Em recente decisão[1], o Tribunal de Justiça do Estado de São Paulo, em consonância com o entendimento do Superior Tribunal de Justiça[2], afastou a responsabilidade da Prudential do Brasil Seguros de Vida em caso de incidente que teria ocasionado a exposição de dados pessoais de clientes, com fundamento na inexistência de prova de dano.
Nesse sentido, calçada no diálogo das fontes entre o Código Civil e a LGPD, entendeu a Corte Paulista pela ausência do dano como elemento indispensável à caracterização da responsabilidade civil (subjetiva) da empresa vítima de incidente cibernético.
Entretanto, a complexidade do tema permite levar a discussão a outro patamar, não se limitando ao debate acerca da natureza da responsabilidade civil (objetiva ou subjetiva), ou mesmo se nessas hipóteses de vazamento de dados o dano deve ser efetivamente comprovado ou presumido (in re ipsa). Na realidade, tais demandas devem ser analisadas também sob o enfoque do nexo de causalidade, sob pena de se gerar dever de indenizar a empresas que não têm qualquer relação direta com os danos sofridos por terceiros.
E isso ganha relevo em razão de multiplicidade de incidentes de exposição de dados que ocorrem diuturnamente com empresas e órgãos públicos.
Além da Prudential, as empresas Meta e a Eletropaulo, dentre outras, também foram vítimas de ataques hackers que culminaram na exposição de dados de seus clientes.
Tais ataques também atingiram órgão públicos, como é o caso da Receita Federal, Tribunais de Justiças Estaduais e o Superior Tribunal de Justiça. Também ocorreram incidentes de grande escala com o vazamentos de dados do Ministério da Saúde e o no DETRAN-RN, que expôs os dados pessoais das CNHs de mais de 70 (setenta) milhões de pessoas em todo o país.
Ademais, é notório que, em janeiro de 2021[3], toda a população do Brasil teve seus números de CPFs, nomes e idades expostos no evento chamado de “Megavazamento”, em que nenhuma empresa ou órgão público assumiu a ocorrência do incidente.
Nesse ponto, a mens legis da Lei Geral de Proteção de Dados Pessoais ao determinar o dever de comunicação dos incidentes é no sentido de que, além de permitir aos interessados que possam tomar medidas para prevenir fraudes, as empresas contribuam para a fomentação de medidas de cibersegurança, com a “promoção de investimentos em prevenção, estruturação de Programa de Privacidade, bem como aspectos a isso relacionados, como transparência, análise de impacto em determinadas atividades de tratamento, atendimento a direitos dos titulares de maneira apropriada, entre outros”[4].
Se, entretanto, as empresas que de boa-fé cumprirem o dever legal de comunicação passarem a ser responsabilizadas por todos os supostos danos de vazamento de dados, ainda que inexista prova da causalidade direita e imediata com o seu incidente, haverá um desestímulo à comunicação de incidentes. Com isso, haverá um nítido esvaziamento da legislação, em detrimento ao interesse de todos os cidadãos de fomentar a implementação de novas tecnologias, gerando maior segurança na proteção de dados no ambiente virtual.
Nos termos do artigo 403 do Código Civil, ainda que exista falha por algum dos agentes envolvidos, as perdas e danos “só incluem os prejuízos efetivos e os lucros cessantes por efeito dela direto e imediato”.
Assim, a multiplicidade de eventos de vazamentos de dados constitui uma multifatoriedade de causas que impede que as empresas que comunicam seus incidentes sejam responsabilizadas sem a devida comprovação do nexo de causalidade direto e imediato com o dano sofrido, sob pena da criação da inadmissível figura do nexo de causalidade in re ipsa.
Nesse sentido, importante socorrer-se das lições do I. Ministro José Carlos Moreira Alves[5] que, ao analisar a pluralidade de causas geradoras para fins de responsabilização civil, afirma que a multifatoriedade de eventos, quando não é possível precisar qual o fator seja o real causador do dano, “por se situarem no terreno problemático da probabilidade”, impede a responsabilização civil.
E essa análise já é realizada pelos Tribunais Brasileiros em pedidos indenizatórios de outras naturezas, como é o caso de exclusão da responsabilidade civil de concessionárias de energia elétrica por danos em equipamentos de clientes, por justamente reconhecer o caráter multifatorial desse evento[6].
Dessa forma, a reparação de danos por incidentes de exposição de dados também deve levar em consideração a multifatoriedade de episódios de vazamento, sendo que em caso de não ser possível a aferição da causalidade direta e imediata com apenas um dos eventos de mesma natureza e contemporâneos, deve ser afastada a responsabilização civil da empresa que comunica o incidente.
Por fim, mas não menos importante, e respeitado entendimento contrário, é equivocada a imputação de responsabilidade pelo simples fato de as empresas realizarem a comunicação sobre o incidente de segurança, pois tal comunicação é um dever legal (artigo 48, da LGPD) e não uma assunção de culpa por futuros prejuízos sofridos por aquele que teve seus dados expostos. Além disso, é medida de transparência e boa-fé que, se não fosse adotada, aí sim configuraria lesão ao direito dos clientes e usuários.
[1] TJSP, Apelação nº 1008710-70.2021.8.26.0320, Rel. Des. Almeida Sampaio, 30ª Câmara de Direito Privado, j. 10.08.2023.
[2] STJ, AResp 2.130.619, Rel. Min. Francisco Falcão, Segunda Turma, j. 07.03.2023.
[3] https://tecnoblog.net/especiais/megavazamento-de-223-milhoes-de-cpfs-um-ano-se-passou-e-ainda-ha-perguntas-sem-resposta/
[4] Prof. Luciano Timm em https://jornalfloripa.com.br/geral/ler/80049
[5] Livre-Arbítrio, Responsabilidade e Produto de Risco Inerente, Editora Inovar, 2009, p. 254
[6] TJSP; Apelação nº 1024250-09.2019.8.26.0554; Relator Des. Airton Pinheiro de Castro; 25ª Câmara de Direito Privado; j. 18.03.2021