Resposta rápida
Em regra, sim. O STJ decidiu, em precedente divulgado em informativo de jurisprudência, que o ataque hacker, por si só, não livra o agente de tratamento de dados de suas obrigações. Se a empresa não provar que o vazamento decorreu exclusivamente do incidente de segurança causado por terceiro, não se aplica a excludente do art. 43, III, da LGPD.
O dever de segurança do agente de tratamento
A proteção de dados pessoais é direito fundamental (art. 5º, LXXIX, da Constituição, incluído pela EC 115/2022), e as empresas que tratam dados têm obrigação legal de adotar as medidas de segurança que o titular pode legitimamente esperar, seguindo padrões de boas práticas, governança e conformidade com a LGPD.
O tratamento é considerado irregular quando deixa de fornecer a segurança esperada pelo titular, consideradas as técnicas disponíveis à época (art. 44, III, da LGPD). A alegação genérica de ataque hacker não basta: cabe à empresa comprovar que o vazamento ocorreu exclusivamente por culpa de terceiro para invocar a excludente de responsabilidade.
As obrigações impostas no caso concreto
No precedente, que envolvia vazamento de dados não sensíveis, o STJ manteve a condenação da empresa a cumprir deveres de transparência: informar as entidades públicas e privadas com as quais compartilhou os dados (art. 18, VII) e fornecer declaração completa sobre origem, critérios e finalidade do tratamento, além de cópia dos dados do titular (art. 19, II).
A extensão da responsabilidade em cada vazamento, inclusive quanto a eventual indenização, depende das provas sobre a falha de segurança e a conduta da empresa, o que os tribunais examinam caso a caso.
Pesquise a jurisprudência completa
Busque decisões sobre este e outros temas em dezenas de tribunais brasileiros.
Pesquisar jurisprudência