Na última semana de julho, a 29ª Vara Cível de Belo Horizonte (MG) proferiu sentença que condenou uma grande empresa de tecnologia a pagar o montante total de R$ 20 milhões ao Fundo Estadual de Proteção e Defesa do Consumidor (FEPDC/MG) a título de indenização por dano moral coletivo, em virtude do vazamento de dados dos usuários de suas plataformas entre os anos de 2018 e 2019, além de R$ 5 mil por danos morais individuais aos afetados pelo incidente em todo o Brasil.

As duas ações civis públicas ajuizadas pelo Instituto Defesa Coletiva (ACP 5064103-55.2019.8.13.0024 e ACP 5127283-45.2019.8.13.0024), entidade da sociedade civil, objetivam a reparação em razão de uma série de incidentes que ocorreram nas plataformas da empresa, que atua no ramo de redes sociais, nos quais hackers tiveram acesso às contas de cerca de 29 milhões de pessoas em todo o mundo, de onde puderam extrair diversos tipos de dados pessoais.

Na fundamentação da sentença, o juiz atribuiu como “risco da atividade” o ataque dos hackers, configurando assim “caso fortuito interno inerente ao risco do empreendimento desenvolvido pela requerida e falha na prestação do serviço ao consumidor”. Observa-se que a sentença utilizou como principal fundamentação os arts. 6º, I e III do Código de Defesa do Consumidor (CDC), os arts. 14 e 37 do Estatuto do Consumidor e o art. 6º, VII e VIII da Lei Geral de Proteção de Dados Pessoais (LGPD), reforçando a relação estreita entre a LGPD e o CDC, o que destaca a importância da parceria firmada entre a ANPD e o SENACON, a qual já resultou inclusive na publicação de guia orientativo sobre “como proteger os dados pessoais”.

As decisões proferidas estão em linha com a jurisprudência até então dominante, uma vez que tribunais em todo o Brasil têm aplicado multas por violações à LGPD, especialmente nos casos onde há o efetivo vazamento de dados pessoais, com condenações a título de danos coletivos e individuais. Reforça-se, no entanto, que o vazamento de dados não qualifica o dano moral presumido, sendo necessária a comprovação do efetivo dano causado ao titular de dados.

As condenações reforçam a abordagem e importância que têm sido dadas pelas cortes brasileiras para o tema da privacidade e proteção de dados no Brasil, indo além da possibilidade de aplicação das multas previstas no art. 52 da LGPD, de competência exclusiva da ANPD. Portanto, a adequação das empresas aos requisitos da LGPD se faz imperativo como medida para mitigar os riscos de prejuízos financeiros e reputacionais decorrentes de ações judiciais interpostas sob o argumento de violação à lei.