Responsabilidade por Dados e Documentos: Quando a Empresa Pode Responder por Vazamentos Causados por Terceiros
A digitalização dos negócios aumentou significativamente a coleta e o uso de dados pessoais e corporativos. Como consequência, vazamentos de dados e documentos se tornaram um dos principais riscos jurídicos, financeiros e reputacionais para as empresas.
Com a Lei Geral de Proteção de Dados (LGPD) e o posicionamento recente dos tribunais, ficou claro: a empresa pode ser responsabilizada por vazamentos mesmo quando o incidente é causado por terceiros, como fornecedores, parceiros ou ataques cibernéticos.
Nesse contexto analisamos os fundamentos legais, a jurisprudência dominante e os limites da responsabilidade corporativa em casos de vazamentos, oferecendo uma abordagem completa para gestores, juristas e responsáveis por proteção de dados.
Acompanhe até o final!
A Proteção de Dados como Obrigação Legal no Brasil
A LGPD criou um marco legal para o tratamento de dados pessoais no Brasil, impondo obrigações específicas aos agentes de tratamento, controladores e operadores, de adotar medidas técnicas e administrativas aptas a proteger os dados pessoais contra acessos não autorizados e incidentes de segurança.
Conforme o art. 42 da LGPD, o controlador e o operador são responsáveis por danos patrimoniais, morais, individuais ou coletivos decorrentes do tratamento de dados, independentemente da necessidade de comprovação de culpa.
Na prática, isso significa que não basta alegar boa-fé ou esforço parcial. Se as medidas adotadas forem consideradas insuficientes diante do risco da atividade, pode surgir o dever de indeniz
ar.
A proteção de dados também encontra-se fundamentada no texto constitucional, onde o direito à privacidade e ao sigilo de dados está protegido como extensão do direito à intimidade e à inviolabilidade de informações pessoais.
Responsabilidade Objetiva: O que isso significa para a empresa?
A LGPD adota um regime de responsabilidade civil objetiva, que não exige a demonstração de culpa para a configuração do dever de indenizar em razão do vazamento de dados.
Basta que o titular comprove o dano e a ocorrência do incidente de segurança no tratamento de seus dados.
O art. 42 da LGPD prevê que o agente de tratamento que causar dano deve reparar os prejuízos, consolidando a visão de que a responsabilidade não depende da comprovação de negligência, imprudência ou imperícia isoladamente, mas sim da ocorrência do evento danoso em razão da relação de tratamento de dados.
Esse entendimento é reforçado pelo Código Civil, que impõe a reparação do dano quando a atividade empresarial gera risco a terceiros, o que inclui o tratamento de dados pessoais.
Vazamentos causados por Terceiros exclui a responsabilidade da empresa?
Como tudo no direito, depende.
A LGPD, em seu art. 43, inciso III, prevê que os agentes não serão responsabilizados se comprovarem que o dano decorre exclusivamente de culpa do titular dos dados ou de terceiro.
Contudo, a jurisprudência do Superior Tribunal de Justiça (STJ) tem aplicado essa exceção de forma restritiva. No julgamento do REsp 2.147.374/SP, o STJ deixou claro que uma simples alegação de que o vazamento decorreu de ataque hacker ou culpa exclusiva de terceiro não afasta automaticamente a responsabilidade da empresa.
No julgamento do REsp 2.121.904/SP, o tribunal entendeu que o vazamento de dados sensíveis pode configurar dano moral presumido, independentemente de demonstração de prejuízo direto, quando a empresa não comprova a adoção de medidas adequadas de proteção.
Em outro caso, a Terceira Turma do STJ decidiu que empresas não podem se eximir de responsabilidade por incidentes de segurança com dados, mesmo quando alegam ataque cibernético, não comprovando efetivamente a adoção de métodos preventivos e de governança eficazes.
Isso porque, a empresa deve comprovar que adotou todas as medidas de segurança exigíveis e proporcionais ao risco, de acordo com as melhores práticas de governança, tecnologia e proteção de dados.
Esses precedentes indicam que a responsabilidade por dados pessoais não se limita estritamente a atos da própria empresa, mas também à capacidade de demonstrar que o tratamento de dados estava protegido por práticas de segurança robustas.
Responsabilidade Solidária entre Controlador e Operador
A LGPD prevê que tanto o controlador quanto o operador podem ser responsabilizados solidariamente pelos danos decorrentes de vazamentos, dependendo da participação de cada um no tratamento dos dados.
Isso significa que uma contratante que apenas contrata um serviço de processamento de dados pode igualmente responder por danos causados pelo operador terceirizado, especialmente se não houver cláusulas contratuais claras de proteção e governança de dados que distribuam responsabilidades e garantam a observância de padrões técnicos adequados.
Direito dos Titulares e Deveres de Transparência
A LGPD assegura aos titulares o direito de obter informações claras sobre o tratamento de seus dados, incluindo a confirmação da existência de processamento, a finalidade, com quem foram compartilhados e uma cópia completa dos dados.
Caso haja vazamento, a empresa tem o dever de fornecer tais informações.
Essas garantias, estabelecidas nos arts. 18 e 19 da LGPD, configuram obrigações específicas para o controlador, de modo que a ausência de transparência ou de comunicação adequada em caso de incidente pode agravar a responsabilização da empresa.
Quais as principais Medidas Administrativas e Sanções pela ANPD?
Além da responsabilidade civil, a empresa pode sofrer sanções administrativas aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD), que vão desde advertências e multas de até R$ 50 milhões por infração até suspensão das atividades de tratamento de dados e publicização da infração.
Essas penalidades podem ser impostas independentemente da responsabilização civil, reforçando a necessidade de conformidade contínua e diligência na segurança da informação.
Prevenção e Governança: Como Reduzir Riscos ao Tratar Dados de Terceiros
Para reduzir o risco de responsabilidade por dados, a legislação exige que as empresas adotem medidas técnicas e administrativas eficazes, em conformidade com o risco e a natureza dos dados tratados.
Essas medidas incluem:
- Auditorias periódicas de segurança da informação;
- Políticas de controle de acesso e criptografia;
- Governança documental clara;
- Contratação de terceiros com exigência de padrões robustos;
- Planos de resposta a incidentes e comunicação imediata à ANPD.
A adoção de práticas de compliance digital e governança de dados atende não apenas à LGPD, mas também apresenta vantagem competitiva ao proteger ativos intangíveis e a reputação corporativa.
Por fim, a responsabilização por vazamentos de dados e documentos no ambiente empresarial é uma realidade consolidada pela legislação da LGPD e por decisões recentes do STJ.
Mesmo que o vazamento seja causado por terceiro, a empresa pode responder civilmente e administrativamente se não demonstrar a adoção de medidas preventivas e de proteção eficazes, de acordo com princípios legais e melhores práticas de governança de dados.
Empresas que entendem os limites da responsabilidade e que implementam estratégias robustas de conformidade e segurança jurídica, com a análise de especialistas no assunto, estarão mais bem posicionadas para evitar litígios, proteger reputação e reduzir custos decorrentes de incidentes de segurança.
A experiência prática demonstra que o custo da prevenção é significativamente menor do que o custo de um incidente de vazamento de dados.
Por isso, a contratação de um advogado especializado em LGPD e vazamento de dados é medida essencial, tanto para prevenir responsabilizações quanto para orientar a empresa de forma estratégica em situações de crise, fiscalizações e demandas judiciais.
Gostou do texto? Deixe seu comentário ou dúvida abaixo que teremos prazer em lhe responder!
