Mudou tudo? STJ decide sobre resp. civil em vazamento de dados

Por Pedro Henrique Santos

Por unanimidade, a 3ª turma do STJ decidiu que o vazamento de dados pessoais não sensíveis de clientes não isenta a empresa de sua responsabilidade mesmo em casos de ataques cibernéticos. Mas será que agora mudou tudo em matéria de responsabilidade civil na LGPD? Confira nesta coluna! 

Histórico

O caso começa quando uma cliente da Eletropaulo descobre que a empresa sofreu um incidente de segurança por um comunicado do do Instituto de Proteção de Dados Pessoais – Iprodape. Por conta disso, ela dá início a uma ação judicial pedindo indenização por danos morais e fornecimento de informações sobre com quem seus dados foram compartilhados e mais informações sobre o tratamento. 

O juízo de 1ª instância não concedeu a indenização pois tal cliente não conseguiu comprovar que o vazamento de seus dados provocou danos morais. Contudo, a decisão condena a Eletropaulo a fornecer as informações requeridas pela titular de dados, além de reconhecer a existência do incidente de segurança. 

A Eletropaulo recorre alegando que não poderia ser obrigada a fornecer a informação sobre com quem compartilha seus dados e sobre o tratamento de dados pessoais, pois o vazamento ocorreu por culpa exclusiva de terceiro, o que retiraria sua responsabilidade conforme art. 43, III da LGPD.

Dessa forma, a terceira turma do STJ avaliou no REsp 2.147.374 se o vazamento de dados não sensíveis, mesmo se provocado por atividade ilícita, enseja a responsabilização do agente de tratamento a cumprir com o direito do titular de existência e acesso aos dados (art.19, II, LGPD). 

A decisão não reavaliou o pedido de dano moral em 1ª instância.

Destaques da decisão

1. Responsabilidade civil proativa

O Tribunal menciona a discussão doutrinária acerca dos regimes de responsabilidade civil objetiva e subjetiva na LGPD. De acordo com tal discussão, defende-se que a LGPD inaugurou um modelo de responsabilidade civil para além das vertentes objetiva ou subjetiva. Trata-se da responsabilidade civil proativa postura tradicionalmente defendida por Maria Celina Bodin de Moraes e João Quinelato¹. 

Em resumo, a responsabilidade objetiva é aquela em que um agente promove um dano independente de dolo ou culpa. Nesses casos, a vítima não precisa comprovar que o agente agiu com intenção de causar dano ou que ele assumiu o risco daquela ação (dolo ou culpa). Já a responsabilidade subjetiva ocorre quando o agente promove o dano a partir de uma intenção de causar dano ou de um risco assumido (dolo ou culpa). Nesses casos, é preciso que a vítima comprove o dolo ou culpa para que seja atribuída a responsabilização. 

Já a responsabilidade proativa une a ideia de respeito à lei com a ideia de prestação de contas. Isto pois a LGPD conta com o princípio de responsabilização e prestação de contas (art, 6º, X LGPD) que exige que os agentes de tratamento não só cumpram com a lei como também demonstram que adotaram medidas para tanto e que essas medidas foram eficazes. Não basta só respeitar a lei, é preciso comprovar essa conformidade para evitar a responsabilização, seja ela objetiva ou subjetiva. No caso em questão, a falta de comprovação de adoção das medidas de segurança foi determinante para que a Eletropaulo fosse condenada. 

Vazamentos como fortuitos internos 

Em muitos casos, fortuitos externos são capazes de retirar a responsabilidade do agente. No caso em questão, o fortuito externo é a ideia de que o vazamento foi provocado por criminosos cibernéticos. 

De acordo com a decisão, nem todo vazamento pode ser considerado um fortuito externo, ou seja, um acontecimento fora do controle do agente de tratamento. Um vazamento de dados pode ser considerado fortuito interno quando o agente não cumpre com os requisitos de segurança dos sistemas informatizados na época do incidente de segurança. 

No caso em questão, o tribunal entendeu que houve tratamento irregular dos dados quando a Eletropaulo deixou de oferecer a segurança de seus sistemas que seria esperada pelos titulares , violando as “expectativas de legítima proteção” do titular de dados. De acordo com a decisão, a Eletropaulo não comprovou a adoção de medidas de segurança em 1ª instância e por essa razão ela deve ser responsabilizada, violando o art. 46 da LGPD.

Além disso, o tribunal entendeu também que a Eletropaulo não provou que o vazamento ocorreu por culpa exclusiva de terceiros (fortuito externo), o que torna impossível afastar a responsabilidade da empresa em cumprir com o direito de acesso e informação do titular. 

O tribunal também ressalta que essa necessidade de provar a “culpa do terceiro” está presente na técnica de redação do art. 43, III da LGPD. De acordo com o artigo, os agentes “só não serão responsabilizados quando provarem que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro”.

Condenação

Diante das violações das “expectativas de legítima proteção” do titular (art.46, LGPD) e do fato de que a Eletropaulo não comprovou que o dano foi causado exclusivamente por terceiro (art.43, III da LGPD), a empresa foi condenada a: 

1. Informar com quais entidades compartilhava os dados do titular
2. Fornecer declaração completa da origem dos dados, finalidades e os critérios utilizados no tratamento. 

O que muda, afinal? 

Talvez o efeito mais direto que a decisão possa ter está no fato de estabelecer que nem sempre um vazamento de dados será considerado um fortuito externo. Dessa forma, os agentes de tratamento deverão colocar em campo medidas para garantir a segurança dos dados e formas de registro que permitam comprovar efetivamente o papel de terceiros em incidentes de segurança. 

Dessa forma, o ônus da comprovação do nexo causal para exclusão da responsabilidade fica mais intenso para o agente do tratamento na medida em que ele precisa comprovar efetivamente que o vazamento foi causado pela ação de terceiros. 

O cenário de proteção de dados em 2025 já será diferente quando o assunto for responsabilidade civil. Mas não só isso. A introdução de uma regulação de IA, bets e setor financeiro tem tudo para ampliar as discussões sobre a aplicação da LGPD ao seu elemento mais básico de regulação, os dados pessoais. 

Se quiser ficar por dentro desse cenário dinâmico da governança de dados, aproveite a Black November da Data e adquira nossas formações. As promoções foram estendidas até o dia 31/12. Teremos um enorme prazer em te tornar um profissional do futuro. Acesse e aproveite as promoções enquanto ainda há tempo! 

1. [1]BODIN DE MORAES, Maria Celina; QUINELATO DE QUEIROZ, João. Autodeterminação informativa e responsabilização proativa. In: Proteção de dados pessoais: Privacidade versus avanço tecnológico. Cadernos Adenauer. Rio de Janeiro, ano XX, n. 3, 2019, p. 113-135
   ↩︎