A Eletropaulo foi responsabilizada pelo vazamento de dados pessoais resultante de "invasão hacker" (leia-se: cracker) nos seus sistemas informáticos. O STJ afastou a excludente de responsabilidade prevista no art. 43, III, da LGPD, porque a empresa não demonstrou ter cumprido a obrigação legal de "tomar todas as medidas de segurança esperadas pelo titular para que suas informações fossem protegidas. E seus sistemas utilizados para tratamento de dados pessoais deveriam estar estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e governança e os princípios gerais previstos na LGPD e as demais normas regulamentares." (STJ - 3ª Turma - REsp 2.147.374/SP, julgado em 03/12/24).
Pode soar estranho responsabilizar uma empresa por uma invasão criminosa (cracker) aos seus sistemas cibernéticos. É preciso compreender, no entanto, que para afastar a responsabilidade da vítima de uma invasão maliciosa é preciso demonstrar os esforços de conformidade de aplicação da LGPD nas suas atividades.
O compliance de dados vai além de treinamentos pontuais. A conformidade com a lei pressupõe uma cultura de preservação e cuidado com os dados recebidos e armazenados. E isso é mais fácil do que parece: o primeiro passo é nomear um Encarregado de Dados (versão brasileira do DPO) com o perfil adequado dentro da organização. Dica: o melhor encarregado não será o ocupado CEO, tampouco o focado CFO.
Quando o Encarregado entende o que é exigido nessa função e ganha autonomia, a empresa assegura-se de que terá os subsídios (e documentos comprobatórios) necessários para eximir-se de responsabilidade pelos inevitáveis vazamentos de dados resultantes de invasão maliciosa dos seus sistemas. Em suma: se nem mesmo o STJ escapa de ataques cibernéticos (lembramos o episódio de 03/11/2020), o sucesso da defesa da empresa reside na sua capacidade de demonstração de que os esforços na proteção dos dados pessoais que lhe são confiados é uma política real, e não uma iniciativa isolada.