O Superior Tribunal de Justiça (STJ) decidiu que empresa deve ser responsabilizada por vazamento de dados pessoais não sensíveis quando há falha na segurança. O caso envolve a Eletropaulo e uma cliente, titular dos dados pessoais.

A autora da ação recebeu um comunicado do Instituto de Proteção de Dados Pessoais (Iprodape) sobre um incidente de segurança envolvendo informações como:

  • Nome completo;
  • Número de RG e CPF;
  • Endereço;
  • E-mail;
  • Telefone.

A Eletropaulo não informou diretamente a cliente sobre o vazamento. Diante disso, ela ingressou com uma ação judicial solicitando informações sobre o compartilhamento de seus dados, além de indenização por danos morais.

Decisões nas Instâncias Inferiores

Na primeira instância, a ação foi julgada improcedente. Já na segunda instância, o tribunal afastou os danos morais, mas determinou que a empresa fornecesse:

  • Informações sobre as entidades com as quais compartilhou os dados;
  • Critérios utilizados para o tratamento dos dados;
  • Finalidade do tratamento;
  • Cópia exata de todos os dados armazenados.

O Entendimento do STJ sobre a Responsabilidade Civil da Eletropaulo

No STJ, o debate se aprofundou. O tribunal destacou que a Eletropaulo, como agente de tratamento de dados, tinha o dever de tomar todas as medidas de segurança necessárias para proteger as informações de seus clientes, inclusive contra ataques hackers.

A decisão ressaltou que a LGPD prevê a adoção de:

  • Procedimentos claros de segurança;
  • Ferramentas adequadas;
  • Regras de governança;
  • Mecanismos de supervisão e mitigação de riscos.

Compliance de Dados: Uma Obrigação Essencial

O STJ enfatizou que o compliance de dados é essencial para garantir que empresas cumpram corretamente a LGPD. Isso envolve:

  • Transparência no tratamento de dados;
  • Adoção de regras claras;
  • Capacidade de provar que estáo seguindo a legislação.

Não basta declarar conformidade à LGPD, é preciso demonstrar, com fatos e ferramentas concretas, que as medidas de segurança estão sendo efetivamente aplicadas.

Exclusão de Responsabilidade Prevista na LGPD

O art. 43, inciso III, da LGPD prevê que agentes de tratamento só serão isentos de responsabilidade se comprovarem que o dano foi causado exclusivamente por:

  • Culpa do titular dos dados;
  • Culpa de terceiro.

Como a Eletropaulo não conseguiu provar que o vazamento ocorreu exclusivamente por um ataque hacker, a excludente de responsabilidade não foi aplicada.

Conclusão: O Precedente do STJ no Caso do Vazamento de Dados Envolvendo a Eletropaulo

A decisão do STJ reforça que a proteção de dados é uma obrigação legal das empresas que operam no Brasil. As organizações precisam agir com diligência na implementação de medidas de segurança e respeitar os direitos dos titulares.

Falhas nesse processo podem resultar em penalidades legais e responsabilidade indenizatória.

Essa decisão serve como um alerta importante para todas as empresas que realizam tratamento de dados pessoais no Brasil. Cumprir a LGPD não é apenas uma questão legal, mas também uma estratégia para garantir confiança e segurança para seus clientes.