Institucional Consultoria Eletrônica

Ataque hacker não exclui responsabilidade por proteção de dados


Publicada em 12/12/2024 às 14:00h 



O tratamento de dados pessoais configura-se irregular quando deixa de fornecer a segurança que o titular poderia esperar, consideradas as circunstâncias relevantes do caso.

Ataque hacker aos sistemas da Eletropaulo permitiu vazamento de dados pessoais não sensíveis de uma consumidora

Com esse entendimento, a 3ª Turma do Superior Tribunal de Justiça confirmou que a Enel tem responsabilidade pelo vazamento de dados não sensíveis de uma consumidora, após um ataque hacker.

A consumidora teve expostos nome completo, números de RG e CPF, endereço, endereço de e-mail e telefone. A ação foi ajuizada para cobrar indenização da empresa, que à época se chamava Eletropaulo.

A Enel, por sua vez, apontou que o ataque hacker é ato de terceiro apto a justificar a excludente de responsabilidade, conforme prevista no artigo 43, inciso III, da Lei Geral de Proteção de Dados.

Quando analisou o caso, o Tribunal de Justiça de São Paulo reconheceu a responsabilidade da empresa, mas não vislumbrou violação à dignidade humana da consumidora, já que os dados expostos não são sensíveis, mas de fácil acesso.

O TJ-SP afastou a condenação ao pagamento de indenização, mas impôs que a Enel apresentasse informação das entidades com as quais fez uso compartilhado dos dados, fornecendo declaração completa que indique sua origem, registro e critérios.

Responsabilidade existente

Essa obrigação é uma possibilidade que consta do artigo 19, inciso II, da LGPD. Ao analisar o caso, o relator do recurso especial, ministro Ricardo Villas Bôas Cueva, decidiu manter as conclusões do tribunal de apelação.

Ele destacou que a Emenda Constitucional 115/2022 elevou a importância da proteção de dados e inaugurou um novo capítulo sobre o tema no ordenamento jurídico brasileiro. Além disso, explicou que a Enel, por se enquadrar na categoria dos agentes de tratamento de dados, tinha a obrigação legal de tomar todas as medidas de segurança esperadas para que as informações fossem protegidas em seus sistemas.

Isso significa atender a requisitos de segurança e padrões de boas práticas e governança, além de princípios gerais previstos na LGPD e nas demais normas complementares. A ocorrência do ataque hacker mostra uma falha da empresa.

"O tratamento de dados pessoais configura-se irregular quando deixa de fornecer a segurança que titular poderia esperar, consideradas circunstâncias relevantes do caso", apontou. A votação na 3ª Turma foi unânime.

Fonte: Processo REsp 2.147.374; Conjur

Política de Privacidade

(C) 1999 - 2025 - M&M Assessoria Contábil Ltda

Av. Assis Brasil, 6656 / 1º andar - Bairro Sarandi
Porto Alegre/RS.

Telefone (51) 3349-5050

Política de Privacidade

Vai para o topo da página Telefone: (51) 3349-5050