O fato de um vazamento de dados ser causado por um ataque hacker não isenta a empresa das suas responsabilidades definidas na Lei Geral de Proteção de Dados, a LGPD.
Em uma decisão inédita, por unanimidade 3ª turma do Supremo Tribunal de Justiça, avaliando o caso da Enel (a antiga Eletropaulo), que pode se tornar influente em casos futuros, ou, para falar um pouco em juridiquês, gerar uma jurisprudência.
O debate era sobre se o vazamento de dados causado por atividade ilícita configura excludente de responsabilidade, eximindo a empresa vítima das penalidades da LGPD.
Ao analisar o recurso, o relator, ministro Ricardo Villas Bôas Cueva entendeu que a empresa, na condição de agente de tratamento de dados, tem o dever legal de adotar “todas as medidas de segurança exigidas para proteger as informações pessoais”.
Nesse contexto, o tratamento de dados pela Eletropaulo foi considerado irregular, pois não forneceu o nível de segurança que o titular “poderia legitimamente esperar”, considerando as circunstâncias do caso.
Lembrando, a violação das regras da LGPD pode gerar multas de 2% do faturamento, até um teto de R$ 50 milhões e vazamentos de dados causados por hackers se tornaram um fenômeno relativamente frequente nos últimos anos.
O caso em questão data de 2020, quando vazaram cerca de 4% da base de clientes da companhia, o que significa cerca de 300 mil pessoas.
Todos os clientes afetados eram do município de Osasco, localizado na Região Metropolitana da capital paulista.
Os dados vazados incluem itens como CPF, e-mail, número da conta bancária, consumo de eletricidade, endereço, telefone fixo e telefone celular, entre outros.