O Superior Tribunal de Justiça (STJ), ao julgar o REsp nº 2.147.374/SP, analisou a responsabilidade dos agentes de tratamento de dados diante do vazamento de informações pessoais não sensíveis em decorrência de ataques cibernéticos.

A controvérsia discutida no julgamento envolveu a empresa Eletropaulo Metropolitana Eletricidade de São Paulo S.A. e tratou da aplicação do art. 19, II, da Lei Geral de Proteção de Dados Pessoais (LGPD), que prevê a obrigação de fornecimento de informações ao titular dos dados.

O ponto central da discussão foi definir se o vazamento decorrente de ataque hacker configuraria uma excludente de responsabilidade prevista no art. 43, III, da LGPD (culpa exclusiva de terceiro) ou se, mesmo nessas circunstâncias, o agente de tratamento continuaria responsável pelo cumprimento das obrigações impostas pela legislação.

A Terceira Turma do STJ entendeu que, mesmo diante de um incidente de segurança, cabe ao agente de tratamento comprovar a adoção de todas as medidas técnicas e administrativas adequadas para garantir a proteção dos dados, conforme os princípios da LGPD.

No caso concreto, não foi demonstrado que o vazamento ocorreu exclusivamente em razão do ataque cibernético, motivo pelo qual foi mantida a determinação para que a empresa fornecesse informações à titular dos dados sobre: as entidades públicas e privadas com as quais os dados foram compartilhados (art. 18, VII, da LGPD); a origem dos dados, inexistência de registro, critérios utilizados e finalidade do tratamento, além da cópia exata das informações armazenadas (art. 19, II, da LGPD).

O STJ destacou que os agentes de tratamento devem observar o princípio da “expectativa de legítima proteção”, o que implica a implementação de medidas eficazes de segurança e compliance àqueles que atuam no mercado.

Paulo Bezerra de Menezes Reiff – paulo@reiff.com.br