Por unanimidade, a 3ª Turma do Superior Tribunal de Justiça (STJ) decidiu que a Enel, antiga Eletropaulo, mesmo diante de um ataque hacker, tem responsabilidade de prestar informações a um cliente vítima de vazamento de dados não sensíveis.
A empresa deve elencar todas as entidades públicas e privadas com as quais compartilhou dados, fornecendo declaração completa que indique sua origem, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, assim como a cópia exata de todos os dados referentes ao titular constantes em seus bancos de dados, conforme o art. 19, II, da LGPD.
O caso foi julgado no REsp 2.147.374, no qual os ministros acompanharam integralmente o voto do relator, ministro Ricardo Villas Bôas Cueva, que entendeu independentemente do vazamento ter se originado por uma atividade ilícita, era obrigação da Enel proteger os dados não sensíveis dos consumidores.
No julgamento do recurso, a controvérsia analisada pelo colegiado estava em definir se o vazamento de dados não sensíveis do titular, decorrentes de atividade alegadamente ilícita, é passível de atribuir ao agente de tratamento de dados as obrigações previstas no art. 19, II, da Lei Geral de Proteção de Dados (LGPD); ou se o fato de o vazamento ter decorrido de atividade ilícita seria uma excludente de responsabilidade, prevista no art. 43, III, da mesma norma.
O art. 19, II, da LGPD dispõe que “a confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular: por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular”.
Já o art. 43, III, da mesma norma estabelece que “os agentes de tratamento só não serão responsabilizados quando provarem que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro”.
Em primeiro grau, o pedido de indenização foi julgado improcedente, sob o argumento de que a mulher não apresentou nos autos provas concretas que demonstrassem que, a partir da violação de seus dados pessoais, houve a ocorrência de danos morais.
Em segunda instância, o Tribunal de Justiça do Estado São Paulo (TJSP) não concedeu a indenização, mas condenou a Enel a apresentar a informação das entidades públicas e privadas com as quais realizou o uso compartilhado dos dados, fornecendo declaração completa que indique sua origem, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, assim como a cópia exata de todos os dados referentes ao titular constantes em seus bancos de dados. Após a decisão do TJSP, a Enel interpôs recurso ao STJ, alegando que ficou comprovado nos autos que o vazamento de dados ocorreu em virtude de atividade ilícita de terceiros, o que excluiria a responsabilização prevista no artigo 43 da LGPD.
Em seu voto, o ministro Ricardo Villas Bôas Cueva considerou que, ao inscrever a proteção de dados no rol dos direitos de garantia fundamentais da Constituição, a Emenda Constitucional 115/2022 inaugurou um novo capítulo no ordenamento brasileiro, no que tange aos direitos de personalidade, liberdade e autodeterminação informação.
Por isso, segundo o ministro, a Enel, por se enquadrar na categoria dos agentes de tratamento, tinha a obrigação legal de tomar todas as medidas de segurança esperadas pelo titular, para que as suas informações fossem protegidas.
Desse modo, conforme fundamentou Villas Bôas Cueva, os sistemas utilizados pela Enel para tratamento de dados pessoais deveriam estar estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas de governança, seus princípios gerados previstos na LGPD e as demais normas regulamentares.
“Compliance de dados é o esforço de conformidade de aplicação da LGPD nas atividades das empresas que dão um tratamento de dados. Esse instrumento assume a importância central ao induzir não apenas a obediência ao direito, mas também a comprovação da efetividade dos programas de conformidade”, assinalou Villas Bôas Cueva.
Por essa razão, o ministro considerou que o tratamento dos dados pessoais por parte da Enel configurou-se como irregular, quando deixou de fornecer a segurança que o titular dele poderia esperar. O entendimento de Villas Bôas Cueva foi acompanhado pelos ministros Humberto Martins, Moura Ribeiro e Nancy Andrighi.
Procurada, a Enel Distribuição São Paulo afirmou que não comenta ações judiciais em andamento.
