La legislación brasileña establece que quien viola un derecho y causa un daño a otra persona comete un acto ilícito y está obligado a repararlo. En este sentido, la regla dice que la parte perjudicada debe probar los daños sufridos para que tenga derecho a una indemnización. Sin embargo, existen hipótesis en las que el perjuicio se presume y debe ser reparado independientemente de la prueba; esta es la regla que se aplica, por ejemplo, en el ámbito del derecho del consumidor.
Del mismo modo, la Ley General de Protección de Datos (LGPD) brasileña prevé la obligación del responsable y del operador de datos de reparar los daños patrimoniales, morales, individuales o colectivos en caso de violación de la legislación.
En marzo de 2023, el Tribunal Superior de Justicia de Brasil (STJ) juzgó un recurso especial, originado en una demanda presentada por un consumidor contra la concesionaria de energía eléctrica del municipio de São Paulo, que reclamaba indemnización pecuniaria por daños morales derivados de la filtración de sus datos personales, a saber: nombre completo, cédula de identidad (registro general, o RG, por sus siglas en portugués), sexo, fecha de nacimiento, edad, teléfono fijo, teléfono móvil y dirección, además de datos relacionados con el contrato de suministro de energía eléctrica celebrado con la concesionaria, tales como: carga instalada, consumo estimado, tipo de instalación y lectura de consumo.
El caso llegó al STJ después de que la concesionaria de electricidad recurriera la decisión dictada en segundo grado por el Tribunal de Justicia de São Paulo (TJSP), que condenó a la empresa a pagar cinco mil reales en concepto de daños morales. En su decisión, el TJSP consideró que hubo un fallo en la prestación del servicio debido a la filtración de datos reservados que deberían tener garantizada la privacidad. En otras palabras, la decisión del TJSP observó la solicitud de indemnización sólo desde el punto de vista de los derechos de los consumidores, sin observar la ley general de protección de datos brasileña.
A su vez, el Superior Tribunal de Justicia (STJ) sostuvo que, aunque la filtración de datos personales sea un defecto inoportuno en el tratamiento de los datos, este hecho aislado no es suficiente para generar automáticamente una indemnización por daños morales. O sea, según el STJ, es necesario que el cliente pruebe que hubo algún tipo de daño resultante de la exposición de tales datos para tener derecho a una indemnización por daños morales.
Además, el STJ concluyó que los datos filtrados en el caso eran de naturaleza común, que tienen el poder de identificar al cliente, pero no se consideran íntimos y, por lo tanto, sensibles.
A partir de la definición de la naturaleza de los datos personales del cliente de la concesionaria, el STJ reconoció que era correcto el argumento formulado por la concesionaria, que defendía que no es posible indemnizar por daños morales la filtración de datos informados de forma rutinaria en diversas situaciones del día a día, como para la realización de un registro.
Es necesario destacar, a este respecto, que el TSJ indicó que su decisión podría haber sido diferente si los datos personales filtrados hubieran sido sensibles, ya que estos datos conciernen a la intimidad de la persona, dejando abierta la posibilidad de que en el futuro se pueda establecer un entendimiento en el sentido de condenar a las empresas a la reparación de daños presuntos en el caso de incidentes con datos personales sensibles.