Superior Tribunal de Justiça (STJ) decidiu recentemente, no julgamento do Recurso Especial nº 2147374/SP, que empresas podem ser responsabilizadas civilmente por vazamento de dados pessoais, mesmo quando o incidente decorre de ataques cibernéticos. O entendimento reafirma a responsabilidade dos agentes de tratamento prevista na Lei Geral de Proteção de Dados Pessoais (LGPD), especialmente quanto à expectativa de segurança por parte dos titulares.

No caso analisado, a empresa recorrente alegava que o vazamento de dados de um cliente havia sido causado exclusivamente por um ataque hacker – ou seja, por ação de terceiros – e, portanto, não poderia ser responsabilizada. No entanto, o STJ entendeu que, na ausência de comprovação de que a falha decorreu exclusivamente de terceiros, a empresa não poderia se eximir de sua responsabilidade. A Corte também destacou que a mera alegação de ataque cibernético não basta: é preciso demonstrar a adoção de medidas de segurança eficazes e compatíveis com o risco envolvido.

O julgamento enfatiza que as empresas devem adotar boas práticas de segurança da informação e manter programas de compliance robustos. O relator, Ministro Ricardo Villas Bôas Cueva, destacou que a proteção de dados é um direito fundamental no Brasil, e que as organizações têm o dever de estruturar seus sistemas de forma a garantir a confidencialidade, integridade e disponibilidade das informações.

Entre as consequências para a empresa envolvida, o STJ determinou que ela fornecesse ao titular dos dados informações claras sobre o tratamento realizado, inclusive o compartilhamento com terceiros, conforme previsto nos artigos 18 e 19 da LGPD. A decisão reforça o dever de transparência e a importância da autodeterminação informativa como fundamento da proteção de dados pessoais no país.

Empresas de todos os setores, inclusive cartórios e organizações que atuam com alto volume de dados sensíveis, devem estar atentas: a simples existência de um incidente de segurança não é suficiente para afastar a responsabilidade. A jurisprudência consolida o entendimento de que o tratamento de dados exige não apenas conformidade formal, mas ações práticas, contínuas e efetivas de proteção.