STJ AREsp 2170495
CIVILLEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS. AGRAVO INTERNO. AGRAVO EM RECURSO ESPECIAL. VAZAMENTO DE DADOS PESSOAIS. DADOS NÃO SENSÍVEIS DO TITULAR. RESPONSABILIDADE CIVIL PROATIVA DO AGENTE DE TRATAMENTO. ATO ILÍCITO DE TERCEIRO. AUSÊNCIA DE ADOÇÃO DE MEDIDAS DE SEGURANÇA ADEQUADAS. AUSÊNCIA DE ROMPIMENTO DO NEXO CAUSAL. RECURSO DESPROVIDO. I. CASO EM EXAME 1. Agravo interno interposto contra decisão que negou provimento ao agravo, mantendo a condenação da agravante na obrigação de apresentar informações sobre o uso compartilhado de dados pessoais do autor. II. QUESTÃO EM DISCUSSÃO 2. A questão em discussão consiste em saber se a agravante pode ser responsabilizada pelo vazamento de dados pessoais não sensíveis do autor, mesmo alegando que o incidente decorreu de ato ilícito de terceiro. III. RAZÕES DE DECIDIR 3. A responsabilidade do agente de tratamento de dados é mantida, mesmo em casos de vazamento por ato de terceiro, se não forem adotadas medidas de segurança adequadas. 4. A expectativa de legítima proteção dos dados pessoais não foi atendida, conforme art. 44, III, da LGPD. 5. A revisão das conclusões do TJSP demandaria reexame do acervo fático-probatório, atraindo a incidência da Súmula n. 7 do STJ. IV. DISPOSITIVO E TESE 6. Resultado do Julgamento: Agravo interno desprovido. Tese de julgamento: 1. Os agentes de tratamento de dados devem adotar medidas de segurança para proteger os dados pessoais de acessos não autorizados. 2. A responsabilidade do agente de tratamento não é excluída por atos de terceiros, salvo demonstração de culpa exclusiva. Dispositivos relevantes citados: Lei nº 13.709/2018, arts. 18, VII; 19, II; 43, II; 44, III; 46. Jurisprudência relevante citada: STJ, REsp n. 2.147.374/SP, relator Ministro Ricardo Villas Bôas Cueva, Terceira Turma, julgado em 3/12/2024. RELATÓRIO Trata-se de agravo interno interposto por ELETROPAULO METROPOLITANA ELETRICIDADE DE SÃO PAULO S. A. contra a decisão de fls. 1.656-1.661, que negou provimento ao agravo. A parte agravante sustenta que a matéria recursal não esbarra na Súmula n. 7 do STJ, pois a questão discutida no recurso especial é de natureza estritamente jurídica, envolvendo a violação dos arts. 18, VII, 19, II, 42, 43, 44, 45, 46, 48, 49 e 50 da Lei n. 13.709/2018 (LGPD). Alega que a decisão agravada deixou de se manifestar sobre relevantes questões suscitadas, configurando afronta ao art. 93, IX, da Constituição Federal, que exige fundamentação das decisões judiciais. Afirma que a obrigação de fazer imposta à agravante é de impossível cumprimento, pois não houve compartilhamento dos dados do agravado com instituições públicas ou privadas, inviabilizando a aplicação dos arts.8, VII, e 19, II, 42, 43, 44, 45 e 46, 48 da Lei n. 13.709/2018. Alega que o evento narrado pelo agravado decorreu de ato ilícito estranho à atuação da agravante, de modo que a particularidade das circunstâncias envolvidas no incidente de dados pessoais que deu azo ao ajuizamento da presente demanda, inviabilizam a responsabilização da agravante e a aplicação de tais dispositivos ao caso concreto. Destaca que a matéria aferível na via especial não demanda o necessário reexame de provas dos autos. Requer o provimento do agravo interno para que seja admitido e provido o recurso especial, afastando-se a condenação na obrigação de fazer. Não foram apresentadas contrarrazões, conforme a certidão à fl. 1.710. É o relatório. EMENTA LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS. AGRAVO INTERNO. AGRAVO EM RECURSO ESPECIAL. VAZAMENTO DE DADOS PESSOAIS. DADOS NÃO SENSÍVEIS DO TITULAR. RESPONSABILIDADE CIVIL PROATIVA DO AGENTE DE TRATAMENTO. ATO ILÍCITO DE TERCEIRO. AUSÊNCIA DE ADOÇÃO DE MEDIDAS DE SEGURANÇA ADEQUADAS. AUSÊNCIA DE ROMPIMENTO DO NEXO CAUSAL. RECURSO DESPROVIDO. I. CASO EM EXAME 1. Agravo interno interposto contra decisão que negou provimento ao agravo, mantendo a condenação da agravante na obrigação de apresentar informações sobre o uso compartilhado de dados pessoais do autor. II. QUESTÃO EM DISCUSSÃO 2. A questão em discussão consiste em saber se a agravante pode ser responsabilizada pelo vazamento de dados pessoais não sensíveis do autor, mesmo alegando que o incidente decorreu de ato ilícito de terceiro. III. RAZÕES DE DECIDIR 3. A responsabilidade do agente de tratamento de dados é mantida, mesmo em casos de vazamento por ato de terceiro, se não forem adotadas medidas de segurança adequadas. 4. A expectativa de legítima proteção dos dados pessoais não foi atendida, conforme art. 44, III, da LGPD. 5. A revisão das conclusões do TJSP demandaria reexame do acervo fático-probatório, atraindo a incidência da Súmula n. 7 do STJ. IV. DISPOSITIVO E TESE 6. Resultado do Julgamento: Agravo interno desprovido. Tese de julgamento: 1. Os agentes de tratamento de dados devem adotar medidas de segurança para proteger os dados pessoais de acessos não autorizados. 2. A responsabilidade do agente de tratamento não é excluída por atos de terceiros, salvo demonstração de culpa exclusiva. Dispositivos relevantes citados: Lei nº 13.709/2018, arts. 18, VII; 19, II; 43, II; 44, III; 46. Jurisprudência relevante citada: STJ, REsp n. 2.147.374/SP, relator Ministro Ricardo Villas Bôas Cueva, Terceira Turma, julgado em 3/12/2024.