O tratamento de dados pessoais configura-se irregular quando deixa de fornecer a segurança que o titular poderia esperar, consideradas as circunstâncias relevantes do caso.

Com esse entendimento, a 3ª Turma do Superior Tribunal de Justiça confirmou que a Enel tem responsabilidade pelo vazamento de dados não sensíveis de uma consumidora, após um ataque hacker.

A consumidora teve expostos nome completo, números de RG e CPF, endereço, endereço de e-mail e telefone. A ação foi ajuizada para cobrar indenização da empresa, que à época se chamava Eletropaulo.

A Enel, por sua vez, apontou que o ataque hacker é ato de terceiro apto a justificar a excludente de responsabilidade, conforme prevista no artigo 43, inciso III, da Lei Geral de Proteção de Dados.

Quando analisou o caso, o Tribunal de Justiça de São Paulo reconheceu a responsabilidade da empresa, mas não vislumbrou violação à dignidade humana da consumidora, já que os dados expostos não são sensíveis, mas de fácil acesso.

O TJ-SP afastou a condenação ao pagamento de indenização, mas impôs que a Enel apresentasse informação das entidades com as quais fez uso compartilhado dos dados, fornecendo declaração completa que indique sua origem, registro e critérios.

Responsabilidade existente

Essa obrigação é uma possibilidade que consta do artigo 19, inciso II, da LGPD. Ao analisar o caso, o relator do recurso especial, ministro Ricardo Villas Bôas Cueva, decidiu manter as conclusões do tribunal de apelação.

Ele destacou que a Emenda Constitucional 115/2022 elevou a importância da proteção de dados e inaugurou um novo capítulo sobre o tema no ordenamento jurídico brasileiro. Além disso, explicou que a Enel, por se enquadrar na categoria dos agentes de tratamento de dados, tinha a obrigação legal de tomar todas as medidas de segurança esperadas para que as informações fossem protegidas em seus sistemas.

Isso significa atender a requisitos de segurança e padrões de boas práticas e governança, além de princípios gerais previstos na LGPD e nas demais normas complementares. A ocorrência do ataque hacker mostra uma falha da empresa.

“O tratamento de dados pessoais configura-se irregular quando deixa de fornecer a segurança que titular poderia esperar, consideradas circunstâncias relevantes do caso”, apontou. A votação na 3ª Turma foi unânime.

REsp 2.147.374

Fonte: Conjur

Deixe um comentário