Facebook é condenado a pagar R$ 500,00 a cada um dos 8 milhões de brasileiros com dados vazados em 2021

Uma sentença proferida na quinta-feira (23 de março de 2023) pela Vara de Interesses Difusos e Coletivos da comarca da Ilha de São Luís condenou a empresa Facebook Serviços Online do Brasil Ltda ao pagamento de indenização por danos morais no valor de R$ 500,00 a cada usuário diretamente atingido por vazamento de dados pessoais ocorrido em 2021; ou seja a indenizar a pouco mais de 8 milhões de brasileiros, além do pagamento de R$ 72 milhões a título de danos morais coletivos, valor a ser revertido ao Fundo Estadual de Interesses Difusos.

A sentença do juiz Douglas de Melo Martins – passível de recurso – acolheu parcialmente os pedidos formulados em Ação Civil Coletiva proposta pelo pelo Instituto Brasileiro de Defesa das Relações de Consumo – IBEDEC/MA, argumentando que o Facebook, na ocasião, contrariou a proteção legal garantida aos consumidores quanto aos seus direitos fundamentais à privacidade, à intimidade, à honra e à imagem ao ter vazado, indiscriminadamente, dados pessoais como número de telefone, e-mail, nome, data de nascimento e local de trabalho, atingindo aproximadamente 533 (quinhentos e trinta e três) milhões de usuários de 106 países, sendo 8.064,916 (oito milhões sessenta e quatro mil novecentos e dezesseis) usuários brasileiros.

O juiz levantou a proteção especial à intimidade, à vida privada, à honra e à imagem conferida pela Constituição Federal, configurando como invioláveis os  direitos fundamentais da personalidade e assegurando o direito à indenização pelo dano moral ou material decorrente de sua violação. Os dados pessoais ganharam maior proteção após a promulgação da Emenda Constitucional nº 115/2022, que alterou a Constituição Federal para incluir a proteção de dados pessoais entre os direitos e garantias fundamentais do cidadão, assegurando o direito à proteção nos meios digitais.

A sentença destacou ainda as normas da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD), que enuncia como fundamentos o respeito à privacidade e a autodeterminação informativa, estipulando que o tratamento de dados pessoais somente pode se dar mediante consentimento do titular.

Citou ainda o Marco Civil da Internet (Lei N° 12.695/2014), que estabelece princípios, garantias, direitos e deveres para o uso da internet no Brasil e a defesa do consumidor, entre os quais a proteção da privacidade e dos dados pessoais, assegurada a inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação; além de informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que  justifiquem sua coleta, não sejam vedadas pela legislação e estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet.

“Oportuno pontuar que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”, pontuou o magistrado. 

O juiz entendeu que o Facebook agiu em total desconformidade com o ordenamento jurídico ao permitir a extração de dados de suas plataformas, de milhões de usuários, por ferramentas automatizadas, não importando que o tratamento ilícito tenha sido cometido por terceiro, pois competia ao Facebook a garantia da proteção dos dados pessoais de seus usuários. 

O magistrado observou que o  valor da indenização pelos danos morais coletivos não pode ser insignificante, sob pena de não atingir o propósito educativo, mas também não deve ser exagerado e desproporcional a ponto de tornar-se excessivamente oneroso. “No Brasil, ao contrário do que ocorre nos EUA e EUROPA, as indenizações têm sido arbitradas em valores irrisórios, especialmente nos últimos anos, muito em decorrência de absurdos do passado quando a simples devolução de um cheque resultava em indenização milionária”, citou, lembrando caso em que a Petrobras foi obrigada a pagar multa indenizatória de US$ 853,2 milhões, equivalente a R$ 4,21 bilhões.

“Deve-se considerar que o vazamento de dados atingiu uma gama relevante de usuários em todo o país e que, em casos semelhantes ao discutido nesta lide, a parte ré propôs acordos e recebeu condenações milionárias pela prática reiterada de vazamentos de dados, como no caso “Cambridge Analytica”, em que o Facebook recebeu multa de US$ 5 bilhões de dólares, aplicada pela Federal Trade Commission (FTC), pelo uso indevido de dados pessoais de aproximadamente 87 milhões de usuários”, destacou.

A condenação da empresa ao pagamento de R$ 500,00 por danos morais individuais aos usuários diretamente atingidos, com o trânsito em julgado da sentença, deverá ocorrer em cumprimento individual de sentença no foro de residência de cada consumidor afetado.