Após um incidente de segurança que resultou no vazamento de dados sob controle da Enel Distribuição São Paulo, uma consumidora ajuizou ação de indenização por danos morais contra a companhia.
A Autora da ação alegou que suas informações pessoais foram comprometidas durante a invasão aos sistemas da empresa, o que representaria violação à LGPD e ao Código de Defesa do Consumidor.
Em resposta, a companhia informou que cumpre todas as normas legais de proteção de dados relativas à segurança da informação para manter a integridade dos dados pessoais dos seus usuários, de acordo com o Art. 46, caput, da LGPD.
A empresa argumentou a hipótese de aplicação da excludente de responsabilidade, previsto no art. 43, III da LGPD, isso porque a invasão ocorreu por ação de terceiro, não cabendo responsabilidade à empresa, uma vez que cumpriu a legislação e às normas técnicas.
A decisão traz alguns pontos interessantes sobre a responsabilidade da empresa no caso de vazamento de dados:
- A invasão aos sistemas é considerada uma falha na prestação de serviço, um fortuito interno, e por isso não caber a excludente de responsabilidade por ação de terceiro;
- O consumidor deve comprovar que sofreu um dano por conta do vazamento de dados, não basta a alegação de que teve informações pessoais expostas;
- Nenhuma fraude foi praticada com as informações, a consumidora não conseguiu provar que recebia e-mails indesejados e ligações de empresas que tinham relação com o vazamento de dados;
- A maioria dos dados vazados (nome, RG, CPF) não é acobertado por mínimo sigilo e são costumeiramente fornecidos por todas as pessoas em estabelecimentos comerciais;
- A empresa teve sucesso em mostrar que tomou todas as providências necessárias para amenizar os danos causados pelo vazamento. A companhia demonstrou boa-fé ao entrar em contato com todos os seus consumidores afetados para prestar informações a respeito.
Boas práticas de segurança da informação no ambiente empresarial são extremamente importantes para evitar responsabilidades por incidentes de segurança.
Os incidentes de segurança causados por invasões aos sistemas de uma organização podem ser considerados como falhas na prestação de serviço e resultar em ações judiciais por parte dos titulares afetados.
A adequação à LGPD é mais do que uma obrigação legal, trata-se de uma oportunidade e diferencial competitivo de mercado àqueles que buscam atender consumidores cada vez mais conscientes sobre seus dados pessoais.
Venha conhecer mais sobre a LGPD com a Wentz Vieira Advocacia Empresarial: siga nossa página no Instagram e entre em contato para tirar suas dúvidas.