O Superior Tribunal de Justiça (STJ) decidiu que empresa deve ser responsabilizada por vazamento de dados pessoais não sensíveis quando há falha na segurança. O caso envolve a Eletropaulo e uma cliente, titular dos dados pessoais.
A autora da ação recebeu um comunicado do Instituto de Proteção de Dados Pessoais (Iprodape) sobre um incidente de segurança envolvendo informações como:
- Nome completo;
- Número de RG e CPF;
- Endereço;
- E-mail;
- Telefone.
A Eletropaulo não informou diretamente a cliente sobre o vazamento. Diante disso, ela ingressou com uma ação judicial solicitando informações sobre o compartilhamento de seus dados, além de indenização por danos morais.
Decisões nas Instâncias Inferiores
Na primeira instância, a ação foi julgada improcedente. Já na segunda instância, o tribunal afastou os danos morais, mas determinou que a empresa fornecesse:
- Informações sobre as entidades com as quais compartilhou os dados;
- Critérios utilizados para o tratamento dos dados;
- Finalidade do tratamento;
- Cópia exata de todos os dados armazenados.
O Entendimento do STJ sobre a Responsabilidade Civil da Eletropaulo
No STJ, o debate se aprofundou. O tribunal destacou que a Eletropaulo, como agente de tratamento de dados, tinha o dever de tomar todas as medidas de segurança necessárias para proteger as informações de seus clientes, inclusive contra ataques hackers.
A decisão ressaltou que a LGPD prevê a adoção de:
- Procedimentos claros de segurança;
- Ferramentas adequadas;
- Regras de governança;
- Mecanismos de supervisão e mitigação de riscos.
O Tribunal aborda o debate doutrinário sobre os regimes de responsabilidade civil objetiva e subjetiva na LGPD. Nesse contexto, argumenta-se que a LGPD estabeleceu um modelo de responsabilidade civil que vai além dessas duas vertentes, caracterizando-se como uma responsabilidade civil proativa.
A responsabilidade proativa refere-se à obrigação das empresas de adotar medidas preventivas e demonstrar ativamente que estão em conformidade com as exigências da Lei Geral de Proteção de Dados. Em outras palavras, as empresas não podem apenas cumprir a LGPD de forma reativa (após o incidente acontecer), mas devem ser proativas, ou seja, devem tomar medidas concretas e eficazes para proteger os dados pessoais desde o início do seu tratamento – o que não aconteceu no presente caso em análise, de acordo com as decisões.
Compliance de Dados: Uma Obrigação Essencial
O STJ enfatizou que o compliance de dados é essencial para garantir que empresas cumpram corretamente a LGPD. Isso envolve:
- Transparência no tratamento de dados;
- Adoção de regras claras;
- Capacidade de provar que estão seguindo a legislação.
Não basta declarar conformidade à LGPD, é preciso demonstrar, com fatos e ferramentas concretas, que as medidas de segurança estão sendo efetivamente aplicadas.
Exclusão de Responsabilidade Prevista na LGPD
O art. 43, inciso III, da LGPD prevê que agentes de tratamento só serão isentos de responsabilidade se comprovarem que o dano foi causado exclusivamente por:
- Culpa do titular dos dados;
- Culpa de terceiro.
Como a Eletropaulo não conseguiu provar que o vazamento ocorreu exclusivamente por um ataque hacker, a excludente de responsabilidade do art. 43, III, da LGPD não foi aplicada.
Conclusão: O Precedente do STJ no Caso do Vazamento de Dados Envolvendo a Eletropaulo
A decisão do STJ reforça que a proteção de dados é uma obrigação legal das empresas que operam no Brasil. As organizações precisam agir com diligência na implementação de medidas de segurança e respeitar os direitos dos titulares.
Falhas nesse processo podem resultar em penalidades legais e responsabilidade indenizatória.
Essa decisão serve como um alerta importante para todas as empresas que realizam tratamento de dados pessoais no Brasil. Cumprir a LGPD não é apenas uma questão legal, mas também uma estratégia para garantir confiança e segurança para seus clientes.