A recente decisão do Superior Tribunal de Justiça (STJ) no Recurso Especial nº 2.147.374 trouxe à tona uma discussão fundamental para o cenário jurídico e empresarial brasileiro: a responsabilidade das empresas na proteção de dados pessoais. O caso em questão envolveu a Enel, que foi responsabilizada pelo vazamento de dados pessoais não sensíveis de uma consumidora, mesmo tendo alegado que o incidente resultou de um ataque hacker.
O STJ concluiu que a empresa falhou ao não adotar medidas adequadas para proteger as informações, reforçando que a segurança de dados não é uma opção, mas uma obrigação legal inalienável. Ou seja, mesmo em casos de eventos externos, como ataques cibernéticos, a decisão enfatizou que cabe às empresas comprovar que empregaram todos os esforços razoáveis para evitar incidentes.
Essa interpretação amplia o alcance da Lei Geral de Proteção de Dados (LGPD) e coloca as empresas diante de um cenário de maior responsabilidade jurídica. A incapacidade de demonstrar a adoção de práticas robustas de segurança pode gerar não apenas sanções financeiras, mas também danos irreparáveis à reputação da marca.
Com a promulgação da Emenda Constitucional nº 115/2022, a proteção de dados foi elevada ao status de direito fundamental no Brasil, equiparando-se a direitos como liberdade e privacidade. Ou seja, essa mudança consolida o entendimento de que a proteção de informações pessoais é um elemento essencial da dignidade humana, refletindo um compromisso do Estado com a segurança digital.
Por isso, o julgamento da Enel demonstrou essa evolução ao considerar a segurança no tratamento de dados como parte integrante das operações empresariais. O tribunal destacou que incidentes de segurança, como vazamentos, estão diretamente ligados à atividade principal da empresa. Para o STJ, eles representam riscos inerentes às práticas empresariais, que exigem uma gestão cuidadosa e diligente.
Além disso, a decisão estabelece um precedente relevante ao afirmar que as empresas precisam demonstrar não apenas conformidade formal, mas também proatividade na mitigação de riscos. Isso inclui investir em infraestrutura tecnológica, adotar políticas internas sólidas e realizar auditorias frequentes.
Neste aspecto, inclusive, a doutrina assim tem se manifestado:
"[a] nova lei, porém, introduz, secundando o regulamento europeu, uma mudança profunda em termos de responsabilização. (...) Exige-se, em síntese, atitudes conscientes, diligentes e proativas por parte das empresas em relação à utilização dos dados pessoais. Assim, a partir de agosto de 2020, quando entra em vigor a LGPD, qualquer empresa que processe dados pessoais, terá não apenas que cumprir a lei, mas também terá que provar que está em conformidade com a Lei. Caberá às empresas, em vez de à Administração Pública, a responsabilidade de identificar os próprios riscos e escolher e aplicar as medidas apropriadas para mitigá-los." (Maria Celina Bodin de Moraes e João Quinelato de Queiroz, "Autodeterminação informativa e responsabilização proativa", Cadernos Adenauer XX (2019) nº 3, p. 113). GRIFO NOSSO
A negligência em relação à proteção de dados pode gerar uma série de consequências prejudiciais às empresas. Entre os principais riscos estão:
O caso Enel exemplifica claramente como a ausência de uma política de segurança eficaz pode expor a organização a consequências severas. O STJ deixou claro que as empresas precisam estar preparadas para demonstrar, a qualquer momento, que suas práticas atendem aos princípios da LGPD, como prevenção, transparência e segurança.
Atender às exigências da LGPD não é apenas uma questão de evitar sanções, mas de proteger os interesses de todas as partes envolvidas. Para isso, é essencial integrar a proteção de dados em todas as operações empresariais, adotando uma abordagem ampla e estratégica. As principais ações incluem:
Assim, além de evitar sanções e processos judiciais, a conformidade com a LGPD pode se tornar um ativo estratégico para as empresas.
Empresas que tratam dados com transparência e assumem um compromisso com a segurança fortalecem a confiança de consumidores e parceiros. Essa postura cria um diferencial competitivo em um mercado cada vez mais digital e interconectado. Quando agem com ética e responsabilidade no uso de dados, as empresas se tornam referências no setor, atraem clientes e constroem parcerias baseadas em práticas sólidas de governança.
Por isso, a decisão do STJ no caso Enel marcou a interpretação da LGPD e alertou o mercado. Negligenciar a proteção de dados compromete não apenas o cumprimento legal, mas também a confiança de consumidores, colaboradores e investidores. No cenário corporativo atual, empresas precisam agir de forma alinhada à LGPD para garantir a sustentabilidade dos negócios.
Se a sua empresa ainda não está preparada para lidar com os desafios impostos pela LGPD, entre em contato conosco.
Publicado por:
© 2024 Vanzin & Penteado Advogados Associados.