Os precedentes do STJ nos primeiros quatro anos de vigência da Lei Geral de Proteção de Dados Pessoais
Publicada em agosto de 2018, a Lei 13.709, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), entrou em vigor dois anos depois, em agosto de 2020. Desde então, a legislação provocou uma pequena revolução na conduta de instituições públicas e privadas em relação aos procedimentos de coleta, armazenamento, tratamento e compartilhamento de dados, sobretudo ao reforçar o direito de o cidadão saber como, quando e por que os seus dados são captados e o de dar ou não seu consentimento para isso.
A amplitude das mudanças introduzidas pela LGPD não tem escapado ao Judiciário, o qual tem sido provocado a resolver questões como a responsabilidade por dados vazados e as hipóteses de indenização.
Esta matéria especial apresenta os precedentes já estabelecidos pelo STJ ao longo dos quatro anos de vigência da LGPD.
Decreto sobre bens de agentes públicos não extrapola poder regulamentar
Em 2022, a Primeira Turma, ao julgar o RMS 55.819, decidiu que não extrapola o poder regulamentar da administração pública, nem os princípios que a regem, o decreto estadual que dispõe sobre o dever de agentes públicos disponibilizarem informações sobre seus bens e sua evolução patrimonial.
Na origem, o Sindicato dos Auditores Fiscais da Receita Estadual, Fiscais e Agentes Fiscais de Tributos do Estado de Minas Gerais (Sindifisco-MG) impetrou mandado de segurança coletivo contra o Estado de Minas Gerais, questionando a legalidade do Decreto 46.933/2016, que exige dos servidores do Poder Executivo estadual a entrega anual da declaração de bens e valores que compõem seu patrimônio privado.
A entidade sindical argumentou que essa exigência resultava na quebra imediata do sigilo de dados e informações pessoais, violando, entre outros, o direito fundamental à privacidade e à intimidade garantido pelo artigo 5º, inciso X, da Constituição Federal, além de ferir o inciso LXXIX do mesmo artigo, recentemente incorporado. Após o Tribunal de Justiça de Minas Gerais (TJMG) denegar a segurança, os impetrantes recorreram ao STJ.
O relator do recurso, ministro Gurgel de Faria, destacou que a inclusão do inciso LXXIX no artigo 5º da Constituição, para assegurar "o direito à proteção dos dados pessoais, inclusive nos meios digitais", não conflita com a decisão recorrida, uma vez que, mesmo sendo um direito fundamental, essa garantia não é absoluta e deve ser compatibilizada com os princípios previstos no artigo 37 da Constituição.
Análise automática de perfis de prestadores de serviço está sujeita à LGPD
Em 2024, no julgamento do REsp 2.135.783, a Terceira Turma entendeu que as informações analisadas no processo de descredenciamento de prestadores de serviços, como os motoristas de aplicativos, constituem dados pessoais e, portanto, estão sujeitas à aplicação da LGPD.
No caso em questão, um motorista foi excluído da plataforma 99 por alegado descumprimento do código de conduta da empresa, ao encerrar corridas em locais diferentes dos solicitados, sem justificativa. Após ter seus pedidos negados em primeira e segunda instâncias, o motorista recorreu ao STJ, argumentando que a rescisão foi abrupta, sem notificação prévia, violando seu direito ao contraditório e à ampla defesa.
Ao analisar o recurso, a relatora, ministra Nancy Andrighi, apontou que era preciso considerar que as análises de perfil feitas pelas plataformas digitais "decorrem de decisões automatizadas, uma vez que a inteligência artificial vem ganhando espaço no processamento de dados em geral, inclusive os pessoais".
Ela destacou que a LGPD, em seu artigo 5º, inciso I, define dado pessoal como qualquer informação vinculada a uma pessoa natural identificada. Além disso, a mesma lei, em seu artigo 12, parágrafo 2º, amplia esse conceito para incluir dados usados na formação de perfis comportamentais, o que pode envolver, por exemplo, reclamações de passageiros. Dessa forma, a ministra concluiu que os dados analisados no descredenciamento de motoristas de aplicativos são dados pessoais, atraindo a proteção da LGPD.
Nancy Andrighi ressaltou que, como titular dos dados, o motorista tem o direito de pedir a revisão de decisões automatizadas que afetam seu perfil profissional. Ela lembrou que o artigo 6º, VI, da LGPD estabelece a transparência como um princípio fundamental, garantindo que o titular dos dados tenha acesso a informações claras sobre o seu tratamento.
"Conjugando a determinação do artigo 20 da LGPD com a eficácia dos direitos fundamentais nas relações privadas, entende-se que o titular de dados pessoais deve ser informado sobre a razão da suspensão de seu perfil, bem como pode requerer a revisão dessa decisão, garantido o seu direito de defesa", declarou.
A relatora ponderou que, em certas situações, a plataforma de transporte individual pode ser responsabilizada por danos sofridos por seus usuários, e, portanto, cabe a ela avaliar os riscos de manter um motorista ativo. Para a ministra, se o comportamento do motorista for grave – como em casos de assédio, racismo, crimes contra o patrimônio ou agressões –, a suspensão imediata do perfil será justificável, com direito à defesa para possível recredenciamento; e, caso a violação dos termos de conduta seja confirmada, o descredenciamento não será abusivo, mas o motorista ainda poderá buscar a revisão judicial.
Titular de dados vazados precisa comprovar dano efetivo ao pedir indenização
Embora o vazamento de dados seja uma falha indesejável no tratamento de informações pessoais, ele não gera, por si só, o direito à indenização por danos morais. Para que haja compensação, o titular dos dados deve comprovar o efetivo prejuízo causado pela exposição dessas informações.
Esse entendimento foi estabelecido pela Segunda Turma ao julgar o AREsp 2.130.619, da Eletropaulo, e reformar decisão do Tribunal de Justiça de São Paulo (TJSP). A corte estadual havia determinado que a concessionária pagasse R$ 5 mil em danos morais devido ao vazamento de dados pessoais de uma cliente, como nome, data de nascimento, endereço e número de documento de identificação. A consumidora alegou que suas informações foram acessadas por terceiros e posteriormente compartilhadas mediante pagamento, o que criava um risco potencial de fraude e incômodos.
O ministro Francisco Falcão, relator do recurso, destacou que o artigo 5º, inciso II, da LGPD apresenta uma lista específica de dados pessoais considerados sensíveis, que, conforme o artigo 11 da mesma lei, requerem um tratamento diferenciado. O ministro realçou que entre esses dados estão informações sobre origem racial ou étnica, convicções religiosas, opiniões políticas, associação a sindicatos ou organizações religiosas, além daquelas relacionadas à saúde sexual e outras de caráter íntimo.
Para o magistrado, os dados objeto do processo são aqueles fornecidos em qualquer cadastro, "inclusive nos sites consultados no dia a dia, não sendo, portanto, acobertados por sigilo, e o conhecimento por terceiro em nada violaria o direito de personalidade da recorrida".
Provedores devem fornecer dados de quem postou vídeo ofensivo a pessoa falecida
No julgamento do REsp 1.914.596, a Quarta Turma fixou o entendimento de que os provedores de conexão à internet devem fornecer os dados cadastrais (nome, endereço, RG e CPF) dos usuários responsáveis por publicação de vídeos no YouTube com ofensas à memória de pessoa falecida.
No caso, usuários publicaram vídeos no YouTube com ofensas à memória da vereadora Marielle Franco (PSOL-RJ), assassinada em 2018 juntamente com seu motorista, Anderson Gomes. Diante disso, a irmã e a companheira de Marielle entraram com uma ação contra o Google, administradora do YouTube, solicitando a remoção dos vídeos ofensivos. O pedido foi acolhido em primeira instância e confirmado pelo Tribunal de Justiça do Rio de Janeiro (TJRJ).
Apesar disso, a corte estadual rejeitou o pedido das autoras para que, mediante a quebra do sigilo de dados, fossem enviados ofícios aos provedores de acesso com a determinação de que fornecessem a identificação dos responsáveis pelos vídeos. O TJRJ considerou que seria impossível impor essa obrigação aos provedores, os quais não eram parte do processo.
Bolsa deve excluir dados inseridos sem autorização no perfil de investidor
Em outro julgamento relevante (REsp 2.092.096), a Terceira Turma entendeu que a bolsa de valores B3, na condição de agente de tratamento de dados, tem a obrigação de excluir os dados cadastrais inseridos indevidamente por terceiros que obtiveram acesso não autorizado ao perfil do investidor em sua plataforma virtual. A decisão seguiu o entendimento da relatora, ministra Nancy Andrighi, que baseou sua análise na LGPD e no Marco Civil da Internet.
Conforme o processo, terceiros acessaram a plataforma de consulta de investimentos da B3 por meio de conta falsa aberta em uma corretora. Além de visualizar os investimentos do investidor, os fraudadores alteraram seus dados cadastrais, como telefone e email, no perfil da B3.
A pedido da vítima, a Justiça determinou que a bolsa excluísse as informações inseridas indevidamente. No entanto, a B3 recorreu ao STJ, argumentando que a fraude aconteceu em um ambiente externo, vinculado à corretora.
A relatora considerou que, ao manter um sistema que armazena e utiliza dados dos investidores, tais como nome, CPF, email e telefone, a B3 realiza operação de tratamento de dados pessoais, razão pela qual se submete às normas da LGPD. Assim, de acordo com a ministra, a B3 deve observar os princípios da lei, entre eles os da adequação e da segurança, e adotar medidas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de alteração, destruição, perda, comunicação ou outras formas de tratamento inadequado.
Nancy Andrighi também explicou que a LGPD confere ao titular dos dados o direito de solicitar a correção ou a exclusão de informações incorretas, inexatas ou desatualizadas, bem como o bloqueio e a eliminação de dados excessivos ou tratados em desconformidade com a lei.
"Havendo requisição por parte do titular, o agente de tratamento de dados tem a obrigação de excluir os dados cadastrais inseridos indevidamente por terceiros que obtiveram acesso não autorizado à conta do titular em sua plataforma", concluiu.
Instituição financeira responde por tratamento indevido de dados usados em golpe
No REsp 2.077.278, de relatoria da ministra Nancy Andrighi, a Terceira Turma definiu que a instituição financeira responde pelo defeito na prestação do serviço consistente no tratamento indevido de dados pessoais bancários, quando tais informações são utilizadas por estelionatário para aplicar golpe contra o consumidor.
No caso, uma mulher entrou em contato com seu banco por email solicitando orientações sobre como quitar o financiamento de um veículo. Dias depois, recebeu por WhatsApp a mensagem de uma pessoa que se apresentou como funcionária do banco e propôs a liquidação, informando o número do contrato e outros dados. Acreditando se tratar de um procedimento legítimo, a cliente pagou um boleto de R$ 19 mil. Após o pagamento, sem obter resposta, ligou para o número oficial da instituição e descobriu que havia sido vítima de um golpe.
O juízo de primeiro grau declarou válido o pagamento e considerou o contrato de financiamento quitado. No entanto, o TJSP reformou essa decisão, por entender que o golpe foi facilitado pela comunicação informal e que as informações do boleto falso não correspondiam ao contrato original. O tribunal considerou que a cliente não tomou as precauções necessárias ao utilizar um canal não oficial para tratar da quitação, e afastou a responsabilidade do banco, atribuindo a culpa ao estelionatário e à própria vítima.
A relatora no STJ observou que os dados sobre operações bancárias são, em regra, de tratamento exclusivo pelas instituições financeiras, tendo a Lei Complementar 105/2001 estabelecido que tais instituições conservarão sigilo em suas operações ativas e passivas e nos serviços prestados (artigo 1º), constituindo dever jurídico dessas entidades não revelar informações que venham a obter em razão de sua atividade profissional, salvo em situações excepcionais.
Desse modo, segundo a ministra, o armazenamento de dados feito de maneira inadequada, possibilitando que terceiros tenham conhecimento de informações sigilosas e causem prejuízos ao consumidor, configura defeito na prestação do serviço (artigo 14 do Código de Defesa do Consumidor e artigo 44 da LGPD).