Ataque hacker não é desculpa para furar LGPD

Decisão do STJ em caso da Eletropaulo estabelece precedente relevante sobre segurança.

Ataque hacker não é desculpa para furar LGPD

O fato de um vazamento de dados ser causado por um ataque hacker não isenta a empresa das suas responsabilidades definidas na Lei Geral de Proteção de Dados, a LGPD.

Em uma decisão inédita, por unanimidade 3ª turma do Supremo Tribunal de Justiça, avaliando o caso da Enel (a antiga Eletropaulo), que pode se tornar influente em casos futuros, ou, para falar um pouco em juridiquês, gerar uma jurisprudência.

O debate era sobre se o vazamento de dados causado por atividade ilícita configura excludente de responsabilidade, eximindo a empresa vítima das penalidades da LGPD. 

Ao analisar o recurso, o relator, ministro Ricardo Villas Bôas Cueva entendeu que a empresa, na condição de agente de tratamento de dados, tem o dever legal de adotar “todas as medidas de segurança exigidas para proteger as informações pessoais”.

Nesse contexto, o tratamento de dados pela Eletropaulo foi considerado irregular, pois não forneceu o nível de segurança que o titular “poderia legitimamente esperar”, considerando as circunstâncias do caso.

Lembrando, a violação das regras da LGPD pode gerar multas de 2% do faturamento, até um teto de R$ 50 milhões e vazamentos de dados causados por hackers se tornaram um fenômeno relativamente frequente nos últimos anos.

O caso em questão data de 2020, quando vazaram cerca de 4% da base de clientes da companhia, o que significa cerca de 300 mil pessoas.

Todos os clientes afetados eram do município de Osasco, localizado na Região Metropolitana da capital paulista.

Os dados vazados incluem itens como CPF, e-mail, número da conta bancária, consumo de eletricidade, endereço, telefone fixo e telefone celular, entre outros.