Em dezembro do ano passado o tsunâmi que atingiu a Ásia em 2004, causando devastação e vitimou quase 230 mil pessoas, fez 20 anos. Suas primeiras ondas – pequenas, mas que já permitiam visualizar que algo estava por vir, foram registradas em vídeo filmado minutos antes do desastre atingir a Tailândia, que foi um dos mais assistidos no Youtube quando foi publicado.
Os países mais afetados pelo desastre não haviam registrado outros na época moderna, e por isso não estavam preparados para sua ocorrência. Sem nem mesmo possuir sistemas de alerta, foram pegos de surpresa – mesmo tendo o terremoto que o ocasionou ocorrido cerca de meia hora antes – o que dificultou a adoção de medidas simples como fugir para locais altos fora do alcance das ondas, aumentando o número de vítimas fatais.
O Tsunami da LGPD: Onda de Ações Judiciais Está Apenas Começando?
Menos de 15 anos antes do tsunâmi que atingiu a Ásia era sancionado o Código de Defesa do Consumidor (CDC), legislação que mudou a forma com que nos comportamos nas relações de consumo. Com ele veio um tsunâmi de ações, que em 2013 já era responsável por quase metade das então 90 milhões de ações em curso no Judiciário brasileiro, e em 2022 ainda era responsável por um quarto de todas as novas ações distribuídas no país.
E desde a publicação da Lei Geral de Proteção de Dados Pessoais (LGPD) em 2018 temos alertado que um dos principais impactos desta exigente lei, especialmente diante da morosidade da ANPD na análise e julgamento de processos administrativos para aplicação de penalidades como as temidas multas, é o tsunâmi de ações nela embasadas que teremos como o que atingiu o país com a vigência do CDC.
Apesar de o número de decisões judiciais envolvendo a aplicação da lei tenha crescimento expressivo desde a vigência da LGPD, ainda prevalece entre muitas empresas o entendimento de que a lei estaria dando sinais de enfraquecimento, e que as decisões, ainda que poucas, não têm sido desfavoráveis a ponto de justificar o investimento em governança de privacidade em suas operações brasileiras.
Acontece que a 3ª Turma do Superior Tribunal de Justiça – STJ decidiu no último dia 11 de fevereiro de 2025, por unanimidade, que no vazamento de dado pessoal sensível há a caracterização de dano moral presumido ao titular, gerando à empresa responsável a obrigação de indenizá-lo independentemente de haver prova de prejuízos concretos por ele sofridos. E o que isso significa? Estamos agora diante dos primeiros sinais do tsunâmi da LGPD alertado em 2018?
O julgamento, advindo de recurso especial em ação proposta por um único consumidor de seguro de vida, teve como origem um ataque hacker a uma seguradora em 2020 que expôs dados como nome, CPF, endereço, dados de saúde, bens e beneficiários, e até números de conta corrente e agência. Por causa da exposição e da sensibilidade dos dados, a seguradora foi condenada a indenizar este único segurado em R$ 15 mil reais a título de danos morais, valor este que foi aumentado dos R$ 10 mil da condenação em 1ª instância.
Apesar de não divulgado o número total de titulares afetados pelo vazamento, pela natureza do incidente e volume de dados processados por empresas atualmente, pode chegar facilmente na casa dos milhares, e gerar um expressivo prejuízo vindo de ações propostas por outros titulares afetados.
A decisão chega para mostrar a evolução nas decisões que temos visto nos últimos meses envolvendo o tema responsabilidade civil por incidente de privacidade. Isto pois o mesmo STJ decidiu no final de 2024 que um incidente de vazamento nem sempre pode ser considerado um fortuito externo para afastamento da responsabilidade da empresa pela falha de adoção de medidas de segurança dos dados pessoais. A decisão firma o entendimento de que não dá para botar a culpa no ataque hacker como desculpa para não possuir a devida governança de privacidade na empresa.
Como as Empresas Podem se Proteger do Impacto Jurídico da LGPD?
Com pouco mais de 6 anos de LGPD, a proteção de dados pessoais no Brasil é ainda pouco madura se comparada com a proteção do consumidor, vinda do CDC que hoje tem quase 35 anos, que levou muitos anos para atingir a maturidade em que se encontra. E é nesse paralelo que alertamos que ainda não vimos, de fato, toda a força da LGPD, e que estamos sim diante de um tsunâmi de demandas judiciais a exemplo daquelas decorrentes do CDC que tomou conta dos tribunais anos após sua vigência.
Se o tsunami da LGPD estiver realmente vindo, há algo que possa ser feito para proteger minha empresa? A resposta felizmente é um estrondoso sim. Isto pois a própria LGPD prevê, seguindo a mesma lógica do Código de Defesa do Consumidor, que a responsabilização poderá ser afastada quando provada (i) a culpa exclusiva do titular ou de terceiro; (ii) que não estava envolvida no tratamento do dado pessoal que resultou na exposição da privacidade; ou (iii) quando apesar de envolvida no tratamento, não tenha violado a LGPD, o que demanda cumprir, e seguir cumprindo, seus requisitos, por meio de um efetivo programa de conformidade com a lei.
Como as duas primeiras hipóteses não estão no controle das empresas, resta a terceira como única forma de afastar sua responsabilidade no caso de um incidente envolvendo dados pessoais, como nos ataques hackers que deram origem às decisões do STJ que aqui mencionadas.
Pois mesmo não sendo possível impedir um tsunâmi, estar preparado e sobreviver a ele é. E agindo desta forma, a empresa vítima de um ataque hacker pode reduzir os riscos jurídicos dele decorrentes para não ser devastada pela onda de ações e seu consequente passivo milionário, permitindo, acima de tudo, sua sobrevivência.
Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI e Telecom!
