Conceitos necessários.
Dados Pessoais e Dados Pessoais Sensíveis.
Dado pessoal: é qualquer informação relacionada a uma pessoa natural identificada ou identificável. Exemplos: Nome, e-mail, telefone, CPF, RG, endereço, foto, IP, geolocalização.
Dado pessoal sensível: são informações que podem expor ou discriminar uma pessoa, exigindo uma proteção mais rigorosa. Exemplos: Origem racial/étnica, convicções religiosas, opiniões políticas, dados genéticos, biométricos e informações sobre saúde.
Controvérsia.
A controvérsia jurídica consiste em definir se o vazamento de dados pessoais não sensíveis do titular, decorrente de atividade alegadamente ilícita (ataque hacker), é passível de imputar ao agente de tratamento de dados as obrigações previstas no art. 19, II, da Lei Geral de Proteção de Dados Pessoais (LGPD), ou se o fato de tal vazamento ter decorrido de atividade ilícita seria uma excludente de responsabilidade, prevista no art. 43, III (culpa exclusiva de terceiro).
Os titulares de dados pessoais têm o direito de solicitar informações sobre seus dados. O artigo 19, inciso II, determina que deve ser fornecida uma declaração clara e completa, indicando:
Origem dos dados (de onde a empresa obteve as informações).
Critérios utilizados no processamento.
Finalidade do tratamento (por que esses dados estão sendo processados).
Essa obrigação não desaparece no caso de vazamentos – a empresa deve continuar explicando ao titular como seus dados foram obtidos, processados e possivelmente comprometidos.
Direito fundamental à proteção dos dados pessoais, inclusive nos meios digitais.
É importante recapitular que, ao inscrever a proteção e o tratamento de dados pessoais no rol dos direitos e garantias fundamentais da Constituição Federal (art. 5º, LXXIX), a Emenda Constitucional n. 115/2022 inaugurou um novo capítulo no ordenamento jurídico brasileiro no que tange aos direitos de personalidade, à liberdade e à autodeterminação informativa.
Dever das empresas de adotarem medidas de segurança e de instituírem programas de conformidade à LGPD.
Nesse sentido, as empresas que se enquadram na categoria dos agentes de tratamento têm a obrigação legal de tomar todas as medidas de segurança esperadas pelo titular dos dados para que suas informações sejam protegidas, e seus sistemas utilizados para o tratamento de dados pessoais devem estar estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na LGPD e às demais normas regulamentares.
Ademais, compliance de dados é o esforço de conformidade e de aplicação da LGPD nas atividades das empresas que lidam com tratamento de dados. Referido instrumento assume importância central ao induzir não apenas à obediência ao direito, mas também à comprovação da efetividade dos programas de conformidade.
O tratamento de dados pessoais é irregular quando frustra a expectativa de legítima proteção.
Logo, o tratamento de dados pessoais configura-se como irregular quando deixa de fornecer a segurança que o titular dele poderia esperar (“expectativa de legítima proteção”), consideradas as circunstâncias relevantes, entre as quais as técnicas de tratamento de dados pessoais disponíveis à época em que foi for realizado (art. 44, III, da LGPD).
É possível excluir a responsabilidade por culpa exclusiva de terceiro?
No caso de a empresa de tratamento não provar que determinado vazamento dos dados tenha ocorrido exclusivamente em razão de incidente de segurança (ataque hacker), é impossível aplicar em seu favor a excludente de responsabilidade do art. 43, III, da LGPD.
Conclusão…
Assim, é correta a conclusão de concretizar os direitos do titular dos dados ao condenar a empresa responsável pelo tratamento de dados na obrigação de:
apresentar informação das entidades públicas e privadas com as quais realizou o uso compartilhado dos dados da recorrida (art. 18, VII, da LGPD); e a
fornecer declaração completa que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento; bem como
fornecer a cópia exata de todos os dados referentes ao titular constantes em seus bancos de dados (art. 19, II, da LGPD).
STJ. REsp 2.147.374-SP, Rel. Ministro Ricardo Villas Bôas Cueva, Terceira Turma, por unanimidade, julgado em 3/12/2024, DJEN 6/12/2024 (info 838).
