A 2ª Turma do Superior Tribunal de Justiça (STJ) decidiu, por unanimidade, que o titular de dados pessoais de natureza comum eventualmente vazados deve comprovar o efetivo prejuízo decorrente da exposição para fazer jus à indenização por danos morais. Em outras palavras: o STJ decidiu que o vazamento de dados comuns, por si só, não dá ensejo à indenização.

No caso, uma consumidora alegou que alguns de seus dados, como o seu nome, data de nascimento, números de CPF e RG, número de telefone celular e endereço foram vazados por uma determinada concessionária de serviços públicos, acessados e compartilhados por terceiros.

Em primeiro grau, a ação foi julgada improcedente. O Tribunal de Justiça de São Paulo (TJSP), contudo, reformou a sentença por entender que os dados expostos da consumidora eram sensíveis e que a concessionária não lhes garantiu a devida privacidade, caracterizando falha na prestação do serviço por parte da empresa.

No STJ, ao dar provimento ao recurso especial interposto pela concessionária e restabelecer a decisão de primeira instância, o relator do processo, ministro Francisco Falcão, entendeu que os dados vazados da consumidora, por serem de natureza comum, não dão ensejo à presunção de danos morais, devendo haver a comprovação do prejuízo para que haja indenização.

O ministro ponderou que, se, de outro modo, os dados vazados fossem sensíveis, estaria justificado o regime de tratamento e proteção mais rigorosos, de modo que, neste caso, o dano ocasionado ao titular de dados estaria presumido.

Os dados pessoais sensíveis, previstos no rol taxativo do artigo 5º, inciso II, da Lei Geral de Proteção de Dados (LGPD), são aqueles que dizem respeito à intimidade da pessoa natural. De acordo com o dispositivo, são dados pessoais sensíveis as informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.

Justamente por se tratar de informações mais delicadas sobre a intimidade da pessoa, o seu tratamento merece um grau de proteção mais elevado. Essa proteção diferenciada é conferida pelo artigo 11 da LGPD, que elenca em quais casos se admite o tratamento de dados dessa natureza. Por exemplo, a sua coleta e tratamento só podem ser feitos com o consentimento expresso de seu titular ou nos casos em que a lei permitir.

Os dados pessoais comuns, por sua vez, são aqueles que não possuem índole íntima. São aqueles que se prestam à identificação das pessoas, por exemplo, o nome, o telefone, o e-mail e a data de nascimento. Diferentemente dos dados sensíveis, a sua coleta, armazenamento e processamento independem do consentimento do titular.

De acordo com o STJ, são informações fornecidas corriqueiramente pelos cidadãos em cadastros do dia a dia; e, por não se enquadrarem como dados pessoais sensíveis, não estão acobertados por sigilo.

Por essa mesma razão, a exposição de dados comuns, ainda que indesejada, não tem o condão de violar direitos da personalidade de seu titular. Daí a exigência de se comprovar o dano suportado pelo titular dos dados vazados para que haja a sua devida reparação.