Nos primeiros quatro anos de vigência da Lei Geral de Proteção de Dados Pessoais (LGPD), o Superior Tribunal de Justiça (STJ) estabeleceu precedentes que têm moldado a interpretação e aplicação da lei no Brasil. Abaixo, exploramos algumas das decisões mais significativas que impactam tanto empresas quanto cidadãos no tratamento de dados pessoais.

‍

Principais Decisões do STJ sobre a LGPD

1. RMS 55.819/2022 – Acesso a Informações Patrimoniais de Servidores Públicos

Neste caso, o STJ considerou que a disponibilização de informações patrimoniais de servidores públicos não viola a LGPD. O tribunal destacou que, embora o direito à proteção de dados seja essencial, ele não é absoluto, especialmente para agentes políticos que se sujeitam a uma redução de privacidade. A Lei de Improbidade Administrativa também impõe o dever de transparência no setor público. Assim, o fornecimento desses dados à Administração Pública é permitido, mas isso não implica que as informações serão tornadas públicas de forma irrestrita.

2. RESP 2.135.784/2024 – Transparência nas Decisões Automatizadas (Caso "99")

Com o uso crescente de sistemas de decisões automatizadas, o STJ reforçou que é essencial garantir transparência e defesa para indivíduos afetados por essas decisões. O tribunal enfatizou que informações usadas para descredenciar motoristas, por exemplo, configuram dados pessoais e devem estar sujeitas ao direito de revisão, conforme o Art. 20 da LGPD. Isso significa que, embora a empresa possa suspender o motorista de imediato, ela deve proporcionar um meio de defesa, assegurando que a transparência seja mantida.

3. AREsp 2.130.619/2024 – Vazamento de Dados e Dano Moral Presumido

Em uma decisão importante, o STJ afirmou que nem todo vazamento de dados pessoais gera dano moral presumido. No caso julgado, o tribunal considerou que o simples vazamento de dados comuns, sem comprovação de prejuízo direto, não constitui dano presumido. Essa decisão ressalta que, embora a LGPD proteja todos os dados pessoais, a gravidade do vazamento e o tipo de dado exposto são fatores que influenciam a possibilidade de indenização.

4. REsp 1.914.596 – Identificação de Agressores em Crimes Virtuais (Caso Marielle)

O STJ decidiu que provedores de conexão podem ser obrigados a fornecer dados pessoais de indivíduos que cometem ofensas online. A decisão baseia-se no Art. 7º, VI da LGPD, que permite a quebra de sigilo para o exercício regular de direitos. Esta decisão é importante para reforçar a proteção dos direitos fundamentais no ambiente digital, mostrando que a LGPD não impede a obtenção de dados para combater crimes virtuais.

5. REsp 2.092.096 – Exclusão de Dados Indevidos (Caso B3)

A responsabilidade das empresas de armazenamento de dados foi reforçada pelo STJ ao determinar que empresas devem excluir dados fraudulentos em seus sistemas e fornecer informações sobre contas fraudulentas que causaram prejuízos a terceiros. Nesse caso, a B3 foi responsabilizada por fornecer registros de um fraudador que utilizou a plataforma para enganar investidores, reforçando que empresas têm a obrigação de gerenciar seus dados de maneira segura e ética.

6. REsp 2.077.278 – Responsabilidade por Falhas na Proteção de Dados

Em um julgamento envolvendo um golpe financeiro, o STJ determinou que a instituição financeira poderia ser responsabilizada caso seja comprovado que houve falha no armazenamento dos dados do cliente que resultou em fraude. A decisão enfatiza que, para haver responsabilização, é necessário comprovar um nexo causal entre a falha no tratamento dos dados e o dano sofrido pelo cliente, reforçando a importância de controles internos de segurança para empresas que armazenam dados sensíveis.

‍

Implicações das Decisões para Empresas e Cidadãos

Essas decisões do STJ determinam como a LGPD será aplicada em casos práticos, definindo limites e responsabilidades para o tratamento de dados pessoais. Para empresas, as decisões reforçam a necessidade de adotar práticas de transparência, segurança e controle sobre dados armazenados, especialmente em casos que envolvem a privacidade e os direitos fundamentais dos indivíduos.

Empresas que não implementarem políticas de proteção de dados e transparência adequadas podem estar sujeitas a responsabilidade civil, administrativa, e em alguns casos, executivos, gestores, diretores e funcionários podem ser responsabilizados inclusive na esfera penal. Por isso, é essencial que as organizações revisem continuamente suas práticas de compliance e segurança de dados.

‍

Conclusão

As decisões do STJ nos primeiros anos da LGPD mostram que a proteção de dados é uma prioridade não apenas para a conformidade com a lei, mas também para proteger os direitos fundamentais dos indivíduos no ambiente digital. Como a legislação de proteção de dados está em constante evolução, é importante que as empresas estejam atentas aos novos precedentes e adaptem suas práticas para garantir a conformidade com as exigências da LGPD.

‍

Se deseja entender melhor como essas decisões podem impactar o seu negócio ou precisa de ajuda para adequar sua empresa à LGPD, entre em contato conosco para saber mais sobre nossos serviços.

‍

‍