A história começou quando uma cliente da Eletropaulo soube que a empresa havia sofrido um incidente de segurança, o que ocorreu por meio de um comunicado emitido pelo Instituto de Proteção de Dados Pessoais (Iprodape) e não pela própria empresa. Incomodada com o vazamento de suas informações pessoais, a cliente decidiu buscar na Justiça respostas e reparação.
Em sua ação judicial, além de solicitar indenização por danos morais, ela também exigiu que a Eletropaulo esclarecesse com quem seus dados haviam sido compartilhados e fornecesse mais detalhes sobre o tratamento dessas informações.
Na 1ª instância, o juiz reconheceu o incidente de segurança, mas negou o pedido de indenização por danos morais, por entender que a cliente não conseguiu demonstrar que o vazamento de seus dados resultou em prejuízos diretos à sua honra ou integridade. Apesar disso, a Eletropaulo foi condenada a cumprir o direito da titular de dados, e fornecer todas as informações requeridas sobre o compartilhamento e tratamento de suas informações pessoais.
A empresa, no entanto, não aceitou o resultado e decidiu recorrer, sob a alegação de que o vazamento havia sido causado exclusivamente por terceiros – um ataque cibernético – e não por falha própria. A Eletropaulo baseou sua defesa no artigo 43, inciso III, da Lei Geral de Proteção de Dados (LGPD), que prevê a exclusão de responsabilidade em casos em que o dano é causado por culpa exclusiva de terceiros.
Diante do recurso, o caso chegou à 3ª turma do Superior Tribunal de Justiça (STJ). A principal questão analisada foi se o vazamento de dados pessoais considerados não sensíveis – ainda que provocado por uma atividade ilícita de terceiros – exime ou não a empresa de suas obrigações previstas na LGPD, especialmente no que diz respeito ao direito do titular de acessar e ter ciência sobre o uso de suas informações (artigo 19, inciso II).
Realizei uma breve análise da decisão e resolvi trazer aqui alguns pontos de destaque:
Responsabilidade civil proativa
Os ministros consideraram na decisão a existência de um novo regime de responsabilização – além da clássica dicotomia entre as vertentes objetiva e subjetiva -, que é o sistema de responsabilização proativa.
Para que todos os leitores fiquem “na mesma página”, lembro rapidamente as diferenças entre responsabilidade objetiva e subjetiva. Na responsabilidade objetiva, o agente é responsabilizado independente de sua ação ser caracterizada por dolo (quando há intenção) ou culpa (quando assume o risco da ação), ou seja, basta a conexão entre ação e dano. E na responsabilidade subjetiva, a vítima precisa provar que o agente agiu com dolo ou culpa para que este seja responsabilizado.
Já o conceito de responsabilidade proativa – criado pelo art, 6º, X LGPD –, concretiza a ideia de que não basta para as empresas cumprirem a lei se não conseguirem comprovar a conformidade.
No caso da Eletropaulo, o fato da empresa não ter conseguido comprovar que tinha adotado medidas eficazes de segurança – na visão do STJ – foi determinante para que a empresa fosse responsabilizada.
Vazamentos como fortuito interno
No campo jurídico, o termo “fortuito” é frequentemente usado para descrever eventos imprevisíveis que influenciam a análise sobre a responsabilidade de uma empresa ou agente.
Quando um evento é classificado como fortuito externo, entende-se que, além de ser imprevisível, ele estava completamente fora do controle da empresa. Nesse caso, conclui-se que não há como responsabilizá-la pelos danos causados.
Por outro lado, o fortuito interno é entendido como um evento que, embora inesperado, está relacionado aos riscos inerentes à atividade desempenhada pela empresa. Nesse contexto, considera-se que o evento poderia ter sido evitado se a empresa tivesse adotado as medidas de segurança adequadas.
No caso em questão, o STJ entendeu que a Eletropaulo deixou de oferecer segurança em seus sistemas e, por isso, violou uma legítima expectativa de proteção do titular dos dados. Isso porque a Eletropaulo não teria conseguido comprovar a adoção de medidas de segurança em seus sistemas e não teria conseguido comprovar que a culpa foi exclusiva de terceiros, no caso os hackers.
Este caso traz reflexões importantes sobre a aplicação da LGPD e o nível de responsabilidade das empresas no tratamento de dados pessoais, mesmo em casos de ataques cibernéticos. O julgamento reforça que as empresas não podem se eximir de suas obrigações legais apenas alegando que o vazamento foi causado por terceiros. Elas precisam ter capacidade de demonstrar que adotaram medidas de segurança eficazes para proteger os dados, em observância ao regime da responsabilização proativa.
O entendimento de que vazamentos que envolvem falhas de segurança configuram um fortuito interno destaca a relevância de as empresas manterem padrões elevados de proteção e prestarem contas de suas ações. Isso consolida uma mensagem clara: o cumprimento da LGPD vai além de seguir a lei; é necessário comprovar a diligência na proteção de dados para evitar responsabilizações.
Com essa decisão, o STJ não apenas estabelece um precedente robusto, mas também reforça a confiança dos titulares de dados de que seus direitos à proteção e transparência serão garantidos, mesmo diante de um cenário de ameaças cibernéticas cada vez mais desafiador.
Advogado. Pós-graduado em Direito Empresarial pela FGV São Paulo. Alumni do Data Privacy. Associado ao International Association of Privacy Professionals (IAPP). Membro da Comissão do Novo Advogado do Instituto dos Advogados de São Paulo (IASP).