Vazamento de dados, responsabilidade corporativa e LGPD
O caso Eletropaulo/Enel e as implicações da LGPD
A proteção de dados é um dos temas mais relevantes no cenário jurídico e corporativo brasileiro, especialmente após a promulgação da Lei Geral de Proteção de Dados Pessoais (LGPD). Recentemente, o Superior Tribunal de Justiça (STJ) julgou um caso envolvendo a Eletropaulo (ENEL BRASIL) e vazamento de dados de seus clientes após um ataque cibernético. O desfecho do caso destaca a responsabilidade das empresas na implementação de medidas adequadas de segurança, independentemente da origem do vazamento.
Responsabilidade corporativa e LGPD: um novo paradigma
O avanço da tecnologia trouxe novas responsabilidades para empresas que lidam com dados pessoais. No caso em questão, o STJ reafirmou que o vazamento de dados, mesmo quando causado por ataque hacker, não exime a empresa de sua obrigação de proteger as informações sob sua custódia.
Caso Eletropaulo: um marco na interpretação da LGPD
O caso envolveu o vazamento de dados pessoais não sensíveis, como nome, endereço, e telefone, de clientes da Eletropaulo. A empresa alegou que o incidente foi causado por terceiros, defendendo a exclusão de sua responsabilidade com base no Art. 43, III, da LGPD. Contudo, o STJ rejeitou essa tese, destacando que a lei exige que o agente de tratamento implemente medidas eficazes para proteger os dados pessoais.
Medidas de segurança: o dever da empresa
Segundo o relator do caso, ministro Ricardo Villas Bôas Cueva, a proteção de dados pessoais exige a adoção de sistemas estruturados e compliance de dados, em conformidade com os requisitos da LGPD. A ausência dessas práticas foi considerada uma falha no tratamento de dados pela Eletropaulo, configurando descumprimento do padrão de segurança esperado.
Dano moral presumido: uma questão discutível
Embora a responsabilidade da empresa tenha sido reconhecida, o STJ destacou que o dano moral não é presumido no caso de vazamento de dados não sensíveis. É necessário comprovar que o titular dos dados sofreu prejuízo efetivo devido à exposição das informações.
Implicações da decisão para as empresas
A decisão reforça a importância de políticas robustas de segurança da informação e conformidade com a LGPD. Entre as práticas recomendadas estão:
- Investimento em tecnologia de segurança: adoção de sistemas avançados para detecção e prevenção de invasões.
- Treinamento de funcionários: capacitar equipes para lidar com incidentes de segurança.
- Auditorias regulares: avaliar periodicamente a eficácia das medidas de proteção de dados.
O caso Eletropaulo serve como alerta para empresas em todo o Brasil: a responsabilidade pela proteção de dados vai além da origem do incidente. A conformidade com a LGPD não é apenas uma obrigação legal, mas um compromisso com a privacidade e a segurança dos consumidores. Com a crescente digitalização, garantir a integridade das informações é mais do que nunca uma questão de credibilidade e confiança no mercado.
Perguntas frequentes
- O que é considerado dado sensível pela LGPD?
Dados sobre origem racial, saúde, opinião política, religião e outros aspectos íntimos. - A empresa pode ser responsabilizada por ataques hackers?
Sim, se não adotar medidas adequadas para proteger os dados, conforme a LGPD. - O que é dano moral presumido?
É a suposição de que o simples fato de um evento causar danos dispensa comprovação. - Como a LGPD regula o tratamento de dados pessoais?
Exige que agentes de tratamento adotem medidas de segurança, transparência e respeito aos direitos dos titulares. - A decisão do STJ cria precedentes?
Sim, reforça a interpretação da LGPD quanto à responsabilidade objetiva das empresas. - O que é compliance de dados?
Conjunto de práticas para garantir conformidade com leis de proteção de dados.