Os ministros que integram a 3ª Turma do Superior Tribunal de Justiça decidiram, por unanimidade, que empresas que foram alvo de qualquer vazamento de dados pessoais de consumidores por ataque hacker devem sempre responder pelos danos causados, por menor ou menos sensíveis que os dados sejam considerados.
O caso em julgamento envolve uma invasão no sistema da antiga Eletropaulo, que resultou no vazamento de informações de clientes. O recurso interposto ao STJ questionou se o vazamento, por ter sido de dados pessoais considerados “não sensíveis”, provocado por atividade ilícita, deveria ter como responsável a empresa — uma vez que esta também foi prejudicada.
Conforme o voto do relator, ministro Ricardo Villas Bôas Cueva, a Emenda Constitucional 115/22 (referente à proteção de dados pessoais) trouxe “novo marco para os direitos da personalidade no ordenamento jurídico brasileiro”. “Por isso, com base na EC, a empresa, na condição de agente de tratamento de dados, tem o dever legal de adotar todas as medidas de segurança exigidas para proteger as informações pessoais”, enfatizou o magistrado.
Villas Bôas Cueva destacou que os sistemas de todas as empresas brasileiras precisam “estar estruturados para atender aos requisitos de segurança, com boas práticas de governança e princípios gerais previstos na Lei Geral de Proteção de Dados (LGPD) e demais normas aplicáveis”.
Com base no voto do relator, o colegiado da turma considerou, portanto, que o tratamento de dados por parte da Eletropaulo no episódio foi irregular, uma vez que a empresa “não forneceu o nível de segurança que as pessoas que tiveram dados vazados poderiam legitimamente esperar, considerando as circunstâncias do caso”.
