O tratamento de dados pessoais configura-se irregular quando deixa de fornecer a segurança que o titular poderia esperar, consideradas as circunstâncias relevantes do caso. Com esse entendimento, a 3ª Turma do Superior Tribunal de Justiça confirmou que a Enel, que assumiu o comando da Eletropaulo, tem responsabilidade pelo vazamento de dados não sensíveis de uma consumidora, após um ataque hacker.
O consumidor teve exposto nome completo, números de RG e CPF, endereço, endereço de e-mail e telefone. A ação foi ajuizada para cobrar indenização da empresa, que à época se chamava Eletropaulo.
A Enel, por sua vez, apontou que o ataque hacker é ato de terceiro apto a justificar a excludente de responsabilidade, conforme prevista no artigo 43, inciso III da Lei Geral de Proteção de Dados.
Quando analisou o caso, o Tribunal de Justiça de São Paulo reconheceu a responsabilidade da empresa, mas não vislumbrou violação à dignidade humana da consumidora, já que os dados expostos não são sensíveis, mas de fácil acesso.
O TJ-SP afastou a condenação ao pagamento de indenização, mas impôs que a Enel apresentasse informação das entidades com as quais fez uso compartilhado dos dados, fornecendo declaração completa que indique sua origem, registro e critérios.
Responsabilidade existente
Essa obrigação é uma possibilidade que consta do artigo 19, inciso II da LGPD. Ao analisar o caso, o relator do recurso especial, ministro Ricardo Villas Bôas Cueva, decidiu manter as conclusões do tribunal de apelação.
Ele destacou que a Emenda Constitucional 115/2022 elevou a proteção de dados e inaugurou um novo capítulo sobre o tema no ordenamento jurídico brasileiro. Além disso, explicou que a Enel, por se enquadrar na categoria dos agentes de tratamento de dados, tinha a obrigação legal de tomar todas as medidas de segurança esperadas para que as informações fossem protegidas em seus sistemas.
Isso significa atender a requisitos de segurança e padrões de boas práticas e governança, além de princípios gerais previstos na LGPD e nas demais normas complementares. A ocorrência do ataque hacker mostra uma falha da empresa.
“O tratamento de dados pessoais configura-se irregular quando deixa de fornecer a segurança que titular poderia esperar, consideradas circunstâncias relevantes do caso”, apontou. A votação na 3ª Turma foi unânime.