Marcada pela crescente interconexão e pela coleta massiva de dados, a era digital trouxe consigo um dos maiores desafios da atualidade: os vazamentos de informações pessoais. A facilidade com que dados pessoais e sensíveis podem ser acessados indevidamente expõe milhões de pessoas a riscos como fraudes, roubos de identidade e danos à reputação.
Em dezembro de 2024, a Terceira Turma do Superior Tribunal de Justiça julgou o Recurso Especial nº 2.147.374, extraído de ação de obrigação de fazer cumulada com pedido de indenização por danos morais. A ação foi ajuizada por uma consumidora que foi afetada pelo ataque cibernético sofrido pela Enel, expondo dados pessoais não sensíveis da Autora, especificamente seu nome completo, RG, CPF, endereço e telefone.
A controvérsia central era definir se a ocorrência de um ataque hacker, por si só, excluiria a responsabilidade do agente de tratamento, por se tratar de “culpa exclusiva de terceiro” nos termos do artigo 43, inciso III, da LGPD, ou se, mesmo quando for vítima desse tipo de ataque, o agente seria responsável civilmente por ter falhado no dever de adotar medidas de segurança eficazes, com base no artigo 19, inciso II da mesma Lei.
A sentença proferida em primeira instância julgou improcedente todos os pedidos formulados pela Autora contra a Enel. Em segunda instância, após Recurso de Apelação interposto pela Autora, o Tribunal de Justiça de São Paulo reformou a decisão apenas no sentido de reconhecer a ocorrência do vazamento de dados pessoais da consumidora, determinando que a Enel prestasse informações sobre as entidades públicas e privadas com as quais compartilhou dados, fornecendo declaração completa que indique sua origem, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, assim como a cópia exata de todos os dados referentes ao titular constantes em seus bancos de dados, conforme dispõe o art. 19, II, da LGPD.
Após a decisão do TJSP, a Enel interpôs Recurso Especial alegando violação dos arts. 18, inciso VII, e 19, inciso II, ambos da LGPD, no sentido de que a obrigação de fornecer declaração completa que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, assim como a cópia exata de todos os dados referentes ao titular constantes em seus bancos de dados, é aplicável apenas aos casos em que há um compartilhamento lícito dos dados.
Em outras palavras, a empresa acredita que o cumprimento das obrigações fixadas pelo TJSP e posteriormente ratificadas pelo STJ não se aplicam a situações em que os dados foram obtidos de forma ilícita, como em um ataque cibernético.
O Superior Tribunal de Justiça confirmou a decisão do TJSP, entendendo que, mesmo que a LGPD preveja hipótese de exclusão de responsabilidade em caso de dano realizado exclusivamente por terceiro, a ENEL não apresentou medidas de segurança necessárias e suficientes à proteção de dados pessoais, conforme também previsto pela LGPD em seu artigo 46.
Com o objetivo de elucidar a posição do Superior Tribunal de Justiça (STJ) acerca da responsabilidade civil da Enel no caso em tela, leia-se, a seguir, trechos relevantes do referido acórdão:
“Um vazamento de dados nem sempre será reconhecido como fortuito externo, portanto apto a elidir a responsabilidade civil do agente. A doutrina assevera que ‘poder-se-ia definir a ação como fortuito interno, uma vez que a segurança de um sistema informático que lide com informações sensíveis é um pressuposto a ser esperado da atividade empresarial. Exemplificadamente, a adoção de padrões mínimos de autenticação e autorização de acesso a aplicações na rede, como o protocolo HTTPS, é pressuposto para o funcionamento e a confiança em serviços na internet. Comparativamente, a Súmula nº 479 do Superior Tribunal de Justiça estipula que delitos praticados por terceiros no âmbito de operações bancárias configuram-se fortuito interno da atividade, desencadeando responsabilização objetiva das instituições financeiras.’ (Jordan Vinícius de Oliveira. Revista Brasileira de Direito Civil – RBDCivil, v. 31, n. 1, p. 17-56, jan./mar. 2022).
Da mesma forma, o tratamento de dados pessoais ora analisado configurou-se como irregular quando deixou de fornecer a segurança que o titular dele poderia esperar (“expectativa de legítima proteção”), consideradas as circunstâncias relevantes, entre as quais as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado (art. 44, III, da LGPD).
Assim, ao não provar, perante as instâncias de origem, que o vazamento dos dados da recorrida teria se dado exclusivamente em razão do incidente de segurança, é impossível aplicar em favor da recorrente a excludente de responsabilidade do art. 43, III, da LGPD. No artigo mencionado, a técnica de redação legislativa deixa claro que os agentes de tratamento ‘só não serão responsabilizados quando provarem que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro’ (destacou-se), deixando claro o ônus legal deste ente em provar a quebra do nexo causal nessas hipóteses.”.
Ao responsabilizar a Enel, o STJ sinaliza, a meu ver acertadamente, que as empresas não conseguirão se eximir de seu dever de tratar dados pessoais com segurança. Trata-se de um importante precedente para incentivar a iniciativa privada a investir em segurança da informação e ser proativa na adoção de medidas técnicas para proteger os dados pessoais de seus clientes, servindo de alerta, principalmente, à parcela do empresariado que acredita que “a LGPD não vai pegar”.
Apesar desse acerto, penso que o acórdão também inaugura uma perigosa linha de interpretação da LGPD. Esse entendimento pode ser nocivo para empresas de menor porte, que tendem a ser menos estruturadas do ponto de vista de infraestrutura de tecnologia e a dispor de menos recursos financeiros para investimentos dessa natureza. As PMEs correspondem a 99% de todos as pessoas jurídicas abertas no país e são responsáveis por 30% do PIB nacional, segundo o SEBRAE.[1]
Outro aspecto que chama atenção nas decisões proferidas nesse caso (sentença, acórdão do TJSP e acordão do STJ) é que o Judiciário não parece ter levado em consideração as medidas técnicas de segurança adotadas pelo agente de tratamento. Tais medidas de salvaguarda não são citadas em nenhuma das três decisões acima.
A ausência desse enfrentamento desprestigia a chamada “abordagem baseada em risco” adotada pela LGPD. Na prática, cada tratamento de dados pessoais envolve diferentes níveis de risco, que dependem de fatores como os tipos de dados tratados, a finalidade do tratamento, o contexto, o volume de dados e outros aspectos. Esses diferentes graus de risco exigem mecanismos de prevenção e reparação de riscos diferentes.
Ao exigir a adoção de medidas “eficazes” para a proteção dos dados pessoais (art. 6º, inc. X), a LGPD calibra os deveres de prevenção e precaução do agente de tratamento de acordo com o risco específico de sua atividade.
A “abordagem baseada em risco” é essa “calibragem” que propõe a adoção de medidas de segurança proporcionais à criticidade do tratamento de dados pessoais realizado por cada agente. Apesar do acerto o STJ, penso que se o acordão tivesse explorado as medidas técnicas e organizacionais adotadas pela Enel no caso em comento, o decisum estaria mais alinhado com a arquitetura de responsabilização civil idealizada pelo legislador.
[1]https://www.sebrae-sc.com.br/blog/qual-o-papel-das-pequenas-empresas-na-economia-brasileira
