TJ-MG condena app de transporte por uso indevido de CPF em R$ 5 mil

A 12ª Câmara Cível do Tribunal de Justiça de Minas Gerais condenou um aplicativo de transporte de passageiros ao pagamento de indenização por danos morais no valor de R$ 5 mil a um motorista que teve seu cadastro pessoal criado indevidamente por terceira pessoa utilizando o seu número de CPF, em violação aos seus direitos de personalidade e privacidade.

Contexto

O caso em análise insere-se num contexto mais amplo de responsabilidade civil das plataformas digitais diante de falhas em seus mecanismos de verificação e proteção de dados pessoais. A jurisprudência brasileira vinha oscilando quanto à caracterização de danos morais em situações de apropriação indevida de identidade digital, particularmente quando a falha não resulta em prejuízo financeiro direto ao usuário.

O tema adquire relevância crescente pela expansão das plataformas de economia colaborativa e pela necessidade de compatibilizar a responsabilidade das empresas intermediadoras com as garantias de proteção de dados pessoais estabelecidas pela Lei Geral de Proteção de Dados (Lei 13.709/2018). Até então, sentenciantes de primeira instância tendiam a reduzir essas situações a meros transtornos administrativos, negando o reconhecimento de dano extrapatrimonial.

O que foi decidido

A turma julgadora reformou a sentença prolatada pela Comarca de Contagem (MG), que havia limitado-se à exclusão do cadastro fraudulento sem reconhecer compensação financeira. O TJ-MG inverteu essa lógica ao afirmar que a utilização não autorizada de dados pessoais para fins econômicos ultrapassa o patamar de mero incômodo ou transtorno administrativo.

O relator da apelação, desembargador José Américo Martins da Costa, fixou entendimento de que o evento caracterizou violação concreta aos direitos da personalidade—notadamente identidade, privacidade e honra—com exposição real do ofendido a riscos de responsabilização por atos ilícitos (civis, administrativos ou criminais) praticados pela pessoa que fraudulentamente se utilizou de seus dados. O acórdão enfatizou que a preocupação do motorista com essas possíveis consequências é "absolutamente legítima e concreta", não meramente especulativa.

As desembargadoras Maria Lúcia Cabral Caruso e Régia Ferreira de Lima acompanharam o voto do relator, consolidando maioria na câmara.

Base normativa e precedentes

• Lei 13.709/2018 (LGPD) — Estabelece direitos dos titulares de dados pessoais, incluindo direito à informação e ao controle sobre uso de seus dados, com responsabilidade objetiva da operadora por danos causados por violação de segurança.

• Lei 8.078/1990 (Código de Defesa do Consumidor) — Art. 14: responsabilidade civil objetiva do fornecedor de serviço por defeitos na prestação; art. 6º: direito do consumidor à informação clara sobre serviço.

• Lei 10.406/2002 (Código Civil) — Arts. 927 (responsabilidade civil) e 948 (reparação do dano moral); arts. 11 a 21 (direitos da personalidade).

• Jurisprudência consolidada do STJ — Súmula 37: "Incumbe ao prestador de serviço a responsabilidade pela reparação de dano causado aos seus clientes, ou a terceiros, por inadequação ou insuficiência do serviço prestado", com aplicação extensiva a serviços digitais.

Impacto prático

Para motoristas e usuários de plataformas de transporte:

• Amplia reconhecimento de direito à indenização em casos de uso fraudulento de identidade, mesmo sem prejuízo financeiro direto comprovado.
• Reforça direito à exclusão de cadastros fraudulentos e à compensação por dano extrapatrimonial.
• Estabelece precedente para reclamações futuras similares em outras plataformas.

Para aplicativos e plataformas digitais:

• Aumenta custo da falta de rigor em validação de identidade (verificação facial, biometria, autenticação de dois fatores).
• Transfere responsabilidade pela detecção de fraudes do usuário para a operadora, mesmo quando o golpista burla sistemas.
• Cria pressão para implementação de protocolos mais robustos de segurança, sob risco de condenações por danos morais.

Para advogados: oportunidade de construir demandas similares em outros estados, com precedente mineiro como fundamentação; possibilidade de ações coletivas (CDC, art. 81) em casos de vulnerabilidade massiva de dados em plataforma.

O que observar

A decisão deixa aberta a questão do limite do valor indenizatório: os R$ 5 mil podem ser replicados em outros casos similares ou servir como piso para variação conforme gravidade (duração da fraude, atos praticados pelo terceiro fraudador, impacto reputacional do motorista). Não há indicação de modulação dos efeitos ou de possibilidade de recurso extraordinário.

Ainda persiste margem interpretativa quanto à responsabilidade exclusiva da plataforma versus responsabilidade compartilhada com terceiro fraudador (ação de regresso). O acórdão não detalha se a empresa pode demandar o golpista por danos materiais e morais, o que pode abrir nova frente de discussão.

Advogados defensores de plataformas devem revisar protocolos de validação facial e autenticação, sob pena de replicação dessa condenação em outras jurisdições; promotores de defesa do consumidor podem elevar demandas similares em esfera coletiva.