06 dez Empresas devem redobrar a cautela nas medidas de proteção de dados pessoais
Em recente julgamento envolvendo incidente de vazamento de dados por ataque hacker à Eletropaulo, a 3ª Turma do STJ decidiu relativizar a regra segundo a qual as empresas não são responsáveis por danos causados por culpa do titular ou de terceiros (art. 43, III, da LGPD). (STJ, REsp 2.147.374, 2024)
Segundo o Ministro Ricardo Villas Boas Cueva, a ocorrência do ataque hacker não seria, por si só, justificativa para isentar a empresa da responsabilidade pelo vazamento dos dados.
Isso porque, no caso, a Eletropaulo “tinha a obrigação legal de tomar todas as medidas de segurança esperadas pelo titular para que suas informações fossem protegidas, e seus sistemas utilizados para tratamento de dados pessoais deveriam estar estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas de governança e aos princípios gerais previstos na LGPD e nas demais normas regulamentares”. Também de acordo com o Ministro, “o tratamento de dados pessoais configurou-se como irregular quando deixou de fornecer a segurança que o titular deles poderia esperar, consideradas as circunstâncias relevantes, entre as quais as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado”.
Esta parece ser uma decisão isolada, aplicável ao caso específico da Eletropaulo.
No entanto, a mesma fundamentação poderá vir a ser adotada em outros casos, a depender das circunstâncias.
Por isso, recomenda-se às empresas que revejam as medidas de segurança atualmente aplicadas em seus negócios para adequá-las à melhor técnica existente no mercado.
A revisão deve considerar critérios como o volume de dados tratados; a sensibilidade desses dados; os possíveis danos que um vazamento poderia causar aos titulares; e os tipos de titulares que poderiam ser afetados.
Advogado Luiz Felipe Calábria Lopes