Por unanimidade, 3ª turma do STJ decidiu que o vazamento de dados pessoais não sensíveis de clientes, decorrente de ataque hacker, não isenta a empresa de sua responsabilidade.
383128
O caso envolveu a Eletropaulo, cujo sistema foi invadido, resultando no vazamento de informações. A controvérsia girava em torno de dois pontos: se o vazamento de dados pessoais não sensíveis, causado por atividade ilícita, imputaria ao agente de tratamento as obrigações previstas no art. 19, inciso II, da LGPD, ou se a origem ilícita do vazamento configuraria excludente de responsabilidade, conforme o art. 43, III, da mesma lei.
Medidas de segurança
Ao analisar o recurso, o relator, ministro Ricardo Villas Bôas Cueva destacou que a EC 115/22 trouxe novo marco para os direitos da personalidade no ordenamento jurídico brasileiro.
Entendeu que a empresa, na condição de agente de tratamento de dados, tem o dever legal de adotar todas as medidas de segurança exigidas para proteger as informações pessoais.
Afirmou que os sistemas devem estar estruturados para atender aos requisitos de segurança, boas práticas de governança e aos princípios gerais previstos na LGPD e demais normas aplicáveis.
Veja o voto:
Ademais, o ministro ressaltou que a conformidade com a LGPD, conhecida como compliance de dados, é essencial para demonstrar a eficácia dos programas de proteção e segurança adotados pelas empresas.
Nesse contexto, o tratamento de dados pela Eletropaulo foi considerado irregular, pois não forneceu o nível de segurança que o titular poderia legitimamente esperar, considerando as circunstâncias do caso.
Seguindo o relator, a 3ª turma negou provimento ao recurso especial.
- Processo: REsp 2.147.374