A 3ª Turma do Superior Tribunal de Justiça decidiu, por unanimidade, que a empresa Enel não pode ser isenta de responsabilidade perante o caso de vazamento de dados decorrente de um ataque hacker realizado no sistema da organização.
O caso tratava de uma ação ajuizada por uma consumidora que teve os seus dados expostos por uma falha no sistema de segurança da Enel. A ocorrência se deu por um ataque hacker, que resultou no vazamento de dados não sensíveis da cliente, como seu nome completo, RG, endereço, telefone e e-mail.
Em um recurso apresentado ao Tribunal pela Enel, a empresa argumentou que, pelo fato de o vazamento decorrer de atividade ilícita externa, sendo ato de terceiro, e por terem sido atingidos dados considerados “não sensíveis” de consumidores (ou não sigilosos), não deveria ser responsabilizada, uma vez que também foi vítima do evento.
Ao analisar o recurso, o relator e ministro Ricardo Villas Bôas Cueva entendeu que a empresa, na condição de agente de tratamento de dados, tem o dever legal de adotar todas as medidas de segurança exigidas para proteger as informações pessoais e que os sistemas utilizados devem estar estruturados para atender aos requisitos de segurança, boas práticas de governança e aos princípios gerais previstos na LGPD e demais normas aplicáveis.
Nesse sentido, seguindo o posicionamento do relator, o colegiado negou provimento ao recurso especial e considerou que o tratamento de dados por parte da Enel neste episódio foi irregular, uma vez que a empresa não forneceu os níveis de segurança que a titular poderia legitimamente esperar, de acordo com as circunstâncias do caso.
