Na sentença, além fundamentar seu entendimento, com o Código de Defesa do Consumidor, a Juíza do 5º Juizado Especial Cível de Brasília, invocou a Lei Geral de Proteção de Dados, in verbis:
“A Ré, responsável pelo serviço, responde objetivamente pelos danos causados aos consumidores, conforme a teoria do risco da atividade empresarial, especialmente por permitir o cadastro meramente da posse de um número telefônico, sem a necessidade de uso de documento pessoal, CPF ou mesmo nome verdadeiro, além de não prover segurança suficiente aos usuários, uma vez que o agente fraudador, nesse caso, teve acesso a dados pessoais do Autor.
Ao agir dessa maneira, deve responder pelos danos causados em sua atividade.
Sabe-se hoje que dados em mãos erradas podem causar grandes prejuízos. A Lei 13.709\18 – Lei Geral e Proteção de Dados – prevê:
Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
Assim, além de propiciar que os dados do Autor estivessem sob domínio de terceiros, a Ré não tomou nenhuma medida para impedir os prejuízos ocasionados. Considerando-se que os atos (omissivos e/ou comissivos) praticados pela Ré resultaram nos danos materiais aos Autores, emerge o dever de indenizar. Inclusive, não houve ação da Ré para desativar a conta fraudulenta utilizada pelos estelionatários, contribuindo, diretamente, para que houvesse tempo razoável para aplicação do golpe contra os Autores.
Ante o exposto, JULGO PROCEDENTE O PEDIDO para condenar a ré a pagar a quantia de R$ R$ 44.000,00 (quarenta e quatro mil reais) a título de danos materiais, corrigida monetariamente a partir do desembolso e acrescida de juros legais a partir da citação.”
O Facebook recorreu da sentença e os autos foram remetidos ao segundo grau.