Assim decidiu, por unanimidade, a Terceira Turma do STJ, no julgamento do REsp 2.147.374-SP, realizado em 03/12/2024. Do respectivo acórdão, relatado elo Ministro Ricardo Villas Bôas Cueva, destaca-se o seguinte:
“A controvérsia jurídica consiste em definir se o vazamento de dados pessoais não sensíveis do titular, decorrente de atividade alegadamente ilícita (ataque hacker), é passível de imputar ao agente de tratamento de dados as obrigações previstas no art. 19, II, da Lei Geral de Proteção de Dados Pessoais (LGPD), ou se o fato de tal vazamento ter decorrido de atividade ilícita seria uma excludente de responsabilidade, prevista no art. 43, III (culpa exclusiva de terceiro).
É importante recapitular que, ao inscrever a proteção e o tratamento de dados pessoais no rol dos direitos e garantias fundamentais da Constituição Federal (art. 5º, LXXIX), a Emenda Constitucional n. 115/2022 inaugurou um novo capítulo no ordenamento jurídico brasileiro no que tange aos direitos de personalidade, à liberdade e à autodeterminação informativa.
Nesse sentido, as empresas que se enquadram na categoria dos agentes de tratamento têm a obrigação legal de tomar todas as medidas de segurança esperadas pelo titular dos dados para que suas informações sejam protegidas, e seus sistemas utilizados para o tratamento de dados pessoais devem estar estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na LGPD e às demais normas regulamentares.
Ademais, compliance de dados é o esforço de conformidade e de aplicação da LGPD nas atividades das empresas que lidam com tratamento de dados. Referido instrumento assume importância central ao induzir não apenas à obediência ao direito, mas também à comprovação da efetividade dos programas de conformidade.
Logo, o tratamento de dados pessoais configura-se como irregular quando deixa de fornecer a segurança que o titular dele poderia esperar (“expectativa de legítima proteção”), consideradas as circunstâncias relevantes, entre as quais as técnicas de tratamento de dados pessoais disponíveis à época em que foi for realizado (art. 44, III, da LGPD).
No caso de a empresa de tratamento não provar que determinado vazamento dos dados tenha ocorrido exclusivamente em razão de incidente de segurança (ataque hacker), é impossível aplicar em seu favor a excludente de responsabilidade do art. 43, III, da LGPD.
Assim, é correta a conclusão de concretizar os direitos do titular dos dados ao condenar a empresa responsável pelo tratamento de dados na obrigação de apresentar informação das entidades públicas e privadas com as quais realizou o uso compartilhado dos dados da recorrida (art. 18, VII, da LGPD) e a fornecer declaração completa que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, bem como a cópia exata de todos os dados referentes ao titular constantes em seus bancos de dados (art. 19, II, da LGPD).”
Fonte: STJ (Informativo de Jurisprudência)
(04/02/2025)