A 4ª Vara de Cubatão, do Tribunal de Justiça de São Paulo, condenou um hotel ao pagamento de R$ 15 mil por danos morais após reconhecer que houve falha na proteção de dados pessoais de hóspede, que teve a imagem de sua CNH divulgada a terceiros e passou a sofrer ameaças e acusações falsas nas redes sociais.

Na sentença, o juiz Sergio Castresi de Souza Castro afirmou que, tanto à luz do Código de Defesa do Consumidor quanto da Lei Geral de Proteção de Dados (LGPD), a responsabilidade do estabelecimento é objetiva, sendo irrelevante discutir culpa ou intenção quando há falha no dever de segurança.

CNH só poderia ter saído do hotel

O autor relatou que se hospedou no local no ano passado e que, poucas horas após o check-out, passou a receber ligações e mensagens de desconhecidos, que o acusavam de ter atropelado um animal nas imediações do hotel e fugido sem prestar socorro. As mensagens continham a fotografia de sua CNH, com dados sensíveis como endereço residencial e nome dos pais — documento que havia sido entregue exclusivamente à administração do hotel para fins de cadastro.

A defesa sustentou que os dados teriam sido obtidos por terceiros a partir de uma suposta consulta à placa do veículo, feita por parente policial de outro hóspede. A tese, porém, foi rejeitada de forma categórica.

Segundo o magistrado, é tecnicamente impossível obter imagem ou cópia de CNH por meio de consulta de placa, que fornece apenas informações do veículo e, em bases restritas, dados textuais do proprietário. Para o juiz, o simples fato de terceiros terem acesso à imagem digital da CNH constitui prova inequívoca de que o vazamento ocorreu a partir do banco de dados físico ou digital do próprio hotel.

Ameaças e linchamento de reputação

A sentença destacou que o caso não se limitou a um incômodo cadastral, mas resultou em ameaças reais, exposição indevida e verdadeiro linchamento de reputação. A imputação de “atropelamento e fuga”, segundo o juiz, é acusação de extrema gravidade, capaz de gerar ódio social e risco concreto à integridade física do autor e de sua família.

O magistrado também afastou a narrativa de fuga sem prestar socorro ao observar que o hotel possui sistema de cancela que só libera a saída do hóspede após conferência de pendências, o que tornaria improvável a versão defensiva.

LGPD, CDC e caráter pedagógico

Ao reconhecer a violação do artigo 46 da LGPD e a falha na prestação do serviço nos termos do artigo 14 do CDC, o juiz fixou a indenização em R$ 15 mil, valor inferior ao pedido inicial, mas considerado adequado aos parâmetros do TJSP para casos de vazamento de dados com consequências agravadas.

Na decisão, ressaltou-se o caráter punitivo-pedagógico da condenação e o fato de que não se tratou de vazamento comum, já que os dados foram utilizados para ameaças diretas, em ambiente de redes sociais, com potencial danoso “imprevisível e ilimitado”.

O pedido para obrigar o hotel a comprovar a adoção de medidas de governança de dados foi rejeitado, sob o fundamento de que tais providências já decorrem de obrigação legal, sendo inócuo impor comando judicial específico.

Processo 1005861-27.2024.8.26.0157