RECURSO ESPECIAL N° 2.147.374/SP – MIN. RICARDO VILLAS BÔAS CUEVA

TESE

Por votação unânime, a 3ª Turma do STJ entendeu que é possível responsabilizar empresa vítima de ataque hacker pelo vazamento de dados dos seus clientes, de acordo com o voto do relator, ministro Ricardo Villas Bôas Cueva. O ministro destacou que a empresa atua, na relação com seus clientes, como agente de tratamento de dados e deve, portanto, adotar todas as medidas de segurança cabíveis para a proteção das informações pessoais. Além disso, afirmou que os seus sistemas utilizados para o tratamento de dados pessoais devem estar devidamente estruturados, de acordo com os requisitos de segurança, boas práticas de governança e os princípios gerais previstos na Lei Geral de Proteção de Dados Pessoais (LGPD) e demais normas aplicáveis. Por fim, ressaltou a necessidade de as empresas manterem a conformidade com a LGDP, para que os programas de proteção e segurança adotados se mostrem eficazes.

EMENTA: “RECURSO ESPECIAL. LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS. DIREITO À PRIVACIDADE, À LIBERDADE E À AUTODETERMINAÇÃO INFORMATIVA. AGENTE DE TRATAMENTO. VAZAMENTO DE DADOS NÃO SENSÍVEIS DO TITULAR. INCIDENTE DE SEGURANÇA. ATAQUE HACKER. RESPONSABILIDADE EXCLUSIVA DE TERCEIRO. NÃO COMPROVADA. RESPONSABILIDADE CIVIL PROATIVA. EXPECTATIVA DE LEGÍTIMA PROTEÇÃO. COMPLIANCE E REGULAÇÃO DE RISCO DA ATIVIDADE. DIREITOS DO TITULAR. CONCRETIZAÇÃO. APLICABILIDADE.

  1. A controvérsia jurídica consiste em definir se o vazamento de dados pessoais não sensíveis do titular, decorrente de atividade alegadamente ilícita, é passível de imputar ao agente de tratamento de dados as obrigações previstas no art. 19, II, da LGPD, ou se o fato de tal vazamento ter decorrido de atividade ilícita seria uma excludente de responsabilidade, prevista no art. 43, III, da LGPD.
  2. Ao inscrever a proteção e o tratamento de dados pessoais no rol dos direitos e garantias fundamentais da Constituição (art. 5º, LXXIX), a Emenda Constitucional nº 115/2022 inaugurou um novo capítulo no ordenamento jurídico brasileiro no que tange aos direitos de personalidade, à liberdade e à autodeterminação informativa.
  3. A empresa recorrente, pelo fato de se enquadrar na categoria dos agentes de tratamento, tinha a obrigação legal de tomar todas as medidas de segurança esperadas pelo titular para que suas informações fossem protegidas, e seus sistemas utilizados para o tratamento de dados pessoais deveriam estar estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na LGPD e às demais normas regulamentares.
  4. Compliance de dados é o esforço de conformidade e de aplicação da LGPD nas atividades das empresas que lidam com tratamento de dados. Referido instrumento assume importância central ao induzir não apenas à obediência ao direito, mas também à comprovação da efetividade dos programas de conformidade.
  5. O tratamento de dados pessoais configurou-se como irregular quando deixou de fornecer a segurança que o titular dele poderia esperar ("expectativa de legítima proteção"), consideradas as circunstâncias relevantes, entre as quais as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado (art. 44, III, da LGPD).
  6. Ao não provar, perante as instâncias ordinárias, que o vazamento dos dados da recorrida teria se dado exclusivamente em razão do incidente de segurança, é impossível aplicar em favor da recorrente a excludente de responsabilidade do art. 43, III, da LGPD.
  7. Assim, correta a conclusão do TJSP de concretizar os direitos do titular ao condenar a recorrente na obrigação de apresentar informação das entidades públicas e privadas com as quais realizou o uso compartilhado dos dados da recorrida (art. 18, VII, da LGPD) e a fornecer declaração completa que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, bem como a cópia exata de todos os dados referentes ao titular constantes em seus bancos de dados (art. 19, II, da LGPD).

8. Recurso especial não provido.”