Brasília, Brasil – O Superior Tribunal de Justiça (STJ) proferiu uma decisão significativa, negando provimento ao recurso especial da Eletropaulo Metropolitana Eletricidade de São Paulo S.A. (atual Enel) e confirmando sua responsabilidade por um vazamento de dados pessoais não sensíveis. A decisão unânime da Terceira Turma, proferida em 4 de dezembro de 2024, pelo Ministro Relator Ricardo Villas Bôas Cueva, reforça a responsabilidade civil proativa dos agentes de tratamento de dados, conforme a Lei Geral de Proteção de Dados Pessoais (LGPD).
O caso teve origem em uma ação proposta por Thayna Nayara da Silva Queiroz contra a concessionária de energia, após ser comunicada pelo Instituto de Proteção de Dados Pessoais (IPRODAPE) sobre um incidente de segurança que expôs seus dados pessoais, incluindo nome completo, números de RG e CPF, endereço e telefone. A autora pleiteava indenização por danos morais e informações sobre o vazamento.
Embora a sentença de primeira instância tenha julgado os pedidos improcedentes, o Tribunal de Justiça do Estado de São Paulo (TJSP) deu parcial provimento à apelação. O TJSP reconheceu o vazamento dos dados não sensíveis, mas afastou a indenização por danos morais por falta de comprovação de violação à dignidade humana da autora. No entanto, o TJSP condenou a Enel a apresentar informações sobre as entidades públicas e privadas com as quais realizou o uso compartilhado dos dados, bem como a fornecer uma declaração completa indicando a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, além de uma cópia exata de todos os dados referentes à titular constantes em seus bancos de dados, conforme o art. 19, II, da LGPD. A Enel, então, interpôs recurso especial ao STJ.
A Enel argumentou que a obrigação de fornecer tais declarações, prevista no art. 19, II, da LGPD, referir-se-ia apenas a hipóteses de compartilhamento lícito de dados pessoais. Defendeu que o caso em questão se configurou como um compartilhamento ilícito, decorrente de um ataque cibernético, o que, em sua visão, configuraria uma excludente de responsabilidade por culpa exclusiva de terceiro, conforme o art. 43, III, da LGPD.
Contudo, o STJ rejeitou os argumentos da Enel. A Corte destacou que a empresa, por se enquadrar como agente de tratamento de dados, tinha a obrigação legal de adotar todas as medidas de segurança esperadas pelo titular para proteger suas informações. Os sistemas utilizados para o tratamento de dados pessoais deveriam estar estruturados para atender aos requisitos de segurança, padrões de boas práticas, governança e princípios gerais previstos na LGPD.
A decisão ressaltou a “responsabilidade civil proativa“, um conceito central na LGPD, que exige que as empresas não apenas cumpram a lei, mas também demonstrem a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais, e a eficácia dessas medidas. O Tribunal enfatizou que o tratamento de dados pessoais se tornou irregular ao deixar de fornecer a segurança que o titular poderia esperar, considerando as técnicas disponíveis à época.
Crucialmente, a Enel não conseguiu provar, perante as instâncias de origem, que o vazamento dos dados teria ocorrido exclusivamente em razão do incidente de segurança. Dessa forma, tornou-se impossível aplicar a excludente de responsabilidade do art. 43, III, da LGPD, que estabelece que os agentes de tratamento “só não serão responsabilizados quando provarem que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros”.
A decisão também sublinhou a inclusão da proteção e do tratamento de dados pessoais no rol dos direitos e garantias fundamentais da Constituição (art. 5°, LXXIX) pela Emenda Constitucional n° 115/2022, inaugurando um novo capítulo nos direitos de personalidade, à liberdade e à autodeterminação informativa. O STJ lembrou que, mesmo antes da positivação constitucional, o Supremo Tribunal Federal (STF) já havia reconhecido a autonomia do direito fundamental à proteção de dados pessoais.
A Corte afirmou que a proteção conferida pelo direito de autodeterminação informativa não se restringe à dimensão privada dos dados, mas sim aos riscos atribuídos ao seu processamento por terceiros. Portanto, a conclusão do TJSP de aplicar os direitos do titular e condenar a recorrente a apresentar as informações solicitadas foi considerada correta.
Este acórdão estabelece um importante precedente no cenário jurídico brasileiro, reforçando a amplitude dos direitos dos titulares de dados e as rigorosas responsabilidades impostas aos agentes de tratamento, especialmente no que tange à segurança dos dados e à transparência em caso de violação.
