(Português) Por João Pedro Delgado
Recentemente o Superior Tribunal de Justiça (STJ) estabeleceu um importante precedente para a proteção dos dados pessoais, quando do julgamento do Recurso Especial nº 2.121.904. Firmou-se o entendimento de que empresas que armazenam e tratam dados sensíveis são responsáveis de forma objetiva pelo vazamento dessas informações. Isso significa que, independentemente de culpa ou negligência, as empresas devem responder pelos danos causados aos titulares dos dados expostos, sem necessidade de comprovação culpa ou dolo.
O caso em questão envolvia um consumidor que firmou contrato de seguro de vida em julho de 2018 e, dois anos depois, foi informado pela própria seguradora sobre um incidente de cibersegurança. Segundo comunicado da empresa, houve acesso não autorizado a uma parcela da base de dados de propostas de seguro, contendo informações pessoais como nome, CPF, endereço, dados de saúde, bens e beneficiários. Em alguns casos, até números de conta corrente e agência foram comprometidos.
A responsabilidade objetiva estabelece que a empresa será responsabilizada independentemente de dolo ou culpa. Na prática, isso quer dizer que, caso ocorra um vazamento de dados sensíveis, a empresa envolvida deverá indenizar os afetados sem que seja necessário provar negligência ou dolo.
Ao analisar o recurso, a ministra Nancy Andrighi destacou a necessidade de rigorosa proteção dos dados pessoais no contrato de seguro de vida, uma vez que a seguradora, para avaliação dos riscos, recebe informações sensíveis sobre aspectos pessoais, familiares, financeiros e de saúde do segurado. “O vazamento de dados pessoais sensíveis fornecidos para a contratação de seguro de vida, por si só, submete o consumidor a riscos em diversos aspectos de sua vida, como sua honra, imagem, intimidade, patrimônio, integridade física e segurança pessoal”, afirmou a Ministra.
Outro ponto relevante da decisão do STJ é o reconhecimento do dano presumido. Ou seja, o simples fato de os dados pessoais sensíveis terem sido expostos já é suficiente para que a vítima tenha direito à indenização, sem necessidade de demonstrar um prejuízo concreto.
Destaca-se que o entendimento firmado se aplica a casos envolvendo o vazamento de dados sensíveis, e não qualquer tipo de dados. Em casos envolvendo dados não sensíveis, o STJ possui posicionamento no sentido de que o operador/controlador de dados responde caso não adote meios de prevenção do incidente, além de que o dano deve ser comprovado pelo titular afetado.
Essa mudança, para as empresas, reforça a necessidade de um investimento contínuo em segurança da informação, pois qualquer falha pode acarretar sanções e prejuízos financeiros expressivos.
De forma e se evitar a ocorrência de incidentes de segurança, recomenda-se aos operadores de dados sensíveis a implementação de sistemas de segurança robustos, incluindo criptografia e autenticação de múltiplos fatores, treinamento contínuo de funcionários sobre boas práticas de proteção de dados, monitoramento constante de acessos e movimentações de informações sensíveis; entre outras práticas.
Em suma, a decisão do STJ no Recurso Especial nº 2.121.904 representa um marco significativo na proteção dos dados pessoais no Brasil. Ao estabelecer a responsabilidade objetiva das empresas pelo vazamento de dados sensíveis, o tribunal reforça a importância de medidas rigorosas de segurança da informação, além de demonstrar a importância da segurança sobre referidos dados, que dizem respeito à intimidade do titular.
News
Articles
Cases
