Os precedentes do STJ nos primeiros quatro anos de vigência da Lei Geral de Proteção de Dados Pessoais

A partir da publicação da Lei 13.709, em agosto de 2018, muita coisa mudou na maneira como os dados são coletados, armazenados, tratados e compartilhados nas instituições públicas e privadas.

Publicada em agosto de 2018, a Lei 13.709, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), entrou em vigor dois anos depois, em agosto de 2020. Desde então, a legislação provocou uma pequena revolução na conduta de instituições públicas e privadas em relação aos procedimentos de coleta, armazenamento, tratamento e compartilhamento de dados, sobretudo ao reforçar o direito de o cidadão saber como, quando e por que os seus dados são captados e o de dar ou não seu consentimento para isso.

A amplitude das mudanças introduzidas pela LGPD não tem escapado ao Judiciário, o qual tem sido provocado a resolver questões como a responsabilidade por dados vazados e as hipóteses de indenização.

Esta matéria especial apresenta os precedentes já estabelecidos pelo STJ ao longo dos quatro anos de vigência da LGPD.

Decreto sobre bens de agentes públicos não extrapola poder regulamentar

Em 2022, a Primeira Turma, ao julgar o RMS 55.819, decidiu que não extrapola o poder regulamentar da administração pública, nem os princípios que a regem, o decreto estadual que dispõe sobre o dever de agentes públicos disponibilizarem informações sobre seus bens e sua evolução patrimonial.

Na origem, o Sindicato dos Auditores Fiscais da Receita Estadual, Fiscais e Agentes Fiscais de Tributos do Estado de Minas Gerais (Sindifisco-MG) impetrou mandado de segurança coletivo contra o Estado de Minas Gerais, questionando a legalidade do Decreto 46.933/2016, que exige dos servidores do Poder Executivo estadual a entrega anual da declaração de bens e valores que compõem seu patrimônio privado.

Leia também:  Primeira mulher a presidir o STJ, ministra Laurita Vaz deixa a corte após 22 anos

A entidade sindical argumentou que essa exigência resultava na quebra imediata do sigilo de dados e informações pessoais, violando, entre outros, o direito fundamental à privacidade e à intimidade garantido pelo artigo 5º, inciso X, da Constituição Federal, além de ferir o inciso LXXIX do mesmo artigo, recentemente incorporado. Após o Tribunal de Justiça de Minas Gerais (TJMG) denegar a segurança, os impetrantes recorreram ao STJ.

O relator do recurso, ministro Gurgel de Faria, destacou que a inclusão do inciso LXXIX no artigo 5º da Constituição, para assegurar “o direito à proteção dos dados pessoais, inclusive nos meios digitais”, não conflita com a decisão recorrida, uma vez que, mesmo sendo um direito fundamental, essa garantia não é absoluta e deve ser compatibilizada com os princípios previstos no artigo 37 da Constituição.

O ministro ressaltou que, conforme decidido pelo Supremo Tribunal Federal (STF) na SS 3.902, os agentes públicos estão sujeitos a uma redução na sua esfera de privacidade e intimidade, não sendo legítima a pretensão de não revelar fatos relacionados à evolução patrimonial. Além disso, o relator comentou que, conforme o inciso LXXIX do artigo 5º da Constituição, a proteção aos dados pessoais é garantida “nos termos da lei”, e a legislação não impede, mas, ao contrário, impõe aos servidores o dever de disponibilizar informações sobre bens e evolução patrimonial, como previsto no artigo 13 da Lei de Improbidade Administrativa.

Imagem de capa do card  Imagem de capa do card

A entrega dos dados à administração não implica dizer que eles deverão ser expostos ao público em geral, cabendo àquela, já com as informações em mãos, adotar as cautelas necessárias para dar concretude ao artigo 5º, inciso LXXIX, da Constituição, e à LGPD, ou seja, tais normas não proíbem a coleta dos dados, mas asseguram que os entes político-administrativos deverão respeitar o tratamento nelas conferido.

RMS 55.819

Ministro Gurgel de Faria

Análise automática de perfis de prestadores de serviço está sujeita à LGPD

Em 2024, no julgamento do REsp 2.135.783, a Terceira Turma entendeu que as informações analisadas no processo de descredenciamento de prestadores de serviços, como os motoristas de aplicativos, constituem dados pessoais e, portanto, estão sujeitas à aplicação da LGPD.

No caso em questão, um motorista foi excluído da plataforma 99 por alegado descumprimento do código de conduta da empresa, ao encerrar corridas em locais diferentes dos solicitados, sem justificativa. Após ter seus pedidos negados em primeira e segunda instâncias, o motorista recorreu ao STJ, argumentando que a rescisão foi abrupta, sem notificação prévia, violando seu direito ao contraditório e à ampla defesa.

Ao analisar o recurso, a relatora, ministra Nancy Andrighi, apontou que era preciso considerar que as análises de perfil feitas pelas plataformas digitais “decorrem de decisões automatizadas, uma vez que a inteligência artificial vem ganhando espaço no processamento de dados em geral, inclusive os pessoais”.

Ela destacou que a LGPD, em seu artigo 5º, inciso I, define dado pessoal como qualquer informação vinculada a uma pessoa natural identificada. Além disso, a mesma lei, em seu artigo 12, parágrafo 2º, amplia esse conceito para incluir dados usados na formação de perfis comportamentais, o que pode envolver, por exemplo, reclamações de passageiros. Dessa forma, a ministra concluiu que os dados analisados no descredenciamento de motoristas de aplicativos são dados pessoais, atraindo a proteção da LGPD.

Nancy Andrighi ressaltou que, como titular dos dados, o motorista tem o direito de pedir a revisão de decisões automatizadas que afetam seu perfil profissional. Ela lembrou que o artigo 6º, VI, da LGPD estabelece a transparência como um princípio fundamental, garantindo que o titular dos dados tenha acesso a informações claras sobre o seu tratamento.

“Conjugando a determinação do artigo 20 da LGPD com a eficácia dos direitos fundamentais nas relações privadas, entende-se que o titular de dados pessoais deve ser informado sobre a razão da suspensão de seu perfil, bem como pode requerer a revisão dessa decisão, garantido o seu direito de defesa”, declarou.

A relatora ponderou que, em certas situações, a plataforma de transporte individual pode ser responsabilizada por danos sofridos por seus usuários, e, portanto, cabe a ela avaliar os riscos de manter um motorista ativo. Para a ministra, se o comportamento do motorista for grave – como em casos de assédio, racismo, crimes contra o patrimônio ou agressões –, a suspensão imediata do perfil será justificável, com direito à defesa para possível recredenciamento; e, caso a violação dos termos de conduta seja confirmada, o descredenciamento não será abusivo, mas o motorista ainda poderá buscar a revisão judicial.

Titular de dados vazados precisa comprovar dano efetivo ao pedir indenização

Embora o vazamento de dados seja uma falha indesejável no tratamento de informações pessoais, ele não gera, por si só, o direito à indenização por danos morais. Para que haja compensação, o titular dos dados deve comprovar o efetivo prejuízo causado pela exposição dessas informações.

Esse entendimento foi estabelecido pela Segunda Turma ao julgar o AREsp 2.130.619, da Eletropaulo, e reformar decisão do Tribunal de Justiça de São Paulo (TJSP). A corte estadual havia determinado que a concessionária pagasse R$ 5 mil em danos morais devido ao vazamento de dados pessoais de uma cliente, como nome, data de nascimento, endereço e número de documento de identificação. A consumidora alegou que suas informações foram acessadas por terceiros e posteriormente compartilhadas mediante pagamento, o que criava um risco potencial de fraude e incômodos.

O ministro Francisco Falcão, relator do recurso, destacou que o artigo 5º, inciso II, da LGPD apresenta uma lista específica de dados pessoais considerados sensíveis, que, conforme o artigo 11 da mesma lei, requerem um tratamento diferenciado. O ministro realçou que entre esses dados estão informações sobre origem racial ou étnica, convicções religiosas, opiniões políticas, associação a sindicatos ou organizações religiosas, além daquelas relacionadas à saúde sexual e outras de caráter íntimo.

Para o magistrado, os dados objeto do processo são aqueles fornecidos em qualquer cadastro, “inclusive nos sites consultados no dia a dia, não sendo, portanto, acobertados por sigilo, e o conhecimento por terceiro em nada violaria o direito de personalidade da recorrida”.

Provedores devem fornecer dados de quem postou vídeo ofensivo a pessoa falecida

No julgamento do REsp 1.914.596, a Quarta Turma fixou o entendimento de que os provedores de conexão à internet devem fornecer os dados cadastrais (nome, endereço, RG e CPF) dos usuários responsáveis por publicação de vídeos no YouTube com ofensas à memória de pessoa falecida.

No caso, usuários publicaram vídeos no YouTube com ofensas à memória da vereadora Marielle Franco (PSOL-RJ), assassinada em 2018 juntamente com seu motorista, Anderson Gomes. Diante disso, a irmã e a companheira de Marielle entraram com uma ação contra o Google, administradora do YouTube, solicitando a remoção dos vídeos ofensivos. O pedido foi acolhido em primeira instância e confirmado pelo Tribunal de Justiça do Rio de Janeiro (TJRJ).

Apesar disso, a corte estadual rejeitou o pedido das autoras para que, mediante a quebra do sigilo de dados, fossem enviados ofícios aos provedores de acesso com a determinação de que fornecessem a identificação dos responsáveis pelos vídeos. O TJRJ considerou que seria impossível impor essa obrigação aos provedores, os quais não eram parte do processo.

O ministro Luis Felipe Salomão, relator, observou que as autoras da ação buscavam a remoção de conteúdos ofensivos para preservar a honra da falecida e identificar os responsáveis, com base no artigo 22 do Marco Civil da Internet (Lei 12.965/2014). De acordo com Salomão, o STJ já tinha entendimento pacífico sobre a necessidade de intervenção judicial para obter dados protegidos, a fim de instruir processos cíveis e criminais. Ele afirmou que, no caso específico, a privacidade dos usuários que publicaram os vídeos não prevalecia diante dos indícios de conduta ilegal.

Imagem de capa do card  Imagem de capa do card

A LGPD não exclui a possibilidade da quebra de sigilo. Ao contrário, apresenta regras sobre tal ocorrência, que, no caso, revela-se possível, considerando as espécies de dados, a finalidade da quebra e o contexto em que apresentados.

REsp 1.914.596

Ministro Luis Felipe Salomão

Bolsa deve excluir dados inseridos sem autorização no perfil de investidor

Em outro julgamento relevante (REsp 2.092.096), a Terceira Turma entendeu que a bolsa de valores B3, na condição de agente de tratamento de dados, tem a obrigação de excluir os dados cadastrais inseridos indevidamente por terceiros que obtiveram acesso não autorizado ao perfil do investidor em sua plataforma virtual. A decisão seguiu o entendimento da relatora, ministra Nancy Andrighi, que baseou sua análise na LGPD e no Marco Civil da Internet.

Conforme o processo, terceiros acessaram a plataforma de consulta de investimentos da B3 por meio de conta falsa aberta em uma corretora. Além de visualizar os investimentos do investidor, os fraudadores alteraram seus dados cadastrais, como telefone e email, no perfil da B3.

A pedido da vítima, a Justiça determinou que a bolsa excluísse as informações inseridas indevidamente. No entanto, a B3 recorreu ao STJ, argumentando que a fraude aconteceu em um ambiente externo, vinculado à corretora.

A relatora considerou que, ao manter um sistema que armazena e utiliza dados dos investidores, tais como nome, CPF, email e telefone, a B3 realiza operação de tratamento de dados pessoais, razão pela qual se submete às normas da LGPD. Assim, de acordo com a ministra, a B3 deve observar os princípios da lei, entre eles os da adequação e da segurança, e adotar medidas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de alteração, destruição, perda, comunicação ou outras formas de tratamento inadequado.

Nancy Andrighi também explicou que a LGPD confere ao titular dos dados o direito de solicitar a correção ou a exclusão de informações incorretas, inexatas ou desatualizadas, bem como o bloqueio e a eliminação de dados excessivos ou tratados em desconformidade com a lei.

“Havendo requisição por parte do titular, o agente de tratamento de dados tem a obrigação de excluir os dados cadastrais inseridos indevidamente por terceiros que obtiveram acesso não autorizado à conta do titular em sua plataforma”, concluiu.

Instituição financeira responde por tratamento indevido de dados usados em golpe

No REsp 2.077.278, de relatoria da ministra Nancy Andrighi, a Terceira Turma definiu que a instituição financeira responde pelo defeito na prestação do serviço consistente no tratamento indevido de dados pessoais bancários, quando tais informações são utilizadas por estelionatário para aplicar golpe contra o consumidor.

No caso, uma mulher entrou em contato com seu banco por email solicitando orientações sobre como quitar o financiamento de um veículo. Dias depois, recebeu por WhatsApp a mensagem de uma pessoa que se apresentou como funcionária do banco e propôs a liquidação, informando o número do contrato e outros dados. Acreditando se tratar de um procedimento legítimo, a cliente pagou um boleto de R$ 19 mil. Após o pagamento, sem obter resposta, ligou para o número oficial da instituição e descobriu que havia sido vítima de um golpe.

O juízo de primeiro grau declarou válido o pagamento e considerou o contrato de financiamento quitado. No entanto, o TJSP reformou essa decisão, por entender que o golpe foi facilitado pela comunicação informal e que as informações do boleto falso não correspondiam ao contrato original. O tribunal considerou que a cliente não tomou as precauções necessárias ao utilizar um canal não oficial para tratar da quitação, e afastou a responsabilidade do banco, atribuindo a culpa ao estelionatário e à própria vítima.

A relatora no STJ observou que os dados sobre operações bancárias são, em regra, de tratamento exclusivo pelas instituições financeiras, tendo a Lei Complementar 105/2001 estabelecido que tais instituições conservarão sigilo em suas operações ativas e passivas e nos serviços prestados (artigo 1º), constituindo dever jurídico dessas entidades não revelar informações que venham a obter em razão de sua atividade profissional, salvo em situações excepcionais.

Desse modo, segundo a ministra, o armazenamento de dados feito de maneira inadequada, possibilitando que terceiros tenham conhecimento de informações sigilosas e causem prejuízos ao consumidor, configura defeito na prestação do serviço (artigo 14 do Código de Defesa do Consumidor e artigo 44 da LGPD).

“Não há como afastar a responsabilidade da instituição financeira pela reparação dos danos decorrentes do famigerado golpe do boleto, uma vez que os criminosos têm conhecimento de informações e dados sigilosos a respeito das atividades bancárias do consumidor. Isto é, os estelionatários sabem que o consumidor é cliente da instituição e que encaminhou email à entidade com a finalidade de quitar sua dívida, bem como possuem dados relativos ao próprio financiamento obtido (quantidade de parcelas em aberto e saldo devedor)”, disse.

Imagem de capa do card  Imagem de capa do card

O tratamento indevido de dados pessoais bancários configura defeito na prestação de serviço, notadamente quando tais informações são utilizadas por estelionatário para facilitar a aplicação de golpe em desfavor do consumidor.

REsp 2.077.278

Ministra Nancy Andrighi

Fonte: STJ