publicações

Imagem - STJ confirma responsabilidade da Enel por vazamento de dados e reforça a necessidade de medidas de segurança proativas
Alerta Cível e Digital

STJ confirma responsabilidade da Enel por vazamento de dados e reforça a necessidade de medidas de segurança proativas

Na última semana, a Terceira Turma do Superior Tribunal de Justiça julgou o Recurso Especial nº 2147374, de Relatoria do Ministro Ricardo Villas Bôas Cueva, contendo debate a respeito do vazamento de dados pessoais não sensíveis.

A discussão levada a julgamento no recurso da ENEL consistia em definir se o vazamento de dados pessoais não sensíveis do titular, decorrente de atividade alegadamente ilícita (ataque cibernético por hackers), seria motivo suficiente para imputar responsabilidade ao agente de tratamento de dados, nos termos do art. 19, II, da LGPD, ou se configuraria uma hipótese de excludente dessa responsabilidade, prevista no art. 43, III, da LGPD.

O processo tramitou em São Paulo e, resumidamente, continha pedidos de cumprimento de obrigação de fazer e indenização por danos morais apresentados por uma consumidora que alegou ter recebido um comunicado do Instituto de Proteção de Dados Pessoais – Iprodape, do qual é associada, com notícia sobre incidente de segurança com os seguintes dados pessoais de sua titularidade: nome completo, números de RG e CPF, endereço e telefone.

O juiz de primeiro grau rejeitou todos os pedidos apresentados contra a ENEL. No entanto, o Tribunal de Justiça do Estado de São Paulo reformou a decisão para reconhecer a existência do vazamento dos dados pessoais não sensíveis da Autora, condenando a Enel a apresentar informação das entidades públicas e privadas com as quais realizou o uso compartilhado dos dados, fornecer declaração completa com a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, assim como a cópia exata de todos os dados referentes à titular constantes em seus arquivos.

Por sua vez, o Superior Tribunal de Justiça confirmou a decisão do Tribunal Paulista, por meio de julgamento que destaca as principais medidas de governança que deverão ser adotadas pelas empresas para o cumprimento dos princípios e diretrizes previstas na Lei Geral de Proteção de Dados Pessoais (“LGPD”).

Dentre os argumentos expostos na decisão do STJ, ganha destaque a afirmação de que a ENEL não conseguiu comprovar que a exposição indevida dos dados pessoais do titular decorreu, exclusivamente, do ataque cibernético do qual a empresa foi vítima. Nesse sentido, apesar da excludente de responsabilidade prevista na LGPD no caso de dano realizado exclusivamente por terceiro (art. 43, III, LGPD), a Corte entendeu que a ENEL não apresentou as medidas de segurança necessárias e suficientes à proteção dos dados pessoais, nos termos da legislação (art. 46, LGPD).

Além disso, também ficou decidido que os princípios da LGPD deverão ser observados na utilização de dados pessoais para suas atividades de negócio, em especial: i) a transparência – informações claras e precisas sobre os dados utilizadas e possíveis compartilhamentos (art. 6º, VI, LGPD); ii) segurança – utilização de medidas técnicas e administrativas aptas a proteger os dados de acessos não autorizados (art. 6º, VII) e; iii) responsabilização prestação de contas – demonstração das medidas adotadas para o cumprimento da legislação (art. 6, X, LGPD).

Adicionalmente, a Terceira Turma destacou que, na legislação anterior, a responsabilidade civil aplicável às questões ligadas a dados pessoais estava circunscrita às leis civis e ao Código de Defesa do Consumidor, de modo que o microssistema introduzido pela LGPD criou, ampliou e consolidou balizas para tratar desse mesmo tema sob o prisma da proteção aos direitos fundamentais.

Ainda de acordo com a decisão, há uma tendência muito forte na doutrina para a criação de um novo sistema de responsabilização civil, que vai além da análise e classificação da culpa (responsabilidades objetiva e subjetiva), denominando-se responsabilidade civil proativa.

Basicamente, os defensores de tal tese sustentam que não é suficiente cumprir os artigos da lei; mas será necessário também ‘demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, a eficácia dessas medidas. Portanto, ‘não descumprir a lei, não é mais suficiente’. (…) Exige-se, em síntese, atitudes conscientes, diligentes e proativas por parte das empresas em relação à utilização dos dados pessoais (Maria Celina Bodin de Moraes e João Quinelato de Queiroz, “Autodeterminação informativa e responsabilização proativa”, Cadernos Adenauer XX (2019) nº 3, p. 113).

Em razão disso, no caso exposto pela Enel, o tratamento de dados pessoais configurou-se como irregular quando deixou de fornecer a segurança que o titular dele poderia esperar (“expectativa de legítima proteção”), consideradas as circunstâncias relevantes, dentre as quais as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado. E também porque a Enel se enquadraria na categoria dos agentes de tratamento, cabendo-lhe tomar todas as medidas de segurança esperadas pelo titular para que suas informações fossem protegidas, a exemplo da utilização das técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.

A respeito do ataque hacker denunciado pela Enel, o entendimento da Corte foi no sentido de que a empresa não provou, perante as instâncias de origem, que o vazamento dos dados da Autora teria se dado exclusivamente em razão do incidente de segurança, razão pela qual é impossível aplicar a excludente de responsabilidade do art. 43, III, da LGPD. No artigo mencionado, a técnica de redação legislativa deixa claro que os agentes de tratamento “só não serão responsabilizados quando provarem que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro”, deixando claro é obrigação legal do agente provar a quebra do nexo causal (relação de causa e efeito) nessas hipóteses.

Em resumo, o STJ entendeu como correta a interpretação dada pelo TJSP, ao condenar a Enel a cumprir a obrigação de apresentar informação das entidades públicas e privadas com as quais realizou o uso compartilhado dos dados da consumidora (art. 18, VII, da LGPD) e a fornecer declaração completa que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, assim como a cópia exata de todos os dados referentes ao titular constantes em seus bancos de dados (art. 19, II, da LGPD).

As equipes Cível e Digital do Machado Nunes estão à disposição para auxiliar e sanar eventuais dúvidas advindas do tema em discussão bem como para condução das demandas relativas ao tema.