Em decisão recente, no REsp 2.147.374/SP, a 3ª Turma do Superior Tribunal de Justiça (STJ) reconheceu a responsabilidade de empresa pelo vazamento de dados pessoais cadastrais de uma consumidora, mesmo com o vazamento decorrente de um ataque hacker.

No caso, a consumidora, que teve informações como nome, CPF, RG, endereço e telefone vazados, postulou ação judicial de indenização contra a empresa Enel, que havia recebido os dados que acabaram sendo vazados. Em sua defesa, a Enel alegou que não teria responsabilidade sobre o vazamento, pois, conforme o artigo 43 da LGPD (Lei Geral de Proteção de Dados), a responsabilidade seria exclusiva de terceiros, em razão da ação do hacker.

Contudo, o relator do caso, ministro Ricardo Villas Bôas Cueva, refutou esse argumento, ressaltando que, independentemente da origem do incidente, a empresa, como agente de tratamento de dados, tinha a obrigação de adotar as medidas necessárias para proteger as informações de seus clientes. Em outras palavras, o ataque hacker não excluiu a responsabilidade da empresa.

Na decisão, o relator ressaltou que, ao inscrever a proteção de dados na relação de direitos e garantias fundamentais da Constituição, a Emenda Constitucional 115/2022 expandiu o entendimento acerca dos direitos de personalidade e passou a dar proteção constitucional aos dados pessoais. Com base nessa constatação e nas obrigações que a LGPD impõe aos agentes de tratamento de dados, os sistemas utilizados pela Enel para tratamento de dados deveriam estar devidamente estruturados de modo a garantir a segurança dos dados pessoais, o que não se verificou na prática.

Concluiu a decisão que cabe às empresas não só implementar as medidas técnicas e administrativas capazes de reduzir ou evitar vazamentos, mas também comprovar a efetividade de seus programas de conformidade de dados.

O julgamento serve como um alerta para que as empresas se ajustem de maneira mais rigorosa às exigências de segurança da informação e compliance de dados, a fim de evitar, não apenas danos aos consumidores e o prejuízo reputacional à marca, mas também sanções administrativas ou indenizações judicialmente impostas.