O vazamento de dados pessoais é um risco constante na realidade atual. Desde de grandes plataformas digitais, como Yahoo1 e Facebook2, a empresas de indústrias que antecedem a Internet, como bancos3 e varejo4, e até mesmo agências governamentais5 já tiveram de lidar com as consequências do vazamento de dados pessoais de seus usuários. Para memória, em janeiro deste ano foi noticiado o vazamento de dados pessoais de mais de 200 milhões de brasileiros, incluindo CPFs, nomes, endereços, fotos de rosto, imposto de renda, entre outras informações6.
As consequências do vazamento de dados pessoais ao usuário podem variar desde um simples uso de cartão de crédito, a fraudes mais sofisticadas utilizando uma combinação de informações para se passar pelo usuário frente bancos, sites de comércio, agências governamentais (para o recebimento de benefícios como a aposentadoria, FGTS ou programas de transferência de renda), ou até mesmo o envio de cobranças falsas de serviços de telefonia e energia, por exemplo.
A Lei Geral de Proteção de Dados Pessoais (Lei n. 13.709/2018) estipula, em seu art. 42, a responsabilidade civil do controlador e do operador de dados pessoais pelos danos materiais e morais causados decorrentes do seu tratamento irregular. Isso significa, em termos simples, que o cidadão que tiver seus dados pessoais vazados por culpa (negligência, imprudência ou imperícia) da plataforma controladora de seus dados tem o direito de buscar indenização judicialmente.
O principal ponto controvertido nessas ações judiciais é a demonstração tanto da existência do dano, quanto da sua quantificação. Além disso, para fins de responsabilização civil, não basta a demonstração do ato ilícito (vazamento de dados), e do dano, mas também o nexo de causalidade entre os dois — ou seja, que o dano decorreu do vazamento. Apresentamos um exemplo para ilustrar essa dificuldade.
Considere uma situação em que houve o vazamento de informações a respeito do cartão de crédito utilizado em determinada plataforma de comércio eletrônico, e, após algum tempo, um usuário dessa plataforma notou cobranças indevidas na sua fatura do cartão. Sem a inversão do ônus da prova, o usuário precisaria demonstrar o nexo de causalidade entre o vazamento de dados pessoais e o uso de seu cartão por outros. Isso significaria demonstrar, entre outros, que os dados do cartão estavam entre os dados vazados; que esses dados foram comercializados ilegalmente; e que quem veio a utilizar o cartão obteve acesso a suas informações por consequência do vazamento.
Considere ainda que os dados pessoais podem ficar disponíveis para comercialização ilegal por tempo indeterminado. Ou seja, mesmo havendo um vazamento de dados hoje, a compra e utilização desses dados pode ocorrer apenas anos depois, o que impossibilita completamente a comprovação, pelo usuário, do nexo de causalidade entre o fato e o dano.
E isso concebendo um exemplo simples de vazamento de dados de cartão de crédito e o seu posterior uso indevido. A situação pode ser ainda mais complicada se considerarmos o vazamento de outros dados pessoais como nome de usuário, endereço de e-mail, senhas, endereço de IP, localização geográfica, fotos, score de crédito, número de telefone, relação de trabalho, entre outros. A combinação de apenas algumas dessas informações possibilita ataques de engenharia social muito mais sofisticados, danosos, e de difícil comprovação do nexo de causalidade pelo usuário ferido.
Nesse cenário, a única solução justa é considerar presumido o dano causado (chamado de dano in re ipsa), assim que houver a comprovação do vazamento de dados, e a consequente inversão do ônus da prova ao controlador/operador dos dados pessoais que sofreu o vazamento, como permite o art, 42, § 2º da LGPD.
Infelizmente, e talvez por total desconhecimento do valor e utilidade dos dados pessoais intrinsecamente ligados ao direito de personalidade, essa não é a solução dada por alguns tribunais, que entendem que o vazamento de dados significaria apenas uma expectativa de dano não indenizável7.
Porém, a LGPD ainda é nova e a conscientização a respeito da importância dos dados pessoais ainda é trabalho em curso. Aqui fica a esperança de que, com a evolução do tema, a jurisprudência se consolide no sentido de valorizar os direitos dos usuários que tiveram seus dados vazados, em detrimento do interesse econômico das plataformas que, por negligência, imprudência ou imperícia, possibilitaram tal vazamento.
[1] Confira: https://www.nytimes.com/2017/10/03/technology/yahoo-hack-3-billion-users.html
[2] Confira: https://www.cbsnews.com/news/millions-facebook-user-records-exposed-amazon-cloud-server/
[3] Confira: https://www.infosecurity-magazine.com/news/jpmorgan-chase-notifies-customers/
[4] Confira: https://krebsonsecurity.com/2014/09/banks-credit-card-breach-at-home-depot/
[7] Como exemplo ilustrativo, confira-se decisões nos processos 1025226-41.2020.8.26.0405, 1080233-94.2019.8.26.0100, 1033826- 30.2019.8.26.0100 e 0047026- 37.2019.8.21.9000.