top of page
Buscar

STJ decide: alegar “fomos hackeados” não exime mais empresas de indenizar — os impactos jurídicos e financeiros que você precisa saber.

  • Foto do escritor: falecomacsadv
    falecomacsadv
  • há 1 dia
  • 3 min de leitura

O julgamento do REsp 2.147.374/SP mudou o jogo para controladores e operadores de dados. Entenda por que segurança da informação virou matéria de sobrevivência jurídica.


Durante anos, o discurso padrão dentro de empresas após um vazamento de dados era: “Não podemos ser responsabilizados. Fomos vítimas de hackers. A culpa é exclusiva de terceiros.”


Esse tempo acabou.


Em dezembro de 2024, o Superior Tribunal de Justiça (STJ), no julgamento do REsp 2.147.374/SP, consolidou um entendimento que todo gestor jurídico, empresário de tecnologia e profissional de compliance precisa conhecer e, mais do que isso, aplicar imediatamente na governança de dados da sua organização.


1. O que exatamente mudou com a decisão do STJ?


O tribunal reconheceu que a responsabilidade civil do controlador e do operador de dados pessoais pode ser solidária, independentemente de culpa exclusiva de terceiros — como ação criminosa de hackers.


Na prática:

  • Não basta provar que houve invasão externa.

  • É necessário demonstrar que a empresa adotou medidas de segurança robustas, documentadas e proporcionais ao risco.

  • A LGPD exige diligência contínua, não apenas a instalação de um firewall.


Além disso, o julgamento reforça o dever de indenizar por danos materiais, morais e coletivos, abrindo caminho para ações civis públicas e condenações em larga escala.


2. O tamanho do risco financeiro (dados IBM 2025)


Relatório IBM 2025 sobre custo de vazamento de dados trouxe um número alarmante para a realidade brasileira:

R$ 7,19 milhões é o custo médio de um incidente de segurança no país.

Esse valor representa um aumento de 6,5% em relação ao ano anterior e inclui:

  • Forense digital: investigação da causa, extensão e responsáveis.

  • Paralização operacional: sistemas fora do ar, perda de produtividade.

  • Acionamento jurídico: honorários, defesas, acordos e indenizações.

  • Gestão de crise: equipes de relações públicas, notificações à ANPD, comunicação com titulares.

  • Perdas comerciais de longo prazo: clientes que migram para concorrentes, contratos rompidos, dano reputacional que se arrasta por anos.


E esse é apenas o custo direto. O contencioso civil, como veremos a seguir, adiciona uma camada ainda mais imprevisível.


3. O contencioso civil: a nova fronteira do risco jurídico

O Poder Judiciário brasileiro já não trata mais vazamento de dados como um mero “incidente de TI”.


Há decisões condenatórias com base em:

  • Dano moral presumido (Súmula 403 do STJ, aplicada por analogia aos dados pessoais).

  • Inversão do ônus da prova em relações de consumo envolvendo vazamento.

  • Responsabilidade objetiva em muitos casos, especialmente quando a empresa não comprova boas práticas de segurança.


Tribunais de Justiça estaduais e o próprio STJ têm proferido decisões cada vez mais frequentes e rigorosas. Em vários julgados recentes, a mera ocorrência do vazamento já gera presunção de falha na segurança.


O que isso significa?


Que o Judiciário está dizendo: “se o dado vazou, algo na sua governança falhou. Prove o contrário.”


4. O que diferencia empresas que controlam o dano das que sofrem ruptura?


Com base na atuação consultiva que tenho prestado a empresas de tecnologia, plataformas digitais e fintechs, observo quatro pilares que separam as organizações que gerenciam a crisedaquelas que entram em colapso jurídico e reputacional:


✅ 1. Política de segurança documentada e efetivamente aplicada

Não adianta ter um documento engavetado. A política precisa ser conhecida, treinada, auditável e atualizada constantemente.

✅ 2. Contratos com fornecedores com cláusulas robustas de responsabilidade

Operadores de dados (provedores de nuvem, APIs, ferramentas de análise) devem compartilhar contratualmente a responsabilidade por incidentes. Muitas empresas negligenciam esse ponto.

✅ 3. Plano de resposta a incidentes testado

Ter um plano “na gaveta” não basta. É necessário simular cenários de vazamento periodicamente, com times jurídico, de TI, comunicação e executivo treinados para agir em conjunto.

✅ 4. DPO atuante antes do incidente

O Encarregado (DPO) não pode ser uma figura decorativa ou contratada às pressas após o primeiro vazamento. Um DPO estratégico mapeia riscos, orienta contratos, treina colaboradores e mantém a documentação de compliance em ordem.


5. Conclusão: segurança da informação é planejamento jurídico preventivo

A decisão do STJ no REsp 2.147.374/SP é um marco. Ela diz, em outras palavras, que o Judiciário não aceitará mais a narrativa da “vítima inocente” sem que a empresa comprove uma cultura genuína de proteção de dados.

Portanto, a mensagem final é direta:

Segurança da informação não é tema exclusivo de TI. É planejamento jurídico preventivo. Trate como tal.

Porque quando o Judiciário bater à porta — e ele vai bater, mais cedo ou mais tarde —, o argumento “achávamos que estávamos seguros” não será uma defesa aceitável.


🔁 Marque o gestor jurídico, o DPO ou o líder de compliance da sua empresa nos comentários.

💬 Sua empresa já testou o plano de resposta a incidentes neste ano?



 
 
 

Comentários

bottom of page