top of page

STJ: Empresa responde por dados de clientes vazados após ataque hacker

  • Foto do escritor: Letícia Sell
    Letícia Sell
  • 18 de dez. de 2024
  • 2 min de leitura

Segundo entendimento recente da 3º turma do STJ, uma empresa será responsável pelo vazamento de dados, independente da origem deste vazamento.




O caso é relacionado a Eletropaulo, que teve o seu sistema invadido por hackers, culminando no vazamento de dados pessoais dos clientes.


A controvérsia girava em torno de dois pontos:

  • se o vazamento de dados pessoais não sensíveis, causado por atividade ilícita, imputaria ao agente de tratamento as obrigações previstas no art. 19, inciso II, da LGPD, ou;

  • se a origem ilícita do vazamento configuraria excludente de responsabilidade, conforme o art. 43, III, da mesma lei.



Na análise do caso, o STJ destacou que a EC 115/22 trouxe novo marco para os direitos da personalidade no ordenamento jurídico brasileiro, ao colocar a proteção de dados no rol dos direitos fundamentais.


Ainda, entendeu-se que a empresa, na condição de agente de tratamento de dados, tem o dever legal de adotar todas as medidas de segurança exigidas para proteger as informações pessoais e que os seus  sistemas devem estar preparados em conformidade, a fim de  atender aos requisitos de segurança, boas práticas de governança e aos princípios gerais previstos na LGPD.


O Ministro relator da decisão ressaltou, ainda, que a conformidade com a Lei Geral de Proteção de dados é imprescindível para demonstrar a eficácia dos programas de proteção e segurança adotados pelas empresas, e, por conta disto, o tratamento de dados pela Eletropaulo foi considerado irregular, pois não forneceu o nível de segurança que o titular poderia legitimamente esperar, considerando as circunstâncias do caso.


Ou seja, a empresa tem obrigação de estar em conformidade com a lei e se responsabiliza pela não segurança dos dados pessoais aos quais trata.


É importante observarmos que essa decisão tem suma importância, uma vez que renova o posicionamento do Tribunal, que afirmava que no caso de vazamento de dados comuns, ou seja, não sensíveis, a responsabilidade das empresas só aconteceriam no caso de culpa pelo incidente.


Processo: REsp 2.147.374

 
 
 

Comments

Rated 0 out of 5 stars.
No ratings yet
Add a rating
bottom of page