REsp 2.147.374-SP, Rel. Ministro Ricardo Villas Bôas Cueva, Terceira Turma, por unanimidade, julgado em 3/12/2024, DJEN 6/12/2024.
DIREITO CIVIL, DIREITO DO CONSUMIDOR
Lei Geral de Proteção de Dados Pessoais. Direito à privacidade, à liberdade e à autodeterminação informativa. Agente de tratamento. Vazamento de dados não sensíveis do titular. Incidente de segurança. Ataque hacker. Responsabilidade exclusiva de terceiro. Não comprovada. Responsabilidade civil proativa. Expectativa de legítima proteção. Compliance e regulação de risco da atividade. Direitos do titular. Concretização. Aplicabilidade.
É passível a imputação das obrigações previstas no art. 19, II, da Lei Geral de Proteção de Dados Pessoais (LGPD), ao agente de tratamento de dados, na ocasião de vazamento de dados pessoais não sensíveis do titular, decorrente de atividade alegadamente ilícita (ataque hacker).
A controvérsia jurídica consiste em definir se o vazamento de dados pessoais não sensíveis do titular, decorrente de atividade alegadamente ilícita (ataque hacker), é passível de imputar ao agente de tratamento de dados as obrigações previstas no art. 19, II, da Lei Geral de Proteção de Dados Pessoais (LGPD), ou se o fato de tal vazamento ter decorrido de atividade ilícita seria uma excludente de responsabilidade, prevista no art. 43, III (culpa exclusiva de terceiro).
É importante recapitular que, ao inscrever a proteção e o tratamento de dados pessoais no rol dos direitos e garantias fundamentais da Constituição Federal (art. 5º, LXXIX), a Emenda Constitucional n. 115/2022 inaugurou um novo capítulo no ordenamento jurídico brasileiro no que tange aos direitos de personalidade, à liberdade e à autodeterminação informativa.
Nesse sentido, as empresas que se enquadram na categoria dos agentes de tratamento têm a obrigação legal de tomar todas as medidas de segurança esperadas pelo titular dos dados para que suas informações sejam protegidas, e seus sistemas utilizados para o tratamento de dados pessoais devem estar estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na LGPD e às demais normas regulamentares.
Ademais, compliance de dados é o esforço de conformidade e de aplicação da LGPD nas atividades das empresas que lidam com tratamento de dados. Referido instrumento assume importância central ao induzir não apenas à obediência ao direito, mas também à comprovação da efetividade dos programas de conformidade.
Logo, o tratamento de dados pessoais configura-se como irregular quando deixa de fornecer a segurança que o titular dele poderia esperar ("expectativa de legítima proteção"), consideradas as circunstâncias relevantes, entre as quais as técnicas de tratamento de dados pessoais disponíveis à época em que foi for realizado (art. 44, III, da LGPD).
No caso de a empresa de tratamento não provar que determinado vazamento dos dados tenha ocorrido exclusivamente em razão de incidente de segurança (ataque hacker), é impossível aplicar em seu favor a excludente de responsabilidade do art. 43, III, da LGPD.
Assim, é correta a conclusão de concretizar os direitos do titular dos dados ao condenar a empresa responsável pelo tratamento de dados na obrigação de apresentar informação das entidades públicas e privadas com as quais realizou o uso compartilhado dos dados da recorrida (art. 18, VII, da LGPD) e a fornecer declaração completa que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, bem como a cópia exata de todos os dados referentes ao titular constantes em seus bancos de dados (art. 19, II, da LGPD).
Nenhum comentário:
Postar um comentário