top of page
18 de dez.2 min de leitura

STJ: Empresa responde por dados de clientes vazados após ataque hacker

Segundo entendimento recente da 3º turma do STJ, uma empresa será responsável pelo vazamento de dados, independente da origem deste vazamento.




O caso é relacionado a Eletropaulo, que teve o seu sistema invadido por hackers, culminando no vazamento de dados pessoais dos clientes.


A controvérsia girava em torno de dois pontos:

  • se o vazamento de dados pessoais não sensíveis, causado por atividade ilícita, imputaria ao agente de tratamento as obrigações previstas no art. 19, inciso II, da LGPD, ou;

  • se a origem ilícita do vazamento configuraria excludente de responsabilidade, conforme o art. 43, III, da mesma lei.



Na análise do caso, o STJ destacou que a EC 115/22 trouxe novo marco para os direitos da personalidade no ordenamento jurídico brasileiro, ao colocar a proteção de dados no rol dos direitos fundamentais.


Ainda, entendeu-se que a empresa, na condição de agente de tratamento de dados, tem o dever legal de adotar todas as medidas de segurança exigidas para proteger as informações pessoais e que os seus  sistemas devem estar preparados em conformidade, a fim de  atender aos requisitos de segurança, boas práticas de governança e aos princípios gerais previstos na LGPD.


O Ministro relator da decisão ressaltou, ainda, que a conformidade com a Lei Geral de Proteção de dados é imprescindível para demonstrar a eficácia dos programas de proteção e segurança adotados pelas empresas, e, por conta disto, o tratamento de dados pela Eletropaulo foi considerado irregular, pois não forneceu o nível de segurança que o titular poderia legitimamente esperar, considerando as circunstâncias do caso.


Ou seja, a empresa tem obrigação de estar em conformidade com a lei e se responsabiliza pela não segurança dos dados pessoais aos quais trata.


É importante observarmos que essa decisão tem suma importância, uma vez que renova o posicionamento do Tribunal, que afirmava que no caso de vazamento de dados comuns, ou seja, não sensíveis, a responsabilidade das empresas só aconteceriam no caso de culpa pelo incidente.


Processo: REsp 2.147.374

2 visualizações

Comments

Rated 0 out of 5 stars.
No ratings yet
Add a rating
bottom of page