jusbrasil.com.br
5 de Agosto de 2021
1º Grau
Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

TJSP • Procedimento Comum Cível • Proteção de dados pessoais (LGPD) • 1025226-41.2020.8.26.0405 • 2ª Vara Cível do Tribunal de Justiça de São Paulo - Inteiro Teor

Tribunal de Justiça de São Paulo
há 4 meses
Detalhes da Jurisprudência
Órgão Julgador
2ª Vara Cível
Assuntos
Proteção de dados pessoais (LGPD)
Juiz
Mario Sergio Leite
Partes
Requerente: Vitória Divina dos Santos, Requerido: Eletropaulo Metropolitana Elericidade de São Paulo S.A. Soc. Advogados
Documentos anexos
Inteiro Teor70524410%20-%20Julgada%20improcedente%20a%20a%C3%A7%C3%A3o.pdf
Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

SENTENÇA Processo nº: 1025226-41.2020.8.26.0405 Classe - Assunto Procedimento Comum Cível - Proteção de dados pessoais

Requerente: Vitória Divina dos Santos

Requerido: Eletropaulo Metropolitana Elericidade de São Paulo S.A.

Juiz (a) de Direito: Dr (a). MARIO SERGIO LEITE

Vistos.

VITÓRIA DIVINA DOS SANTOS ingressou com ação de obrigação de fazer cumulada com danos morais em face de ELETROPAULO METROPOLITANA ELERICIDADE DE SÃO PAULO S.A. , alegando, em síntese, que na data de 15/11/2020, foi surpreendida com uma chamada telefônica do IPRODAPE (Instituto de Proteção de Dados Pessoais), do qual é associada, oportunidade em que recebeu a informação de que seus dados pessoais haviam sido vazados pela empresa ré e se encontravam em poder de estranhos. Aduziu que a informação pôde, inclusive, ser confirmada por pesquisas na internet, e que chegou a receber um comunicado da requerida com a mesma notícia. Disse que passou a enfrentar inúmeros problemas que até então não tinha, tais como recebimento mensagens indesejadas via celular e e- mail, ligações de telemarketing, além de ter que se revestir de mais cautela para não adimplir eventuais boletos fraudulentos. Enfatizou que tal situação "tem tirado seu sono, causando angústia e sentimento de tristeza", vez que os dados vazados são irrecuperáveis e negociados no mercado negro, seja para propaganda, seja para possíveis golpes. Pugnou, assim: a) pela tramitação do feito sob o crivo do segredo de justiça; b) seja a ré compelida a apresentar a informação das entidades públicas e privadas com as quais realizou uso compartilhado de dados, bem como fornecer declaração clara e completa que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento; c) seja a ré compelida a recolher os dados de todos locais onde foram compartilhados sem autorização, sob pena de multa diária; d) sejam notificados a Autoridade Nacional de Proteção de Dados Pessoais (ANPD), o Departamento de Proteção e

1025226-41.2020.8.26.0405 - lauda 1

Defesa do Consumidor (DPDC), a Fundação Procon-SP, a Secretaria Nacional do Consumidor (Senacon), e o Ministério da Justiça e Segurança Pública (MJSP), sobre a violação da LGPD; e) seja a ré condenada a fazer ampla divulgação da violação de dados em meios de comunicação; e f) seja a ré condenada ao pagamento de indenização por danos morais, no importe de R$ 10.000,00. Juntou procuração e documentos (fls. 17/44).

Por decisão de folha 45 foram deferidos os benefícios da assistência judiciária gratuita em favor da parte autora.

Citada, a parte ré contestou (fls. 56/101), arguindo, preliminarmente, a necessidade de trâmite da ação sob o crivo do segredo de justiça. Quanto ao mérito, aduziu tratar- se de ação temerária, diante de um possível “efeito cascata”, visto que identificado, até o momento, o ajuizamento de 37 ações idênticas, patrocinadas pelo IPRODAPE, com pleito de indenização por dano moral no valor de R$ 10.000,00, pelo simples fato de as partes autoras terem sido comunicadas, pela própria ré, sobre um incidente com dados pessoais. Frisou que ao caso aplicam-se as regras estabelecidas na Lei Geral de Proteção de Dados acima de qualquer outra, em respeito ao princípio da especialidade das normas, e que não houve qualquer violação à legislação ou às normas técnicas (artigo 43, incisos II e III da LGPD), visto que a empresa foi vítima de um incidente de segurança com dados pessoais de seus clientes. Asseverou que as investigações ainda estão em curso, não se fazendo possível, ao menos nesse momento, precisar e comprovar de que forma exata o incidente se deu; contudo, cumpriu com todas as normas legais de proteção de dados e técnicas relativas à segurança da informação para manter a integridade dos dados pessoais que lhe foram confiados para mitigar o risco de dano, tendo observado o disposto no artigo 46, caput , da LGPD. Consignou que caso a parte autora houvesse comprovado a existência do dano moral alegado, o que definitivamente não fez, tal circunstância só poderia ser atribuída a ação de terceiro, razão pela qual se aplicaria ao caso a excludente de responsabilidade prevista no art. 43, III da LGPD. Repisou que o dano alegado não está comprovado, e que o objeto da demanda se reveste de nítida pretensão de enriquecimento indevido. Pugnou, ao fim, pela total rejeição da pretensão autoral. Juntou procuração e documentos (fls. 102/398).

Sobreveio réplica às folhas 669/674.

As partes não especificaram provas.

1025226-41.2020.8.26.0405 - lauda 2

É o relatório.

Fundamento e decido.

Conheço diretamente do pedido, com base no art. 355, I, do Novo Código de Processo Civil, pois basta a prova documental produzida para o deslinde da causa.

De proêmio, indefiro o trâmite da presente ação sob segredo de justiça, uma vez que os documentos colacionados aos autos são de domínio público (política de privacidade, lei geral de proteção de dados, notícias e jurisprudências). Assim, não demonstrada a existência de qualquer hipótese autorizadora da restrição à publicidade dos atos processuais (art. 189 do CPC).

Dito isso, os pedidos são improcedentes.

Incontroverso o vazamento dos dados pessoais da parte autora, diante da confissão apresentada pela ré em defesa. Conforme se apura das provas trazidas aos autos, a requerida foi vítima de incidente de segurança cibernética com dados pessoais de clientes vazados, provavelmente por obra de hacker ainda não identificado.

Aplica-se ao caso sub judice , além do Código de Defesa do Consumidor, a Lei nº 13.709/2018 – Lei Geral de Proteção de Dados (LGPD), que trata com maior especificidade a proteção de dados no ambiente on-line. O art. 46 da mencionada LGPD determina a adoção de medidas para a proteção de dados: "Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito" .

Inequívoco que a ré tem a obrigação de proteger os dados pessoais de seus clientes. Porém, por falha na segurança ou falta de aperfeiçoamento e modernização de seu sistema, permitiu que terceiros tivessem acesso a esses dados. A falha na prestação do serviço é, portanto, evidente, não havendo que se falar na excludente do artigo 14, § 3º, II, do CDC, por se tratar de fortuito interno. Por outro lado, para o surgimento do dever de indenizar, faz-se

1025226-41.2020.8.26.0405 - lauda 3

necessário aferir se tal vazamento de dados causou efetivamente à parte autora algum dano.

Observa-se que a parte autora informa genericamente que sofreu abalos psicológicos pelo vazamento de seus dados, não havendo, todavia, demonstração alguma de que, após a invasão, tais dados foram utilizados de forma indevida, o que poderia lhe acarretar transtornos. Nenhuma fraude foi praticada em seu desfavor. Não demonstrou que eventuais e-mails indesejados e ligações de empresas tenham relação com o vazamento de dados, até porque, muito comum recebê-los sem o referido vazamento.

À parte autora cabia comprovar os fatos constitutivos de seu direito. No entanto, apenas alegou ter sofrido danos morais, sem demonstrá-los, já que não juntou aos autos comprovantes de seu prejuízo. Frise-se que, neste caso, a prova é puramente documental, de fácil acesso da parte autora. Ora, se a parte autora recebeu tantas mensagens em celular, e-mail ou boletos para pagamento como alega, seria muito simples a prova de sua ocorrência. Bastaria apresentar cópia de alguns dos e-mails e dos boletos recebidos, print da tela de seu celular para comprovar o recebimento de mensagens; porém, não trouxe nenhum documento para corroborar suas alegações. Verifica-se, pois, que o vazamento de dados, de per si, não acarretou consequências gravosas à imagem, personalidade ou dignidade da parte autora, vez que, ao menos com base nos elementos probatórios dos autos, o prejuízo foi apenas potencial.

Cumpre asseverar que o artigo 186 do Código Civil dispõe que “Aquele que,por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano a outrem,ainda que exclusivamente moral, comete ato ilícito." Verifica-se, portanto, que não basta a ação negligente da ré para ensejar indenização, mas também o efetivo dano, que deve ser comprovado, não havendo que se falar em presunção. A mesma diretriz, aliás, foi observada no artigo 42 da LGPD, ao enfatizar que o controlador ou operador que, em razão do exercício de tratamento de dados pessoais, causar dano patrimonial ou moral, é obrigado a repará-lo.

No caso, os dados que foram indevidamente acessados por terceiros foram o nome, número de inscrição junto ao CPF, telefones fixo e celular, endereço eletrônico, carga instalada no imóvel e consumo estimado, tipo de instalação, leitura e endereço residencial. Analisando referidos dados, a maioria envolve qualificação do consumidor (nome, RG, CPF), que não é acobertado por mínimo sigilo e o conhecimento por terceiro em nada macularia qualquer direito da personalidade da parte autora. Os demais dados não são considerados sensíveis ou violadores de qualquer privacidade ou intimidade. Referidos dados são costumeiramente

1025226-41.2020.8.26.0405 - lauda 4

fornecidos por todos, seja em estabelecimento comercial (físico ou virtual), portarias de acesso a imóveis, aplicativos e sites de compras, muitas vezes até com autorização para sua cessão posterior a terceiros. Informações sobre o consumo de eletricidade da unidade consumidora ou o número de instalação pode até ser acessado em residências em que o relógio medidor se situa na área externa e, também quanto a estes dados, de pouca relevância se mostra para terceiros que o acessarem, não ofendendo, nem de longe, direito da personalidade. Portanto, a violação de tais dados, por si só, não incorre em ofensa a direito da personalidade capaz de ensejar reparação moral.

Noutro vértice, o receio da parte autora de utilização dos seus dados para fins ilícitos, como fraudes perante o comércio, não justifica o pedido de dano moral, sendo, pois, inviável se cogitar dano moral sem que tenha de fato ocorrido a aventada fraude com o uso dos dados vazados. Não há como se indenizar uma expectativa de dano, e entendimento contrário geraria para a parte autora evidente enriquecimento ilícito. Note-se que suposto receio de uso futuro e incerto dos seus dados em eventuais fraudes perante o comércio, além de fantasiosa, colocaria em risco e responsabilidade o fornecedor ou receptor de tais dados, sem a devida conferência.

De fato, a indenização não pode ser fundada em suposições, medos ou aflições. A requerente alega que passou a receber e-mail e telefonemas, com propagandas, sendo obrigada a conferir os e-mails recebidos. Ora, estas ocorrências já são suportados por todos os cidadãos neste país. Inexiste pessoa que não tenha recebido ligação de telemarketing com oferecimento de produtos e serviços que não foram desejados. Inexiste cidadão que não receba spam ou mensagens indesejadas em seu e-mail. Todo e qualquer cidadão tem o dever de conferir os dados do boleto, seja físico seja recebido eletronicamente, independente de qualquer vazamento de dados.

A legislação moderna consagrou o direito à indenização por dano moral desde que comprovada a existência de dano à honra, à imagem ou à moral do cidadão, expondo-o a uma situação constrangedora ou vexatória, com repercussão negativa na esfera social. No entanto, no presente caso, percebe-se que a situação vivenciada não se enquadra em nenhum desses requisitos, caracterizando-se mero aborrecimento do diaadia, não havendo que se falar em indenização por danos morais. Nesse sentido:

“RECURSO INOMINADO. AÇÃO DE INDENIZAÇÃO POR

1025226-41.2020.8.26.0405 - lauda 5

DANOS MATERIAIS E MORAIS. FRAUDE PERPETRADA. VAZAMENTO DE INFORMAÇÕES CADASTRAIS E NEGOCIAIS DO AUTOR. DANOS MORAIS NÃO CONFIGURADOS. AUSÊNCIA DE PREVISÃO LEGAL PARA IMPOR DANOS MORAIS COM CARÁTER MERAMENTE PUNITIVO. SENTENÇA MANTIDA PELOS PRÓPRIOS FUNDAMENTOS. RECURSO IMPROVIDO. 1. Narra o autor que em razão do vazamento de seus dados sigilosos, foi levado a cair em uma fraude. 2. Sentença que julgou parcialmente procedente a ação, a fim de condenar o réu ao pagamento da quantia de R$ 814,02 a título de indenização por danos materiais. 3. Analisando o conjunto probatório, verifica-se que o autor não demonstrou de forma cabal o abalo moral sofrido, a fim de comprovar fato constitutivo de seu direito, ônus que lhe incumbia, nos termos do art. 373, I, do CPC. 4. Com efeito, o autor tinha um acordo com a ré, recuperadora de créditos, sendo que foi contatado por fraudadores, que dispunham dos dados do acordo e, mediante fraude, fizeram-no pagar uma parcela indevida. 5. O presente recurso cinge-se a postular danos morais por conta do manejo de dados fraudulentos. 6. In casu, não se trata de situação excepcional capaz de determinar a incidência de danos morais, porque tal se daria apenas em caráter punitivo. 7. Desta forma, entende-se que não restaram caracterizados os danos morais, já que a parte autora não comprovou que tivesse tido abalo em algum dos atributos da sua personalidade, em função da situação vivenciada, tratando-se de mero aborrecimento, o que não é capaz de gerar dano moral indenizável, salvo em situações excepcionais. 8. Os fatos revelaram que houve transtornos inerentes à vida em sociedade, caracterizados, como tais, como dissabores da vida moderna.

9. Como dito, não há possibilidade de condenação em danos morais com pura finalidade punitiva, isso porque os danos morais têm cunho compensatório, não havendo lei que ampare punição patrimonial por danos morais. 10. Destarte, a sentença atacada merece ser confirmada por seus próprios fundamentos, nos termos do art. 46, da Lei nº 9.099/95. RECURSO IMPROVIDO.” (TJ-RS, Recurso Inominado n. 0047026-37.2019.8.21.9000, Relator Desembargador Fábio Vieira Heerdt, 3ª Turma Recursal Cível, j. 26/09/2019).

1025226-41.2020.8.26.0405 - lauda 6

"VOTO Nº 31609 BANCÁRIO. Fraude. "Golpe do motoboy". Danos morais. Inocorrência. Ausência de provas de violação a direito de personalidade. Suposto vazamentos de dados que, por si só, não é causa eficiente de danos morais. Sentença mantida. Recurso não provido". (TJSP; Apelação

Cível 1033826-30.2019.8.26.0100; Relator (a): Tasso Duarte de Melo; Órgão

Julgador: 12ª Câmara de Direito Privado; Foro Central Cível - 37ª Vara Cível;

Data do Julgamento: 11/06/2020; Data de Registro: 11/06/2020).

No que tange aos pleitos cominatórios, tem-se que a" autoridade nacional "prevista na LGPD não se trata do Poder Judiciário, e sim da Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública federal responsável por zelar pela proteção de dados pessoais e por implementar e fiscalizar o cumprimento da LGPD no Brasil. Por esta razão, rejeito a pretendida expedição de ofícios aos órgãos mencionados na exordial, bem como deixo de condenar a requerida a realizar ampla divulgação da violação de dados em meios de comunicação, visto que não cabe ao Poder Judiciário tal deliberação, devendo a parte autora dirigir-se, em âmbito administrativo, à ANPD.

Em relação ao pedido de condenação da requerida a apresentar a informação das entidades públicas e privadas com as quais realizou uso compartilhado de dados, conforme o artigo 18º, inciso VII, da LGPD, destaco que, em realidade, ocorreu invasão do sistema da ré com obtenção de dados. Pelo mesmo motivo, resta rejeitado o pedido de fornecimento de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, assim como a cópia exata de todos os dados referentes ao titular constantes em seu banco de dados, conforme artigo 19, inciso II da LGPD (que, da mesma forma, elenca a requisição do titular como condição para atendimento do pedido).

Quanto ao pedido de condenação da ré a recolher os dados de todos locais onde foram compartilhados sem autorização, fica o mesmo rejeitado em face de seu caráter genérico, ante o desconhecimento de tal compartilhamento.

De se salientar, ademais, que a requerida logrou êxito em demonstrar que vem tomando todas as providências necessárias para amenizar os possíveis danos causados com o vazamento desses dados. Vale salientar, aliás, a boa fé da ré, que entrou em contato com todos seus

1025226-41.2020.8.26.0405 - lauda 7

consumidores que tiveram os dados vazados, prestando informações a respeito.

Daí porque de rigor se mostra a total improcedência da pretensão autoral.

Por fim, considero suficientemente apreciada a questão posta a julgamento, até porque o julgador não está obrigado a atacar um por um os argumentos das partes, mas somente expor os seus, de modo a justificar a decisão tomada, atendendo, assim, ao requisito insculpido no artigo 93, IX, da Constituição Federal, e na ordem legal vigente.

Ainda, em atenção ao disposto no art. 489, § 1º, inciso IV, do Código de Processo Civil, registre-se que os demais argumentos apontados pelas partes não são capazes de infirmar a conclusão acima.

Ante o exposto, JULGO IMPROCEDENTES os pedidos, extinguindo a ação, com fulcro no art. 487, I, do CPC.

Pela sucumbência, responderá a parte autora pelas custas, despesas processuais e honorários advocatícios, os quais arbitro em 20% do valor atribuído à causa, nos termos do art. 85, § 2º, do CPC, observando-se, no caso, a gratuidade de que é beneficiária.

Dispensado o registro da sentença, nos termos do art. 72, § 6º, das Normas de Serviço da Egrégia Corregedoria Geral da Justiça do Estado de São Paulo.

Com o trânsito em julgado, cumpridas as formalidades do art. 1.098 das NSCGJ, arquivem-se definitivamente os autos.

Publique-se.

Osasco, 16 de abril de 2021

DOCUMENTO ASSINADO DIGITALMENTE NOS TERMOS DA LEI 11.419/2006, CONFORME

Disponível em: https://tj-sp.jusbrasil.com.br/jurisprudencia/1211018845/procedimento-comum-civel-10252264120208260405-sp/inteiro-teor-1211018849