Sobre o 'receio de uso abusivo futuro' de dados pessoais tratados ilicitamente

Pretende-se aqui neste artigo imprimir duas perspectivas sobre um elemento conceitual-dogmático, relacionado aos temas: cibersegurança, vazamento de dados pessoais, dano e responsabilidade.

Utiliza-se de dois casos, um brasileiro, AREsp nº 2.130.619 – Superior Tribunal de Justiça (STJ), e um europeu, C-340/21 – Tribunal de Justiça da União Europeia (TJ-UE), de modo a exemplificar e pontuar as suas diferentes percepções.

Não se adentrará em todas as nuances dos casos, tampouco levar-se-á em consideração as distintas previsões legais existentes e incidentes nas situações, ou, aliás, elementos normativos que mereceriam atenção, em uma análise mais cuidadosa. Intenta-se, somente, utilizá-los como exemplos, e extrair uma específica característica, comum a ambos, relacionada ao assunto.

Questão central
Opta-se por desenvolver, brevemente, um recorte, que se percebe a partir do questionamento: com o vazamento (ou outra situação acidental) de dados pessoais, decorrente de uma violação ao sistema de cibersegurança de um determinado agente de tratamento, o receio do titular, de uma utilização abusiva dos seus dados no futuro, em razão dessa violação, pode constituir fundamento para a configuração de danos imateriais [1]?

Parte-se dessa indagação – que, a propósito, engendra uma das especificidades normativas no pedido de reenvio do caso C-340/21 TJ-UE — pois parece-nos uma matéria essencial a ser delineada, dado o contexto de digitalização da vida, e os riscos que esse processo alavanca, não apenas para o funcionamento estrutural de Estados e entidades privadas, mas para a própria dimensão subjetiva abruptamente embebida nesse cenário, e que o Direito, em vezes, observa e simultaneamente constitui.

AREsp nº 2.130.619
Iniciando-se pelo caso brasileiro, julgado em 7/3/2023, vislumbra-se uma construção normativa que restringe a possibilidade de o “receio do titular”, na circunstância acima delimitada, ser base para a constituição, na hipótese, de dano moral.

Obviamente que a apreciação realizada encontra-se conexa à forma que o caso foi apresentado, com suas razões e diretrizes. Todavia, destaca-se três fundamentos centrais que “consubstanciam” o cerne normativo do julgamento, importantes para o tema em vista.

1) O primeiro pressuposto das razões está associado com a ‘natureza’ dos dados vazados; pondera-se que, no caso em julgamento, os dados vazados não seriam estipulados pela lei como sensíveis; seriam aqueles utilizados ordinariamente em “qualquer cadastro”; “o conhecimento por terceiro em nada violaria o direito de personalidade da recorrida”; (data de nascimento; CPF, RG, endereço, números de telefone e celular entre outros);

2) ao mesmo tempo, argumentando-se que, “[…] diferente seria se, de fato, estivéssemos diante de vazamento de dados sensíveis, que dizem respeito à intimidade da pessoa natural”;

3) aliando-se a uma condição envolta à necessidade de haver comprovação de dano, em relação ao vazamento de dados pessoais; “[…] trata-se de inconveniente exposição de dados pessoais comuns desacompanhados de comprovação do dano”, dano este conexo à própria valoração estipulada no item i), sobre o tipo de dados pessoais, e, ainda, em uma limitação das possibilidades e riscos que o vazamento de dados pessoais acaba por suscitar, determinando-se no sentido,

“[…] o vazamento de dados pessoais, a despeito de se tratar de falha indesejável no tratamento de dados pessoais de pessoa natural por pessoa jurídica, não tem o condão, por si só, de gerar dano moral indenizável”, havendo-se a necessidade de “[…] o titular dos dados comprove eventual dano decorrente da exposição dessas informações.”

C-340/21
De outro lado, com o caso europeu, julgado em 14 de dezembro de 2023, aproxima-se da questão com um ângulo favorável à possibilidade de o “receio do titular” ser fundamento para a caracterização de danos imateriais (como dito, utiliza-se do termo danos imateriais, pois é o empregado no julgamento, na versão em português de Portugal).

Contudo, não se trata de um “receio” qualquer. Preliminarmente, reflete-se que, o direito a indenização previsto no artigo 82, nº 1, do Regulamento Geral sobre a Proteção de Dados (RGPD), encontra-se em processo de construção a partir do considerando 146, o qual refere: “o conceito de dano deverá ser interpretado em sentido lato à luz da jurisprudência do Tribunal de Justiça, de uma forma que reflita plenamente os objetivos” do regulamento.

O TJ-UE, observando, ainda, a sua jurisprudência, entende que, o artigo 82, nº 1, do RGPD, não distingue as situações possíveis envolvendo uma violação ao dever de segurança e o subsequente vazamento de dados pessoais.

“[…] os danos imateriais alegados pelo titular dos dados, por um lado, estão ligados a uma utilização abusiva dos seus dados pessoais por terceiros que já se produziu, à data do seu pedido de indenização, ou, por outro, está ligado ao medo sentido por essa pessoa de que essa utilização possa ocorrer no futuro.”

Complementarmente, leva-se em apreço o considerando 85, 1., do RGPD, o qual prevê que “se não forem adotadas medidas adequadas e oportunas, a violação de dados pessoais pode causar danos físicos, materiais ou imateriais às pessoas singulares, como a perda de controle sobre seus dados pessoais, a limitação dos seus direitos, a discriminação, o roubo ou a usurpação da identidade […] ou qualquer outra desvantagem econômica ou social significativa”.

O TJ-UE verifica que, no RGPD, coloca-se, exemplificativamente, a possibilidade de caracterização de danos a serem sofridos pelo titular, quando da perda de controle sobre seus próprios dados, “[…] na sequência de uma violação deste regulamento, ainda que não tenha havido uma utilização efetivamente abusiva dos dados em causa em detrimento das referidas pessoas — dispensando-se, porquanto, a comprovação, pelo titular, de um efetivo “uso abusivo por terceiros”, de seus dados pessoais desprotegidos.

Contudo, e por fim, para o TJ-UE, seguindo-se a normatividade do caso Österreichiche Post (C-300/21), o titular dos dados, ainda que busque uma indenização imaterial, com fundamento em ‘receio’, deverá comprovar que “[…] essas consequências são constitutivas de danos imateriais, na acepção do artigo 82 deste regulamento”, significando que, os tribunais nacionais, quando uma pessoa reivindicar indenização, com base no receio de uma utilização abusiva dos seus dados pessoais no futuro, ligada à circunstância descrita, terão que averiguar se esse receio é substancial e fundado, considerando-se as […] circunstâncias específicas em causa e em relação à pessoa em questão”, embora, ao fim, o TJ-UE defina que o artigo 82, nº 1, do RGPD, há de ser interpretado, considerando-se que

“[…] o receio que um titular dos dados sinta de uma eventual utilização abusiva dos seus dados pessoais por terceiros, na sequência de uma violação deste regulamento é suscetível, por si só, de constituir danos imateriais, na acepção desta disposição.”

Apontamento conclusivo
Ambos os casos acima comentados e citados, aproximam-se de questões fático-normativas semelhantes. Não foi realizada uma aproximação detalhada sobre as hipóteses, em especial, em atenção aos distintos dispositivos legais incidentes, que suscitam, portanto, hermenêuticas próprias (ou em atenção à forma que as situações foram narradas para a apreciação, o que também acaba por influir no modelo de normatividade que será constituído no Poder Judiciário).

Sem embargo, infere-se elementos positivos de ambos, que, em complementaridade, registram indícios para um desenvolvimento dogmático atento às circunstâncias apresentadas, cada vez mais comuns, não apenas no Brasil, ou na Europa, mas no mundo inteiro.

Brevemente e sem qualquer pretensão de exaustividade, realiza-se que, a concepção dogmática, relacionada ao receio do titular, em razão da possibilidade de uso abusivo futuro de dados pessoais ilicitamente tratados, com o consequente “vazamento” (ou acessos não autorizados, ou difusão, dentre outras hipóteses antevistas na legislação brasileira, por exemplo), encontra espaço justificado no mundo digitalizado da contemporaneidade, para configurar novos espaços de incidência e desenvolvimento da categoria “dano”.

Ao mesmo tempo, importa-se em ponderar, sempre, quais dados foram ilicitamente tratados, contudo, não, simplesmente, para apreciar se o “receio do titular”, encontra-se fundado (recordando-se da lição de 1983, do Tribunal Constitucional Federal da Alemanha — “não existem mais dados insignificantes”), mas, para aferir a gravidade da situação e, eventualmente, a gradação das sanções e o teor da indenização.

Igualmente, à parte prejudicada incumbe evidenciar, e, em certa medida e dependendo da forma da relação jurídica estabelecida (e dos dispositivos legais incidentes, que podem determinar regras díspares de apreciação, responsabilidade, e ônus probatório etc.), arrazoar e produzir os indícios suficientes que sejam capazes de designar o seu receio, enquanto um receio fundado.

As duas últimas observações encontram-se, ou podem encontrarem-se, estreitamente relacionadas.

Sublinha-se que, um elemento central da questão a ser examinada, associa-se à perda de controle do titular, sobre os dados pessoais ilicitamente tratados, nas situações citadas, representando uma circunstância em descompasso com o que se compreende, em certa medida, por autodeterminação informativa, a propósito, um dos fundamentos da disciplina de proteção de dados pessoais em muitos espaços, notadamente, no Brasil (artigo 2º, II, Lei Geral de Proteção de Dados Pessoais – LGPD).

[1] Nomenclatura empregada na versão em português de Portugal no julgamento C-340/21 TJ-UE.