Nos últimos tempos a proteção de dados experimentou uma certa “baixa” em termos de interesse acadêmico e institucional. Livros continuam sendo escritos e publicados, reuniões continuam sendo realizadas, discussões acadêmicas seguem sendo travadas, mas o assunto parecia ter amornado.
Alguns podem discordar, fundamentadamente inclusive, afinal, a Autoridade Nacional de Proteção de Dados (ANPD) decidiu mais coisas recentemente do que nos anos anteriores somados. Além disso, os eventos promovidos pela autoridade em Brasília durante o ano de 2024 foram muito prestigiados, bem como os seminários internacionais.
O protagonismo da IA
Fato é que estas circunstâncias, por mais válidas que sejam como argumento, não alteram a realidade de que, em véspera de regulação da IA, literalmente, foi preciso deslocar muitos profissionais e estudiosos da área de privacidade e proteção de dados pessoais para as forças-tarefas de IA. No campo técnico e acadêmico, muitos dos formadores de opinião acabaram “migrando” para os debates de IA e, por mais que a ANPD esteja ativa e seja atuante – respeitadas suas limitações – o que ela vinha fazendo em termos decisórios estava impactando minimamente, na prática, o mercado.
A expectativa geral, aparentemente, era de que a proteção de dados retomasse, gradualmente, seu protagonismo, à medida em que as consultas e regulamentos da ANPD fossem disponibilizados. Havia uma certa curiosidade em relação ao concurso público que a autoridade está em vias de realizar: de que modo a integração de tantos novos colaboradores iria impactar e até alterar as dinâmicas – até então conhecidas e em certa medida previsíveis, da ANPD?
A recente decisão do Superior Tribunal de Justiça
O que certamente não estava no radar de ninguém era uma (nova) decisão do Superior Tribunal de Justiça (STJ) sobre responsabilidade civil por vazamento de dados, como aconteceu agora no Recurso Especial (REsp) nº 2147374/SP, de relatoria do Ministro Ricardo Villas Bôas Cueva. O potencial deste julgado de impactar o mercado é mais do que relevante. Sobretudo dada a projeção que vem recebendo na mídia e nos grupos que se dedicam ao tema.
A Terceira Turma do STJ decidiu, à unanimidade, que a recorrente, Eletropaulo, é civilmente responsável, com fundamento na Lei Geral de Proteção de Dados, por compartilhamento de dados ilícito (mediante atuação de hacker) e que deveria, portanto, indenizar a titular de dados proponente da ação indenizatória.
O vazamento de dados de que trata a ação, nos termos do acórdão, envolveu a divulgação de nome completo, RG, CPF, endereço e telefone da titular. A sentença de improcedência foi parcialmente reformada em segundo grau, momento em que se afastou a responsabilidade civil – inclusive em harmonia com julgado anterior do próprio STJ no Agravo em Recurso Especial (AREsp) nº 2130619/SP, relatado, à época, pelo Ministro Francisco Falcão na Segunda Turma do tribunal superior.
Naquele caso, julgado em março de 2023, o STJ entendeu que não caberia condenar a ENEL por danos morais presumidos (in re ipsa) em matéria de proteção de dados, sobretudo em incidente que não envolvia dados sensíveis. Em outras palavras, o tribunal havia entendido que se não resultar comprovado prejuízo do incidente de segurança, ainda que este tenha ocorrido, não há que se falar em direito à indenização. O ponto de partida aqui era graduar o incidente de segurança ou tratamento ilícito e avaliar, em consonância com o sistema de gradação de riscos e danos da própria LGPD, se a conduta efetivamente repercutiu na esfera jurídica do titular – sendo irrelevante a possibilidade teórica e abstrata de ocorrência de um dano que não se concretizou.
A decisão recente do STJ parte da premissa de que não é o titular quem tem que provar o dano, mas o agente de tratamentos que tem que provar que “cumpre a lei”. Mas o que é “cumprir a lei”?
Gostou do texto? Esse artigo continua na próxima publicação da Eduarda Chacon Rosas. Quer ler mais textos dela? Que tal começar por esse: Governança e Compliance em Proteção de Dados: Essenciais para a Garantia da Privacidade e da Competitividade no Mercado
