Por Isabel Cesse
A 3ª Turma do Superior Tribunal de Justiça (STJ) decidiu, por unanimidade, que empresas que foram alvo de vazamento de dados pessoais de consumidores por ataque hacker devem sempre responder pelos danos causados.
Num recurso apresentado ao Tribunal pela Empresa Enel, que assumiu a extinta Eletropaulo, a empresa argumentou que como o vazamento, decorreu de atividade ilícita externa e por terem sido atingidos dados considerados “não sensíveis” de consumidores (ou não sigilosos) ela não deveria ser responsabilizada, uma vez que também saiu prejudicada com o episódio.
Mas para o relator, ministro Ricardo Villas Bôas Cueva, a Emenda Constitucional 115/22 (referente à proteção de dados pessoais) trouxe “novo marco para os direitos da personalidade no ordenamento jurídico brasileiro”. O que leva ao entendimento de que a empresa, na condição de agente de tratamento de dados, “tem o dever legal de adotar todas as medidas de segurança exigidas para proteger as informações pessoais”.
Villas Bôas Cueva destacou que os sistemas de todas as empresas brasileiras precisam “estar estruturados para atender aos requisitos de segurança, com boas práticas de governança e princípios gerais previstos na Lei Geral de Proteção de Dados (LGPD) e demais normas aplicáveis”.
Com base no voto do relator, o colegiado da turma considerou, portanto, que o tratamento de dados por parte da Eletropaulo no episódio foi irregular, uma vez que a empresa “não forneceu o nível de segurança que as pessoas que tiveram dados vazados poderiam legitimamente esperar, considerando as circunstâncias do caso”.
Deixe um comentário