A Lei nº 13.709, conhecida como Lei Geral de Proteção de Dados (LGPD), representou um marco na legislação brasileira, regulamentando o uso, a proteção e a transferência de dados pessoais no Brasil. Desde a sua entrada em vigor, em 2020, a conscientização sobre a importância da proteção de dados tem aumentado significativamente, exigindo uma revisão e adequação de políticas internas e processos para garantir a correta adequação à Lei. As penalidades previstas na lei podem ser aplicadas desde 1° de agosto de 2021 pela Autoridade Nacional de Proteção de Dados – ANPD.
A LGPD também pode ser invocada no âmbito de processos judiciais para discutir temas relacionados a direitos do consumidor, privacidade, dentre outros. Ao longo dos 4 (quatro) anos iniciais de vigência da lei, há ampla discussão sobre a sua interpretação e aplicação em casos concretos. Nesta esteira, apresentamos precedentes do Superior Tribunal de Justiça (STJ), que tem a competência para consolidação de diretrizes para a interpretação e aplicação da lei, estabelecendo precedentes que refletem as demandas contemporâneas de privacidade e proteção de dados.
Decreto sobre bens de agentes públicos não extrapola poder regulamentar
Em 2022, a Primeira Turma do STJ, ao julgar o RMS 55.819, decidiu que o decreto estadual 46.933/2016, que dispõe sobre o dever de agentes públicos disponibilizarem informações sobre seus bens e sua evolução patrimonial, é legal e não viola o direito à privacidade. O mandado de segurança coletivo foi impetrado pelo Sindifisco-MG contra o Estado de Minas Gerais, contestando a legalidade do Decreto 46.933/2016.
O relator do recurso, o Ministro Gurgel de Faria, argumentou que a inclusão do inciso LXXIX no artigo 5º da Constituição, que assegura a proteção de dados pessoais, está em consonância com a exigência de transparência patrimonial. O ministro enfatizou que essa garantia não é absoluta, pois os agentes públicos têm sua privacidade e intimidade reduzidas e não podem recusar a divulgação de informações sobre a evolução patrimonial.
Análise automática de perfis de prestadores de serviço está sujeita à LGPD
Em 2024, no julgamento do REsp 2.135.783, a Terceira Turma do STJ reconheceu que informações relacionadas ao descredenciamento de prestadores de serviços, como motoristas de aplicativos, são dados pessoais e, portanto, estão sujeitas à LGPD. No caso em questão, um motorista de aplicativo foi excluído da determinada plataforma por suposto descumprimento de regras, sem qualquer tipo de notificação prévia.
A relatora, a Ministra Nancy Andrighi, esclareceu que o motorista tem o direito de solicitar a revisão de decisões automatizadas que impactam seu perfil profissional, uma vez que a LGPD protege dados usados para formar perfis comportamentais, incluindo reclamações de passageiros.
Titular de dados vazados precisa comprovar dano efetivo ao pedir indenização
No julgamento do AREsp 2.130.619, a Segunda Turma reformou uma decisão do Tribunal de Justiça de São Paulo que havia condenado a Eletropaulo ao pagamento de R$5 mil em danos morais pelo vazamento de dados pessoais de uma cliente. O relator, Ministro Francisco Falcão, apontou que, embora o vazamento de informações seja uma falha no tratamento de dados, isso não gera automaticamente o direito à indenização. O ministro ressaltou que para haver indenização, é necessário a demonstração de efetivo prejuízo.
Provedores devem fornecer dados de quem postou vídeo ofensivo a pessoa falecida
No julgamento do REsp 1.914.596, a Quarta Turma fixou o entendimento de que provedores de internet devem fornecer dados cadastrais (nome, endereço, RG e CPF) dos responsáveis por vídeos ofensivos à memória de pessoa falecida publicados no YouTube.
Ação foi proposta pela irmã e esposa de Marielle Franco contra o Google solicitando a remoção dos vídeos ofensivos e a identificação dos responsáveis pelas publicações. O Relator, Ministro Luis Felipe Salomão, ressaltou que, para o caso em questão, a privacidade dos usuários que publicaram os vídeos não prevalecia diante dos indícios de conduta ilegal.
Bolsa deve excluir dados inseridos sem autorização no perfil de investidor
No REsp 2.092.096, o STJ determinou que a bolsa de valores B3 deve excluir dados alterados no perfil de um investidor após acesso não autorizado. Conforme afirmou a relatora, a Ministra Nancy Andrighi, ao manter um sistema que armazena e utiliza dados dos investidores, tais como nome, CPF, email e telefone, a bolsa de valores realiza operação de tratamento de dados pessoais, razão pela qual se sujeita às normas da LGPD.
Instituição financeira responde por tratamento indevido de dados usados em golpe
A Terceira Turma decidiu, no REsp 2.077.278, de relatoria da Ministra Nancy Andrighi, que a instituição financeira é responsável por falhas no tratamento de dados bancários que possibilitam a ocorrência de golpes contra consumidores.
No caso em questão, uma cliente foi vítima de estelionato após receber orientações falsas sobre a quitação de um financiamento, baseado em dados obtidos indevidamente. A relatora argumentou que as instituições financeiras têm a obrigação de preservar o sigilo de operações bancárias e que falhas na proteção desses dados configuram defeito na prestação de serviços, sendo necessário a responsabilização pelos danos causados.
Este artigo foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional. |