A 3ª Turma do Superior Tribunal de Justiça (STJ) decidiu, por unanimidade, que empresa é responsável pelo vazamento de dados pessoais de clientes, mesmo que o incidente tenha sido causado por um ataque hacker.
O caso envolveu o vazamento de dados não sensíveis, como nome completo, número de RG, CPF, endereço, e-mail e telefone, de uma consumidora após um ataque cibernético. A empresa, ao ser acionada, alegou que o incidente foi causado por um ato de terceiro, o que poderia justificar a isenção de responsabilidade com base no artigo 43 da Lei Geral de Proteção de Dados (LGPD).
No entanto, o STJ reafirmou que a responsabilidade da empresa é incontestável, já que a falha de segurança, mesmo diante de um ataque externo, comprometeu a proteção dos dados. Independentemente da origem do vazamento, reforçou que é dever da empresa adotar medidas adequadas para garantir a segurança dos dados pessoais sob sua responsabilidade, conforme previsão do artigo 19 da LGPD.
A decisão reforça a importância de as empresas adotarem políticas eficazes de segurança da informação para proteger dados pessoais e evitar danos aos seus clientes e sanções judiciais.