No caso, era incontroverso o vazamento de dados decorrente de ação criminosa praticada por terceiros. A despeito de ter reconhecido a responsabilidade objetiva da concessionária pela falha de segurança do sistema, a 31ª Câmara decidiu pela improcedência da ação por falta de demonstração dos danos morais alegados.
Nos termos do acórdão, “não se tratando de situação em que o dano moral se presume ‘in re ipsa’, faz-se necessária a demonstração efetiva de sua ocorrência para justificar o reconhecimento do direito à reparação. No caso, os transtornos vividos pelo autor não chegam a caracterizar verdadeira situação de dano moral...” (Processo nº 1001022-93.2021.8.26.0405, relator Desembargador Antonio Rigolin, julgado em 8.2.2022).
A solução aplicada nesse último caso parece-nos a mais correta. A LGPD não criou um microssistema independente de responsabilidade civil com regras próprias, em que deva ser aplicada a exceção da indenização por danos presumidos.
De acordo com a melhor técnica de interpretação do direito, a LGPD deve ser interpretada sistematicamente em conjunto com as demais normas aplicáveis à responsabilidade civil no Brasil, que exigem a comprovação de dano efetivo para que surja o dever de indenizar.
Interpretá-la isoladamente, como se previsse regramento próprio da responsabilização civil que admita indenização por mero descumprimento de lei, não apenas viola princípios básicos de hermenêutica jurídica, como poderia servir de fonte ao enriquecimento sem causa, incentivando uma indesejável enxurrada de ações indenizatórias no Judiciário em busca de dinheiro fácil.
Por qualquer ângulo que se analise a questão, portanto, é de todo recomendável que se respeite a sistemática vigente no direito brasileiro de que somente são indenizáveis os danos efetivos, que devem ser cabalmente comprovados por quem os alega. Espera-se que a jurisprudência (nacional e internacional) venha a consolidar esse correto entendimento.
Este texto não traduz, necessariamente, a opinião de A Gazeta.
Notou alguma informação incorreta no conteúdo de A Gazeta? Nos ajude a corrigir o mais rápido possível! Clique no botão ao lado e envie sua mensagem.
Envie sua sugestão, comentário ou crítica diretamente aos editores de A Gazeta.