STJ decide que vazamento de dados pessoais comuns não gera dano moral presumido

O Superior Tribunal de Justiça (STJ) decidiu que o vazamento de dados pessoais não gera por si só dano moral presumido, ou seja, é necessário que se apresente provas de prejuízos causados para esse tipo de indenização. O entendimento unânime da 2ª Turma do STJ foi proferido no dia 15 de março de 2022, a partir do julgamento do Recurso Especial nº 2130619 – SP. É a primeira vez que a Corte delibera sobre o assunto.

A decisão do STJ destacou, ainda, que o rol do art. 5º, II da LGPD, sobre o que são dados pessoais sensíveis, é taxativo. A definição é extremamente relevante em razão do cenário atual de crescimento da judicialização de casos em que se pede indenização por dano moral em virtude de vazamentos de dados pessoais, como nome, RG, endereço, data de nascimento e telefone.

“O entendimento reforça que em contextos desse tipo, nos quais há incidentes de segurança, é preciso outros elementos de prova para gerar dano moral presumido. É provável, daqui em diante, que ocorra uma queda no número de ações judiciais com pedidos de indenização por danos morais em função de vazamento de dados pessoais”, explica Thiago Sombra, sócio da prática de Proteção de Dados e Cybersecurity do Mattos Filho.

Sanções da ANPD

Recentemente, a visando a regulamentação da aplicação dos artigos 52 e 53 da LGPD e definição dos critérios e parâmetros para as sanções pecuniárias e não pecuniárias pela ANPD.

O regulamento também definiu a dosimetria para o cálculo do valor-base das multas, além de alterar os artigos 32, 55 e 62 da Resolução nº 1 CD/ANPD, que aprovou o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador, para aprimorar o processo administrativo sancionador e de fiscalização.

Nesse âmbito, podem ser aplicadas todas as sanções previstas na LGPD, quais sejam:

• Advertência;

• Multa simples, de até 2% do faturamento da empresa, limitada, no total, a R$ 50.000.000,00 por infração;

• Multa diária, com limite total de R$ 50.000.000;

• Publicização da infração;

• Bloqueio dos dados pessoais;

• Eliminação dos dados pessoais;

• Suspensão parcial do funcionamento do banco de dados por no máximo de seis meses, prorrogável por igual período, até que se regularize a situação;

• Suspensão do exercício da atividade de tratamento dos dados pessoais por no máximo de seis meses, prorrogável por igual período;

• Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Clique aqui e veja o one pager referente aos novos critérios e parâmetros definidos pela norma.

Confira o levantamento com o panorama regulatório da legislação no Brasil, produzido com exclusividade pelo Mattos Filho.

Para mais informações sobre temas relacionados à LGPD, conheça a prática de Proteção de Dados e Cybersecurity do Mattos Filho.