voltarA 3ª Turma do Superior Tribunal de Justiça (STJ) decidiu, por unanimidade, que a Enel (antiga Eletropaulo), mesmo diante de um ataque hacker, é responsável por prestar informações completas ao cliente cujos dados não sensíveis foram vazados. A empresa deve informar as entidades com as quais compartilhou dados, os critérios utilizados, a origem, a finalidade do tratamento e fornecer uma cópia de todos os dados relacionados ao titular, conforme determina o art. 19, II, da LGPD.
O julgamento no caso (REsp 2.147.374) destacou que a obrigação da Enel de proteger os dados dos consumidores não é anulada pelo fato de o vazamento ter ocorrido devido a uma atividade ilícita de terceiros, rejeitando o argumento de excludente de responsabilidade previsto no art. 43, III, da LGPD.
A decisão do Superior Tribunal de Justiça (STJ) no Recurso Especial nº 2147374/SP abordou questões centrais sobre a exclusão de responsabilidade dos agentes de tratamento de dados pessoais conforme a Lei Geral de Proteção de Dados (LGPD). O caso envolveu o vazamento de informações pessoais não sensíveis, atribuído a um ataque cibernético. O tribunal analisou se tal incidente configuraria excludente de responsabilidade prevista na LGPD ou se caberia imputar ao agente de tratamento a obrigação de adotar medidas de proteção adequadas.
Aspectos Importantes da Decisão
1. Proteção de Dados como Direito Fundamental e Medidas de Segurança
O relator, ministro Ricardo Villas Bôas Cueva, enfatizou que a proteção de dados é um direito fundamental estabelecido pela Emenda Constitucional 115/2022, e que a Enel, como agente de tratamento, deveria ter implementado medidas de segurança adequadas. Segundo o entendimento, a irregularidade no tratamento de dados pela Enel foi configurada pela ausência de segurança esperada pelo titular. A decisão reafirma a responsabilidade das empresas de garantir a proteção e a transparência no uso dos dados pessoais, mesmo em cenários de ataques externos.
2. Transparência
A empresa foi condenada a fornecer informações completas sobre o uso compartilhado desses dados e a origem deles, nos termos dos artigos 18, VII, e 19, II, da LGPD.
3. Exclusão de Responsabilidade
O TJSP afastou a tese de exclusão de responsabilidade por culpa exclusiva de terceiros (art. 43, III, da LGPD), entendendo que a empresa não conseguiu provar que o incidente foi causado exclusivamente por terceiros e o entendimento foi mantido pelo não provimento do recurso pelo STJ.
4. Necessidade de Medidas de Governança
A decisão sublinhou a importância do “compliance de dados” ou programas robustos de governança, que vai além do cumprimento formal da legislação, exigindo a comprovação de adoção de medidas eficazes de proteção e mitigação de riscos.
5. Rejeição do Argumento de Fortuito Externo
O STJ reafirmou que vazamentos de dados decorrentes de ataques cibernéticos nem sempre configuram fortuito externo, uma vez que a segurança dos sistemas é uma expectativa inerente à atividade empresarial.
Implicações da Decisão
A decisão reforça que os controladores de dados têm a responsabilidade de proteger os dados pessoais, mesmo em casos de ataques cibernéticos, e devem garantir transparência e conformidade com os requisitos da LGPD. Também destaca a crescente importância da governança de dados na responsabilidade corporativa, enfatizando medidas proativas para proteger os direitos dos titulares dos dados.
Essa decisão estabelece um precedente significativo para a responsabilidade pela proteção de dados no Brasil, reiterando que violações decorrentes de medidas de segurança insuficientes podem acarretar consequências legais e financeiras para as empresas.
compartilhe
