Por Fernanda Soares
Uma recente decisão do Superior Tribunal de Justiça (STJ) estabeleceu um importante precedente para a proteção de dados no Brasil, reafirmando a responsabilidade das empresas pela segurança das informações de seus clientes, mesmo em casos de ataques cibernéticos. O julgamento, conduzido pela 3ª Turma do STJ, destacou que as organizações não podem se eximir de suas obrigações alegando que os vazamentos ocorreram por ação de terceiros, como hackers.
A Decisão e suas Implicações
O Ministro Ricardo Villas Bôas Cueva, relator do caso, enfatizou que a conformidade com a Lei Geral de Proteção de Dados (LGPD) é fundamental para demonstrar a eficácia dos programas de proteção e segurança adotados pelas empresas. Esta decisão ressalta que, além de se adequar à LGPD, é crucial que as organizações possam comprovar essa adequação de forma concreta e efetiva.
Responsabilidade Proativa: Um Conceito Chave
A noção de responsabilidade proativa, há muito discutida no âmbito da proteção de dados pessoais, ganhou destaque neste contexto. Em agosto de 2022, durante a 1ª Jornada da Lei Geral de Proteção de Dados na sede da FecomercioSP, este conceito foi tema de um enunciado específico.
A responsabilidade proativa na LGPD representa um sistema de responsabilização civil especialíssimo, alinhado com o artigo 6º da lei, que estabelece o princípio da responsabilização e prestação de contas4. Este princípio é definido como a “demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.”
Mudança de Paradigma na Responsabilização
Esta abordagem introduz uma mudança significativa na forma como a responsabilização é entendida, deslocando o foco da reparação de danos para a prevenção destes. Assim, não basta que as empresas simplesmente cumpram os artigos da LGPD; é necessário que elas demonstrem ativamente esse cumprimento e adotem medidas proativas para prevenir violações de dados.
Além da Conformidade Documental
Para demonstrar conformidade com a LGPD, as empresas precisam ir além da mera produção de documentos como políticas de privacidade e termos de consentimento. É necessário, dentre outros:
- Comprovar o mapeamento completo das atividades envolvendo dados pessoais, incluindo riscos e ações mitigadoras.
- Demonstrar a implementação de medidas de segurança eficazes.
- Evidenciar a nomeação de um encarregado de proteção de dados.
- Comprovar o treinamento adequado de todos os funcionários em práticas de proteção de dados.
- Exigir e verificar a conformidade de prestadores de serviços e fornecedores com a LGPD.
Conclusão
A decisão do STJ reforça que a responsabilidade proativa é o cerne da proteção de dados no Brasil. As empresas devem não apenas cumprir a lei, mas também estar preparadas para demonstrar de forma contínua e eficaz suas práticas de proteção de dados. Esta abordagem proativa não só protege os direitos dos titulares de dados, mas também fortalece a responsabilidade das empresas em um cenário cada vez mais digitalizado e regulado.
Processo: REsp 2.147.374 (https://processo.stj.jus.br/processo/pesquisa/?tipoPesquisa=tipoPesquisaNumeroRegistro&termo=202202209228&totalRegistrosPorPagina=40&aplicacao=processos.ea)
