O TJ-SP condenou uma empresa e fixou multa com base na LGPD de acordo com os danos causados pela empresa ao cliente. Em julgado proferido pela 26ª Câmara de Direito Privado do Tribunal de Justiça de São Paulo (TJ-SP), que condenou a empresa Sodimac a indenizar um cliente em R$ 2 mil, houve entendimento de que o vazamento de dados do consumidor em e-commerces, ainda que por curto período, revela “falha de segurança” e gera dano moral indenizável, aplicando ao caso a Lei Geral de Proteção de Dados Pessoais (LGPD) – Lei nº 13.709/2018.
Segundo a petição inicial, um cliente adquiriu uma parafusadeira elétrica por R$ 427,00 por meio da loja online da Sodimac, no dia 22 de setembro de 2020. Após a compra, por meio do WhatsApp, um desconhecido alertou o vigilante que seus dados estavam expostos a qualquer pessoa no canal da empresa na internet.
O informante comprovou o que disse enviando pelo WhatsApp prints da tela de seu computador com os dados vazados. Até o número do cartão de crédito do cliente, utilizado na transação, estava público na loja virtual. Imediatamente, o vigilante alterou a sua senha naquele site de compras. Com a finalidade de se resguardar de eventuais fraudes cometidas com os seus dados, o vigilante também registrou boletim de ocorrência.
De acordo com o desembargador Renato Sartorelli, relator do recurso de apelação, a ré não justificou de forma satisfatória na contestação o evento descrito pelo consumidor. Conforme a empresa, ainda que “pequenos problemas” como os denunciados pelo vigilante possam “muito raramente” ocorrer, ela adota diversos protocolos de segurança para resolvê-los “rapidamente”, por meio de sua equipe de Segurança da Informação.
Além disso, utilizou-se de artigos do Código de Defesa do Consumidor (CDC) e da LGPD, em que o relator concluiu que “ultrapassa o mero aborrecimento o consumidor ter seus dados pessoais expostos na internet, ferindo legítima expectativa de ter sua privacidade preservada ao realizar compra online, sendo objetiva a responsabilidade da ré por eventual falha em seu sistema eletrônico”.
Ainda conforme Sartorelli, cujo voto foi seguido pelos desembargadores Vianna Cotrim e Felipe Ferreira, o defeito na segurança do site da empresa que realiza vendas online insere-se no risco da atividade desenvolvida e deve ser suportado pela fornecedora. Além disso, a LGPD dispõe que o operador de dados pessoais deve responder por dano decorrente de falha de segurança, sem prejuízo da aplicabilidade das disposições do CDC.
Sobre a Aplicação da Multa com base na LGPD
Por fim, foi estabelecido que o preço da ferramenta, a extensão do sofrimento experimentado pelo autor, a capacidade econômica das partes e o grau de culpabilidade da ré foram considerados na fixação da indenização, fazendo com que o colegiado fixassem uma multa com base na LGPD de R$ 2 mil conforme os danos, que atendem ao princípio da razoabilidade, pois evita a insignificância da verba indenizatória e o enriquecimento sem causa do ofendido e condenou a Sodimac a pagar as despesas do processo e os honorários advocatícios.
Sobre a LGPD
A LGPD ou Lei Geral de Proteção de Dados regulamenta sobre o tratamento de dados pessoais de usuários titulares de dados no Brasil. A Lei de Proteção de Dados atinge todos os segmentos de negócios, públicos e privados.
A Lei Geral de Proteção de Dados (Lei n. 13.709/2018) foi aprovada em agosto de 2018 com a previsão de 2 anos para que a sociedade pudesse se adequar às suas exigências. Após uma série de incerteza sobre a data de início de vigência da lei, ela entrou em vigor em Setembro de 2020, com sanções previstas, incluindo multas com base na LGPD, a serem aplicadas a partir de Agosto de 2021.
A Lei Geral de Proteção de Dados segue um padrão internacional em que as principais economias desenvolvidas do mundo digital estão regulando a coleta, o processamento e o tratamento dos dados pessoais, tendo como exemplos o GDPR da União Europeia e a CCPA do estado da Califórnia. Para a lei brasileira, dado pessoal é qualquer informação relacionada à pessoa natural identificada ou identificável.
Referência: Multa com base na LGPD – TJ-SP link.