PUBLICAÇÕES

A 3ª Turma do Superior Tribunal de Justiça (STJ) decidiu pela responsabilização de empresa pelo vazamento de dados pessoais de uma consumidora após um ataque hacker. No caso, dados não sensíveis como nome, CPF, RG, endereço, e-mail e telefone foram expostos. A Enel argumentou que o ataque hacker configuraria uma excludente de responsabilidade, embasado no art. 43, III da LGPD.

O relator da decisão, ministro Ricardo Villas Bôas Cueva, fundamentou seu voto com base na obrigação das empresas de tratamento de dados pessoais de adotar todas as medidas de segurança razoáveis para proteger as informações dos consumidores. Ele ressaltou que, mesmo que o ataque tenha sido realizado por um terceiro, a empresa não se exime de sua responsabilidade, pois a LGPD exige que as organizações implementem sistemas e protocolos para evitar incidentes de segurança.

Ele argumentou que, sob a ótica da LGPD, a responsabilidade das empresas não se limita apenas aos casos de dolo ou erro direto, mas inclui também as falhas em proteger os dados contra ataques externos, quando estas falhas são resultado de negligência ou falta de medidas de segurança adequadas.

A decisão, portanto, não só estabelece uma linha de atuação para o cumprimento da LGPD, mas também amplia a responsabilidade das empresas em relação à proteção de dados, mesmo em situações envolvendo terceiros, como ataques hacker. Além de reforçar a importância da implementação de medidas de segurança e governança, a sentença sinaliza a crescente responsabilidade das empresas na proteção dos dados pessoais de seus clientes.