Por Alexandre Atheniense

O recente julgamento da 3ª Turma do STJ, que atribuiu responsabilidade à Eletropaulo pelo vazamento de dados de clientes mesmo após um ataque hacker, marca um momento crucial para a interpretação da Lei Geral de Proteção de Dados (LGPD) e do novo marco constitucional dos direitos da personalidade introduzido pela Emenda Constitucional 115/2022.

1. Responsabilidade objetiva e o dever de segurança

A decisão reforça que, enquanto agentes de tratamento de dados, as empresas têm um dever legal e contínuo de assegurar a proteção das informações pessoais que gerenciam. Isso independe de fatores externos, como ataques cibernéticos. A base legal para essa responsabilidade encontra-se nos princípios da LGPD, especialmente os relacionados à segurança e à prevenção.

O ponto central aqui é que a responsabilidade da empresa não é afastada apenas porque o vazamento decorreu de uma atividade ilícita de terceiros. Esse entendimento é sustentado pelo art. 43 da LGPD, que exige a demonstração de medidas eficazes de segurança para configurar uma possível excludente de responsabilidade.

2. Novo marco constitucional

A EC 115/2022, que elevou a proteção de dados pessoais ao rol dos direitos fundamentais, fortalece a autonomia e a autodeterminação informativa dos cidadãos. A decisão do STJ segue essa linha ao enfatizar que o dever de proteção é mais do que uma obrigação contratual; é um reflexo de um direito fundamental à privacidade e à segurança informacional.

3. Compliance e governança em proteção de dados

O voto do relator destaca a importância do compliance de dados como ferramenta para demonstrar que a empresa não apenas cumpre a lei, mas também adota boas práticas e padrões de governança. Empresas que investem em compliance robusto conseguem mitigar riscos e, em alguns casos, demonstrar a ausência de negligência em situações de vazamento.

No caso em questão, o tribunal entendeu que a Eletropaulo falhou ao não fornecer um nível de segurança que fosse razoavelmente esperado pelos titulares de dados. Isso implica que as medidas adotadas eram insuficientes ou inadequadas em face dos riscos conhecidos.

4. Impacto prático da decisão

Essa decisão serve como um alerta para empresas em todos os setores, enfatizando que a conformidade com a LGPD vai além da mera formalidade. A implementação de medidas técnicas e organizacionais efetivas é essencial para evitar responsabilizações, mesmo em casos de ataques cibernéticos sofisticados.

Além disso, a jurisprudência caminha no sentido de reforçar que as empresas não podem se eximir de sua responsabilidade pela origem do incidente, a menos que demonstrem ter implementado todas as medidas de segurança possíveis e adequadas, conforme os padrões tecnológicos disponíveis.

5. Perspectivas futuras

O julgamento reflete uma tendência de endurecimento no tratamento de casos envolvendo vazamento de dados, exigindo que as empresas se adaptem rapidamente às demandas legais. Com isso, o mercado deverá observar um aumento nos investimentos em cibersegurança e na revisão de programas de governança e compliance em proteção de dados.

Em resumo, o STJ não apenas reafirmou o dever das empresas de protegerem os dados que tratam, mas também consolidou a interpretação de que o descumprimento dessa obrigação será tratado com rigor. Essa decisão contribui para a construção de um ambiente de maior segurança e transparência na relação entre empresas e consumidores, fortalecendo a confiança no ecossistema digital brasileiro.