A história começou quando uma cliente da Eletropaulo soube que a empresa havia sofrido um incidente de segurança, o que ocorreu por meio de um comunicado emitido pelo Instituto de Proteção de Dados Pessoais (Iprodape) e não pela própria empresa. Incomodada com o vazamento de suas informações pessoais, a cliente decidiu buscar na Justiça respostas e reparação.
Em sua ação judicial, além de solicitar indenização por danos morais, ela também exigiu que a Eletropaulo esclarecesse com quem seus dados haviam sido compartilhados e fornecesse mais detalhes sobre o tratamento dessas informações.
Na 1ª instância, o juiz reconheceu o incidente de segurança, mas negou o pedido de indenização por danos morais, por entender que a cliente não conseguiu demonstrar que o vazamento de seus dados resultou em prejuízos diretos à sua honra ou integridade. Apesar disso, a Eletropaulo foi condenada a cumprir o direito da titular de dados, e fornecer todas as informações requeridas sobre o compartilhamento e tratamento de suas informações pessoais.
A empresa, no entanto, não aceitou o resultado e decidiu recorrer, sob a alegação de que o vazamento havia sido causado exclusivamente por terceiros – um ataque cibernético – e não por falha própria. A Eletropaulo baseou sua defesa no artigo 43, inciso III, da Lei Geral de Proteção de Dados (LGPD), que prevê a exclusão de responsabilidade em casos em que o dano é causado por culpa exclusiva de terceiros.
Diante do recurso, o caso chegou à 3ª turma do Superior Tribunal de Justiça (STJ). A principal questão analisada foi se o vazamento de dados pessoais considerados não sensíveis – ainda que provocado por uma atividade ilícita de terceiros – exime ou não a empresa de suas obrigações previstas na LGPD, especialmente no que diz respeito ao direito do titular de acessar e ter ciência sobre o uso de suas informações (artigo 19, inciso II).
Realizei uma breve análise da decisão e resolvi trazer aqui alguns pontos de destaque:
Responsabilidade civil proativa
Os ministros consideraram na decisão a existência de um novo regime de responsabilização – além da clássica dicotomia entre as vertentes objetiva e subjetiva -, que é o sistema de responsabilização proativa.
Para que todos os leitores fiquem “na mesma página”, lembro rapidamente as diferenças entre responsabilidade objetiva e subjetiva. Na responsabilidade objetiva, o agente é responsabilizado independente de sua ação ser caracterizada por dolo (quando há intenção) ou culpa (quando assume o risco da ação), ou seja, basta a conexão entre ação e dano. E na responsabilidade subjetiva, a vítima precisa provar que o agente agiu com dolo ou culpa para que este seja responsabilizado.
Já o conceito de responsabilidade proativa – criado pelo art, 6º, X LGPD –, concretiza a ideia de que não basta para as empresas cumprirem a lei se não conseguirem comprovar a conformidade.
No caso da Eletropaulo, o fato da empresa não ter conseguido comprovar que tinha adotado medidas eficazes de segurança – na visão do STJ – foi determinante para que a empresa fosse responsabilizada.
Vazamentos como fortuito interno
No campo jurídico, o termo "fortuito" é frequentemente usado para descrever eventos imprevisíveis que influenciam a análise sobre a responsabilidade de uma empresa ou agente.
Quando um evento é classificado como fortuito externo, entende-se que, além de ser imprevisível, ele estava completamente fora do controle da empresa. Nesse caso, conclui-se que não há como responsabilizá-la pelos danos causados.
Por outro lado, o fortuito interno é entendido como um evento que, embora inesperado, está relacionado aos riscos inerentes à atividade desempenhada pela empresa. Nesse contexto, considera-se que o evento poderia ter sido evitado se a empresa tivesse adotado as medidas de segurança adequadas.
No caso em questão, o STJ entendeu que a Eletropaulo deixou de oferecer segurança em seus sistemas e, por isso, violou uma legítima expectativa de proteção do titular dos dados. Isso porque a Eletropaulo não teria conseguido comprovar a adoção de medidas de segurança em seus sistemas e não teria conseguido comprovar que a culpa foi exclusiva de terceiros, no caso os hackers.
Este caso traz reflexões importantes sobre a aplicação da LGPD e o nível de responsabilidade das empresas no tratamento de dados pessoais, mesmo em casos de ataques cibernéticos. O julgamento reforça que as empresas não podem se eximir de suas obrigações legais apenas alegando que o vazamento foi causado por terceiros. Elas precisam ter capacidade de demonstrar que adotaram medidas de segurança eficazes para proteger os dados, em observância ao regime da responsabilização proativa.
O entendimento de que vazamentos que envolvem falhas de segurança configuram um fortuito interno destaca a relevância de as empresas manterem padrões elevados de proteção e prestarem contas de suas ações. Isso consolida uma mensagem clara: o cumprimento da LGPD vai além de seguir a lei; é necessário comprovar a diligência na proteção de dados para evitar responsabilizações.
Com essa decisão, o STJ não apenas estabelece um precedente robusto, mas também reforça a confiança dos titulares de dados de que seus direitos à proteção e transparência serão garantidos, mesmo diante de um cenário de ameaças cibernéticas cada vez mais desafiador.
