Com a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), ainda em 2020, as empresas passaram a enfrentar não apenas sanções administrativas, mas também um número crescente de ações judiciais movidas por titulares de dados e órgãos fiscalizadores.

Conforme a LGPD, todas as empresas que controlarem, operarem, ou, ainda, em razão de quaisquer dos exercícios de suas atividades, tratarem de dados pessoais, incluindo-se dados de clientes, funcionários e fornecedores, estarão sujeitas às suas previsões, o que propõe novos desafios à atividade empresária neste segmento.

Os vazamentos de dados e outros incidentes digitais podem resultar em diferentes ações judiciais, tais como:

• Ações indenizatórias individuais e coletivas: titulares de dados ingressam com demandas por danos morais e materiais devido à exposição indevida de informações pessoais;

• Processos consumeristas: empresas podem ser acionadas com base no Código de Defesa do Consumidor por falha na prestação de serviços; e

• Processos administrativos e ações civis públicas: o Ministério Público e a Autoridade Nacional de Proteção de Dados (ANPD) podem mover ações para responsabilizar empresas por incidentes de segurança.

  
  

O Poder Judiciário tem analisado diversas ações envolvendo vazamento de dados e a segurança digital, com tendências importantes, sobretudo no que se refere à responsabilidade da empresa que trata de dados pessoais, ainda que o vazamento tenha ocorrido por atividade ilícita de terceiros.

O Superior Tribunal de Justiça, no julgamento do Recurso Especial sob n.º 2147374/SP, no final no ano passado, enfatizou a responsabilidade objetiva da empresa responsável pelo tratamento dos dados, bem como a possibilidade de sua exclusão quando adotadas medidas preventivas e repressivas aos incidentes. Da decisão, destaca-se, portanto:

• Responsabilidade objetiva: independentemente de existência de culpa, bastando a comprovação do dano e do nexo causal (elo entre a ação e a ocorrência do dano), empresas estarão sujeitas à responsabilização pelos danos que causarem; e

• Requisitos para exclusão de responsabilidade: a demonstração da adoção de medidas eficazes de segurança e resposta aos incidentes poderá reduzir ou excluir a responsabilidade da empresa.

  
  

Com isso, em caso de eventual ataque hacker, ou demais crimes cibernéticos que visam a obtenção ilegal de dados sensíveis, a responsabilidade sobre a reparação de danos dependerá da aferição das medidas comprovadamente adotadas pela empresa para proteção dos dados.

A inovação do julgamento do STJ é em sentido contrário ao próprio art. 43 da Lei Geral de Proteção de Dados - LGPD, que disciplina, em seu inciso III, que os agentes de tratamento só não serão responsabilizados quando provarem que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros.

Assim, verifica-se que, ainda que o vazamento de dados tenha se dado por ato de terceiros, a responsabilidade da empresa não será imediatamente afastada. Para mitigação da responsabilidade civil é imprescindível a comprovação da adoção de medidas estratégicas preventivas e defensivas, intituladas pela Lei como programa de governança em privacidade.

O Núcleo de Direito Empresarial da Ody Keller Advogados fica à disposição para dirimir eventuais dúvidas sobre o assunto.

Francine Dias Pavão

Advogado - OAB-RS 137.126

francine.pavao@odykeller.com.br