Por Terra Rocha Advogados
O Superior Tribunal de Justiça (STJ) reforçou, no julgamento do Recurso Especial nº 2.147.374/SP, que empresas que tratam dados pessoais são responsáveis pela segurança dessas informações, mesmo em casos de ataques cibernéticos. O entendimento confirma que não basta alegar que o vazamento foi causado por terceiros para afastar a responsabilidade, sendo essencial comprovar a adoção de medidas eficazes de proteção de dados.
A Decisão do STJ
A controvérsia envolvia uma consumidora cujos dados pessoais – como nome, CPF, endereço e telefone – foram expostos indevidamente. A empresa alegou que o incidente decorreu de um ataque hacker e, por isso, não deveria ser responsabilizada. No entanto, o STJ entendeu que a empresa não conseguiu comprovar que adotou medidas adequadas para garantir a segurança dos dados, conforme exigido pela Lei Geral de Proteção de Dados (LGPD).
A decisão reafirma a responsabilidade proativa dos agentes de tratamento, exigindo que as empresas demonstrem a implementação de boas práticas, governança e segurança da informação. A falta de comprovação da adoção dessas medidas impede que a empresa utilize a excludente de responsabilidade prevista no artigo 43, III, da LGPD, que se aplica somente quando o dano decorre exclusivamente de culpa do titular ou de terceiro.
O Que as Empresas Devem Fazer?
Diante desse posicionamento, as organizações devem fortalecer suas práticas de proteção de dados e demonstrar que adotam medidas efetivas de segurança e compliance. Isso inclui:
✔ Implementação de políticas internas de proteção de dados;
✔ Investimento em segurança cibernética para mitigar riscos de ataques;
✔ Monitoramento contínuo de acessos e incidentes;
✔ Treinamento de funcionários sobre boas práticas em proteção de dados;
✔ Transparência no compartilhamento de dados com terceiros.
Além disso, a decisão do STJ enfatiza a obrigação das empresas de fornecer informações claras e detalhadas para concretizar os direitos dos titulares, conforme os artigos 18 e 19 da LGPD. Isso inclui a indicação da origem dos dados, a finalidade do tratamento, os critérios utilizados e as entidades com as quais as informações foram compartilhadas.
Conclusão
A jurisprudência do STJ reforça que a proteção de dados pessoais não é apenas um requisito legal, mas um dever das empresas, que devem atuar de forma proativa para evitar incidentes e garantir a segurança da informação. A falta de comprovação de medidas preventivas pode resultar na responsabilização da organização, mesmo em casos de ataques cibernéticos.
Manter um programa de governança em dados pessoais, investir em segurança da informação e garantir a transparência no tratamento de dados são fundamentais para evitar riscos e sanções.