A 3ª Turma do Superior Tribunal de Justiça (STJ) negou um recurso da Enel, antiga Eletropaulo, após o vazamento de dados pessoais não sensíveis de uma cliente. Assim, a distribuidora de energia continua obrigada a apresentar à titular em questão “informação das entidades públicas e privadas com as quais realizou o uso compartilhado dos dados, fornecer declaração completa com a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento”. A decisão de dezembro do ano passado mostra a importância no tratamento e armazenamento dos dados pessoais de forma geral, independentemente de serem sensíveis.
“Não existem dados irrelevantes. As medidas de segurança precisam ser proporcionais ao risco. O vazamento da senha da conta corrente de uma pessoa, apesar de não estar no rol dos dados sensíveis, tem um potencial de acarretar danos graves aos titulares dos dados”, alerta Mônica Fujimoto, advogada e professora do Instituto Brasileiro de Ensino, Desenvolvimento e Pesquisa (IDP).
Dados pessoais são qualquer informação básica de identificação como número do RG ou do CPF e endereço residencial. Já os sensíveis são relativos à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural.
Mônica pontua que apesar de existir uma longa discussão sobre o rol de dados do art. 5º, II, da Lei Geral de Proteção de Dados (LGPD) ser taxativa ou não, a legislação possui uma estrutura normativa que possibilita a proteção de todos os dados na medida e proporção do risco que eles representam para os seus titulares. Ou seja, não é porque um dado não é categorizado como sensível que não é protegido pela lei.
“Em relação aos dados das empresas, a LGPD não se aplica a grande parte dos dados comerciais considerados concorrencialmente sensíveis por não se tratar de dados pessoais, existindo outro regime de proteção aplicável, como é o caso das disposições contratuais ou mesmo a disciplina dos segredos de negócio. Assim, por exemplo, se vazar um segredo do negócio, algo como a ‘fórmula da Coca-Cola’, a companhia não poderá se valer da LGPD para se proteger, tendo que recorrer a outros institutos jurídicos”, esclarece a especialista.
Alegação
No recurso (REsp 2.147.374/SP), a Eletropaulo justificou o vazamento das informações pessoais da cliente devido a um ataque cibernético. Para a distribuidora de energia, a obrigação de fornecer tais informações refere-se às hipóteses de compartilhamento lícito de dados pessoais.
No entanto, os ministros da 3ª Turma acompanharam o voto do relator, Ricardo Villas Bôas Cueva, entendeu que caberia à empresa “tomar todas as medidas de segurança esperadas pelo titular para que suas informações fossem protegidas, entre as quais a utilização das técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.”
Conheça o JOTA PRO Poder, plataforma de monitoramento que oferece transparência e previsibilidade para empresas
Segundo o relator, como a distribuidora de energia não conseguiu provar que o vazamento de dados teria ocorrido exclusivamente em razão do ataque hacker, não é possível aplicar em favor da companhia a excludente de responsabilidade prevista no art. 43, III, da LGPD. “No artigo mencionado, a técnica de redação legislativa deixa claro que os agentes de tratamento ‘só não serão responsabilizados quando provarem que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro’, deixando claro o ônus legal deste ente em provar a quebra do nexo causal nessas hipóteses”, escreveu o ministro.
Mônica cita como um aspecto interessante da decisão a menção ao conceito de “responsabilidade civil proativa” – conforme previsto na LGPD e debatido na doutrina pelos autores Maria Celina Bodin de Moraes e João Quinelato. “Em seu art. 6º, X, a LGPD diz que o tratamento de dados pessoais deve observar o princípio da prestação de contas. O que isso quer dizer? Não basta às empresas que processam dados pessoais respeitarem o texto frio da lei. É necessário que essas empresas comprovem a adoção proativa de medidas eficazes de segurança para mitigar os riscos de incidentes de segurança e utilização indevida de dados pessoais, indo além das obrigações apresentadas de forma explícita na legislação”, explica a especialista.
A LGPD nos tribunais brasileiros
Lançada no ano passado, a pesquisa “Painel LGPD nos Tribunais 2023” analisou 7.503 documentos em processos judiciais que mencionam “LGPD”, “Lei Geral de Proteção de Dados” ou “Lei 13.709”.
A quantidade de documentos com menção à LGPD superou o total coletado nos dois primeiros anos da pesquisa, feita em parceria entre o Centro de Direito, Internet e Sociedade (CEDIS – IDP) com o Jusbrasil. Na primeira edição, foram avaliados 584 documentos que citam a LGPD. Na segunda edição, foram 1.789 documentos.
Os principais setores envolvidos nas demandas judiciais analisadas no último levantamento incluem empresas do setor financeiro (bancos, financeiras e administradoras de cartão) e bancos de dados e operadoras de telecomunicações.
Os temas discutidos nos processos judiciais envolvendo o sistema financeiro incluem direito do trabalho, indenização por danos decorrentes de cobrança judicial e extrajudicial de débitos inexistentes, utilização indevida de dados para oferta de serviços, divulgação indevida de dados e aplicação de golpes financeiros, e reparação de danos decorrentes de vazamentos de dados.
“No caso do golpe do boleto, em que estelionatários têm acesso a informações bancárias e emitem boleto falso para receberem indevidamente pagamento feito pelo cliente do banco, o STJ já decidiu no REsp 2.077.278 que o banco é passível de ser responsabilizado por defeito na prestação de serviço, pois tem o dever de armazenamento dos dados de forma adequada e adoção de medidas de segurança eficazes”, ensina Mônica Fujimoto, que coordena a pesquisa ao lado da professora Laura Schertel.