No julgamento do Recurso Inominado nº 5000086-03.2021.4.03.6345, a 12ª Turma Recursal dos Juizados Especiais Federais de São Paulo manteve sentença que condenou o INSS ao pagamento de compensação por danos morais no valor de R$ 2.500,00, em decorrência de vazamento de dados pessoais de beneficiária de pensão por morte.
A parte autora, após a concessão da pensão pelo INSS em junho de 2021, passou a receber ligações telefônicas e mensagens por SMS e WhatsApp de instituições financeiras, com oferta de empréstimos consignados no seu benefício.
As provas apresentadas, especialmente as gravações de onze ligações telefônicas de cinco instituições financeiras diferentes, demonstram que as ofertas de contratos visavam especificamente o pagamento por meio de consignação no benefício e que as bases de dados dos bancos continham inclusive o valor mensal da pensão por morte.
Ainda, diversas mensagens recebidas pela autora faziam menção expressa ao recebimento de um novo benefício pago pelo INSS.
Em consequência, o acórdão concluiu pela suficiência de provas sobre o compartilhamento dos dados pessoais da beneficiária da pensão.
Porém, esse compartilhamento foi considerado ilícito, porque não se insere nas hipóteses autorizadoras previstas no § 1º do art. 26 da LGPD.
Na definição dos possíveis responsáveis pelo incidente, reconheceu-se que o INSS, por ser o controlador dos dados pessoais, pode ser responsabilizado pelo fato, especialmente porque a parte autora comprovou que parte das ofertas de empréstimos consignados ou de cartão de crédito recebidas por ela faziam menção expressa ao seu benefício previdenciário.
Além disso, o acórdão concluiu que há responsabilidade objetiva da Administração Pública por atos ilícitos no tratamento de dados pessoais, com fundamento no art. 37, § 6º, da Constituição, e do art. 42 da LGPD.
Logo, nos termos do voto da relatora do acórdão, (...) caberia ao INSS implementar medidas administrativas tendentes a evitar a violação dos dados pessoais sob sua tutela, o que, como se sabe, não vem ocorrendo, haja vista o fácil acesso às informações sigilosas dos beneficiários pelas instituições financeiras.
Por isso, manteve-se a condenação do INSS ao pagamento de compensação por danos morais (obrigação de pagar).
Não há no acórdão a menção a eventuais pedidos de cumprimento de obrigações de fazer e de não fazer, especialmente para a adoção de providências pelo INSS para a exclusão dos dados pessoais da parte autora dos cadastros das instituições financeiras e da cessação do envio de mensagens e de ligações telefônicas.