É isso mesmo que você leu.
Com a LGPD, mesmo que a empresa não tenha dado causa ao vazamento de dados pessoais, ela será responsabilizada da mesma forma caso não tenha implementado medidas de segurança e prevenção.
É cada vez mais comum a invasão por hackers de sistemas e bancos de dados de empresas, com posterior pedido de resgaste para devolução de acessos. Sempre com ameaça de divulgação destes dados.
Neste sentido, não basta ter um backup, já que a proteção é da pessoa e não da empresa.
O julgamento havido no Recurso Especial 2.147.374 sinaliza o que será avaliado pelo Poder Judiciário brasileiro quanto aos desdobramentos que sucedem a ocorrência de um vazamento de dados armazenados pelas empresas.
Pela análise do acórdão, se conclui que:
- É obrigação da empresa demonstrar que adotou medidas de segurança para evitar a ocorrência de incidente com dados pessoais (Responsabilidade proativa);
- Não é necessária a demonstração de efetivo prejuízo pela pessoa para se buscar a reparação;
- O Compliance de Dados é obrigatório;
- É a empresa vítima do ataque cibernético quem deve comprovar que o mesmo ocorreu e que era inevitável
Merece destaque a conclusão do Ministro Relator no sentido de que:
“[…] ao se verificar que a empresa recorrente se enquadra na categoria dos agentes de tratamento, caberia a ela tomar todas as medidas de segurança esperadas pelo titular para que suas informações fossem protegidas, entre as quais a utilização das técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado. Em acréscimo, os sistemas utilizados para o tratamento de dados pessoais da recorrente deveriam estar estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na LGPD e às demais normas regulamentares (art. 49).”
E ainda:
“[…] ao não provar que o vazamento dos dados da recorrida teria se dado exclusivamente em razão do incidente de segurança, é impossível aplicar em favor da recorrente a excludente de responsabilidade do art. 43, III, da LGPD.”
Desde sua promulgação, a LGPD obrigou empresas dos mais diversos setores a se adequarem. Em geral, movimentos de adequação foram realizados no mercado, porém, muitos deles se revelam como uma “maquiagem” com elaboração de documentos bem escritos mas que não trazem efetividade no principal quesito exigido, qual seja, segurança e prevenção.
A decisão é mais que um sinal, é uma advertência clara e direta de que projetos de adequação somente serão eficazes quando forem capazes de demonstrar a adoção de medidas de prevenção e segurança adequadas ao tamanho da empresa e ao tipo de serviço prestado.
Não basta ter documentos, é necessária a demonstração de adoção de medidas eficazes de acordo com o que exigido pela LGPD.
Escrito por Felipe Rangel OAB/PR 65.292