Quatro Anos de LGPD : Análise dos Precedentes Judiciais e Seus Impactos

Introdução

Desde a entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD) em agosto de 2020, o Brasil observou uma transformação nas práticas de coleta, armazenamento, tratamento e compartilhamento de dados por parte de empresas e instituições. A Lei nº 13.709/2018 veio consolidar direitos fundamentais, como a transparência e o consentimento do titular para o tratamento de dados, garantindo a todos os cidadãos o controle sobre suas informações pessoais. Diante disso, o Judiciário, em especial o Superior Tribunal de Justiça (STJ), tem sido acionado para definir interpretações da legislação, que vão desde a responsabilização por vazamento de dados até a determinação de limites para o uso de informações pessoais em contextos diversos. A seguir, exploramos alguns dos precedentes mais relevantes dos primeiros quatro anos da LGPD no STJ, ressaltando as principais direções adotadas pela jurisprudência.

1. A Publicidade de Bens de Agentes Públicos e a Proteção de Dados

Em 2022, a Primeira Turma do STJ decidiu que o decreto estadual exigindo que servidores públicos disponibilizassem anualmente suas declarações de bens não viola os princípios de privacidade da Constituição e da LGPD (RMS 55.819). A questão foi levantada pelo Sindicato dos Auditores Fiscais de Minas Gerais (Sindifisco-MG), que alegou que o decreto feriria o direito à privacidade dos servidores, previsto no inciso X do artigo 5º da Constituição Federal, especialmente após a incorporação do inciso LXXIX, que assegura a proteção dos dados pessoais.

O relator, ministro Gurgel de Faria, afirmou que a inclusão do inciso LXXIX não torna o direito à proteção de dados absoluto. A decisão considerou que agentes públicos estão sujeitos a uma esfera de privacidade reduzida, visto o interesse público inerente à transparência patrimonial. Assim, a LGPD e a Constituição não impedem a coleta de tais dados pelos órgãos públicos, mas exigem que a administração adote medidas de segurança e confidencialidade adequadas para evitar a exposição indevida ao público.

2. Decisões Automatizadas e a Proteção do Titular dos Dados

Outro precedente relevante foi estabelecido em 2024 pela Terceira Turma, que analisou o uso de perfis comportamentais em processos de descredenciamento de motoristas de aplicativos (REsp 2.135.783). Neste caso, um motorista foi excluído da plataforma de transporte 99 por alegado descumprimento de regras, sem direito de defesa ou notificação prévia. Ao julgar o caso, a ministra Nancy Andrighi interpretou que a análise do perfil do motorista constituía tratamento de dados pessoais, atraindo as disposições da LGPD.

A relatora destacou que o uso de inteligência artificial para análises de perfil e decisões automatizadas, como a exclusão de um profissional, requer transparência e possibilita o direito de revisão, conforme o artigo 20 da LGPD. Além disso, reforçou o direito do titular a acessar as razões da decisão e a pedir a revisão, reiterando a importância do princípio da transparência no tratamento de dados.

3. Vazamento de Dados e Critérios para Indenização

Em um caso de vazamento de dados pessoais envolvendo a concessionária Eletropaulo (AREsp 2.130.619), a Segunda Turma do STJ decidiu que a exposição indevida de dados não gera automaticamente direito a indenização. O caso envolveu a divulgação de dados como nome, data de nascimento e endereço da cliente, que teriam sido acessados e compartilhados por terceiros. A cliente pleiteou indenização alegando riscos à sua segurança e privacidade.

No entanto, o relator, ministro Francisco Falcão, destacou que para haver indenização, é necessário demonstrar o dano efetivo. Esse precedente define que o vazamento, embora indesejado, só configura lesão indenizável caso haja prova de prejuízo material ou moral. Esse entendimento reflete uma aplicação rigorosa dos princípios da LGPD, enfatizando que o direito à proteção de dados exige prova de dano para justificar a compensação.

4. Identificação de Usuários e a Honra de Pessoas Falecidas

No julgamento do REsp 1.914.596, a Quarta Turma do STJ determinou que provedores de conexão devem fornecer dados cadastrais de usuários que postem conteúdo ofensivo à memória de pessoas falecidas. No caso em análise, vídeos ofensivos à memória da vereadora Marielle Franco foram publicados no YouTube, e a família buscou remover os conteúdos e identificar os responsáveis.

O relator, ministro Luis Felipe Salomão, reiterou que o artigo 22 do Marco Civil da Internet e as disposições da LGPD permitem a quebra de sigilo para preservar direitos e coibir abusos. Salomão afirmou que o interesse público e o direito à proteção da honra de pessoas falecidas justificam a identificação dos responsáveis, aplicando a LGPD de maneira proporcional e condicional ao interesse jurídico relevante.

5. Exigência de Exclusão de Dados Inseridos sem Autorização

Em 2024, outro julgamento relevante envolveu a B3, bolsa de valores brasileira, que foi responsabilizada pela exclusão de dados inseridos indevidamente no perfil de um investidor (REsp 2.092.096). Terceiros acessaram a plataforma da B3 utilizando uma conta falsa e alteraram dados cadastrais do investidor. A B3 recorreu ao STJ, argumentando que a fraude ocorreu externamente, em ambiente de corretora.

A ministra Nancy Andrighi, relatora do caso, argumentou que a B3, como agente de tratamento de dados, está sujeita às disposições da LGPD, devendo observar os princípios de segurança e adequação. Segundo Andrighi, a manutenção de uma plataforma que armazena dados de investidores impõe o dever de adotar medidas preventivas e corretivas contra acessos indevidos. O precedente reforça a responsabilidade dos agentes de tratamento em garantir a segurança e o direito do titular de dados a corrigir informações inverídicas.

6. Responsabilidade de Instituições Financeiras no Tratamento Indevido de Dados

A Terceira Turma do STJ, no julgamento do REsp 2.077.278, analisou a responsabilidade de uma instituição financeira em caso de tratamento indevido de dados pessoais que culminou em golpe contra um cliente. O caso envolveu um pagamento fraudulento após um estelionatário obter dados sigilosos da cliente por meio de um canal de comunicação informal.

A ministra Nancy Andrighi destacou que o tratamento inadequado de dados bancários por uma instituição financeira caracteriza falha na prestação de serviço e está sujeito à reparação de danos, conforme o artigo 14 do Código de Defesa do Consumidor e o artigo 44 da LGPD. O precedente sublinha a responsabilidade das instituições em proteger dados sensíveis de seus clientes, além de alertar para a necessidade de segurança nas operações bancárias.

Considerações Finais

A LGPD, ao longo dos seus primeiros anos de vigência, gerou uma série de interpretações judiciais relevantes que refletem a aplicação prática e os limites da proteção de dados no Brasil. As decisões do STJ indicam uma tendência de equilíbrio entre a proteção dos direitos dos titulares e o interesse público, especialmente em casos envolvendo transparência patrimonial, responsabilidade por decisões automatizadas e vazamento de dados. Esses precedentes consolidam a interpretação da LGPD como um instrumento robusto de proteção ao titular de dados, ainda que sujeita a ponderações e adaptações conforme a complexidade dos casos julgados.

A consolidação desses precedentes serve como guia não só para o Judiciário, mas também para empresas e instituições, que devem adotar uma postura preventiva e rigorosa na conformidade com a LGPD, sob pena de responsabilizações que variam de multas administrativas à obrigação de reparar danos. Ao acompanhar essas direções jurisprudenciais, espera-se que o Brasil fortaleça seu ambiente de proteção de dados, promovendo maior confiança e segurança para titulares e operadores de dados.

Por: Airton Dantas