A Lei Geral de Proteção de Dados (LGPD) entrou em vigor em 2020 para estabelecer critérios e responsabilidades visando resguardar a proteção de dados pessoais, permitindo a sua utilização, desde que haja uma base legal, propósitos legítimos e medidas técnicas e organizacionais. A partir de 1° de agosto de 2021, as organizações podem ser responsabilizadas por sanções administrativas em caso de violação à LGPD, o que inclui a imposição de multas, suspensão de atividades de tratamento e publicização da infração. Além disso, os controladores de dados podem ser responsabilizados na esfera cível por perdas e danos sofridos pelos titulares.
Com a crescente digitalização, os ataques cibernéticos se tornaram uma preocupação global, podendo assumir diversas formas capazes de comprometer a segurança de sistemas e dados pessoais e gerar prejuízos incalculáveis. Uma pesquisa da Kaspersky, empresa russa especializada em softwares de segurança para a internet, revelou que o Brasil é o segundo país com mais ataques cibernéticos no mundo, somando mais de 700 milhões em 12 meses, o equivalente a 1.379 ataques por minuto.
Dentre os ataques mais comuns, destacamos:
- Ransomware: caracterizado pelo sequestro de dados, que foi o mais recorrente;
- Phishing: uma prática em que invasores enganam usuários por meio de mensagens fraudulentas;
- Malware: software criado intencionalmente para causar danos que podem espionar uso de sistemas, captar e enviar dados para servidores externos.
Entre as consequências dos ataques cibernéticos há possibilidade de interrupção de operações, custos de recuperação, multas regulatórias e danos à confiança dos consumidores.
Em decisão recente, o Superior Tribunal de Justiça (STJ) afirmou que ataques cibernéticos não eximem empresas da responsabilidade pela proteção dos dados pessoais de seus clientes. O caso analisado pela 3ª Turma do STJ envolveu uma concessionária de energia elétrica que sofreu um ataque hacker, resultando na exposição de dados pessoais não sensíveis de um cliente.
A discussão nos autos se concentrava em dois pontos principais, se a natureza ilícita do vazamento caracterizaria uma excludente de responsabilidade ou se vazamento de dados pessoais não sensíveis, resultante de uma atividade ilícita, imputaria ao agente de tratamento as obrigações previstas no art. 19, inciso II, da LGPD. A empresa sustentou que o incidente se deu em razão de conduta de terceiro, sem qualquer relação com a organização, defendendo a exclusão de sua responsabilidade com base no art. 43, III da LGPD.
No julgamento do recurso, o ministro relator Ricardo Villas Bôas Cueva destacou que a Emenda Constitucional 115/2022 inseriu a proteção de dados pessoais no rol de direitos fundamentais, marcando um novo capítulo no ordenamento brasileiro. Nesse sentido, o ministro fundamentou que o tratamento de dados pessoais é considerado irregular quando o agente de tratamentos não oferece a segurança que o titular poderia esperar.
Assim, o ataque hacker, embora resultado de conduta criminosa de terceiros, mostrou uma falha da empresa, não a eximindo da responsabilidade. A organização deveria estar devidamente estruturada de forma a atender aos requisitos de segurança, aos padrões de boas práticas de governança, e aos princípios gerais estabelecidos na LGPD, além de cumprir as normas regulamentares aplicáveis.
Implicações da decisão
A decisão cria um precedente importante, servindo de parâmetro para futuras ações judiciais envolvendo a proteção de dados. Ela define um padrão para a responsabilização de empresas em casos de falhas de segurança, reforçando a importância de medidas adequadas para atender as obrigações legais devidas e promover a proteção de dados dos consumidores, especialmente em um cenário onde ataques cibernéticos são cada vez mais frequentes.
Este artigo foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional. |