O tratamento de dados pessoais é considerado irregular quando não fornece o nível de segurança que o titular razoavelmente poderia esperar, considerando as circunstâncias relevantes do caso. Com base nesse entendimento, a 3ª Turma do Superior Tribunal de Justiça (STJ) confirmou a responsabilidade da Enel pelo vazamento de dados não sensíveis de uma consumidora, mesmo que o incidente tenha ocorrido devido a um ataque hacker.
No caso em questão, dados como nome completo, números de RG e CPF, endereço, e-mail e telefone da consumidora foram expostos após o ataque. A ação judicial foi movida com o objetivo de obter indenização da Enel, que na época do incidente ainda operava sob o nome Eletropaulo.
Argumentos da Enel
A empresa argumentou que o ataque hacker configurava ato de terceiro, o que poderia isentá-la de responsabilidade com base no artigo 43, inciso III, da Lei Geral de Proteção de Dados (LGPD).
No entanto, ao analisar o caso, o Tribunal de Justiça de São Paulo (TJ-SP) concluiu que, embora a empresa fosse responsável pelo vazamento, os dados expostos não eram sensíveis nem configuravam violação à dignidade humana da consumidora. Por essa razão, o TJ-SP afastou a condenação por danos morais, mas determinou que a Enel fornecesse uma declaração completa informando as entidades com as quais os dados foram compartilhados, conforme previsto no artigo 19, inciso II, da LGPD.
Decisão do STJ
Ao julgar o recurso especial, o ministro Ricardo Villas Bôas Cueva, relator do caso no STJ, manteve as conclusões do tribunal de apelação. Ele destacou que a Emenda Constitucional 115/2022 deu maior relevância à proteção de dados no ordenamento jurídico brasileiro, e que a Enel, como agente de tratamento de dados, tinha a obrigação legal de adotar medidas de segurança eficazes para proteger as informações armazenadas em seus sistemas.
Essa obrigação inclui a observância de requisitos de segurança, boas práticas e governança, além de seguir os princípios gerais da LGPD e normas complementares. A ocorrência do ataque hacker, segundo o ministro, evidencia uma falha na segurança dos sistemas da empresa.
“A irregularidade no tratamento de dados ocorre quando o nível de segurança oferecido não atende às expectativas razoáveis do titular, considerando as circunstâncias do caso”, enfatizou o relator. A decisão da 3ª Turma foi unânime, reafirmando a responsabilidade da empresa.
Via - CONJUR
Comentarios