A segurança cibernética é uma das maiores preocupações das empresas hoje, indo além de riscos operacionais e financeiros. Ataques podem comprometer dados pessoais de clientes e colaboradores, gerando impactos jurídicos, regulatórios e reputacionais.
Todos os dias, ocorrem quase 4.000 ataques cibernéticos e surgem 560 mil novos malwares. A cada 14 segundos, uma empresa é vítima de ransomware. Segundo a consultoria Allianz (2024), 41% das empresas classificam incidentes cibernéticos como o maior risco para seus negócios, superando até as mudanças climáticas (38%).
Mas, afinal, de quem é a responsabilidade quando um hacker invade sistemas e expõe dados pessoais?
Conheça o JOTA PRO Poder, plataforma de monitoramento que oferece transparência e previsibilidade para empresas
A Lei Geral de Proteção de Dados Pessoais (LGPD) estabelece que empresas que causarem danos patrimoniais ou morais em decorrência de violações à legislação devem repará-los. No entanto, há exceções, como, por exemplo, se o evento não for derivado do tratamento de dados da empresa ou se o dano ocorrer por culpa exclusiva do titular ou de terceiros.
A legislação exige que as empresas adotem medidas técnicas e administrativas para proteger dados contra acessos não autorizados, vazamentos e tratamentos indevidos. Além disso, incidentes com risco ou dano relevante aos titulares devem ser reportados à Autoridade Nacional de Proteção de Dados (ANPD) e aos próprios titulares.
O Superior Tribunal de Justiça (STJ) tem analisado casos relevantes sobre vazamento de dados e responsabilidade das empresas, interpretando a LGPD: em 2023, a 2ª Turma da corte entendeu que, embora o vazamento de dados seja uma falha indesejável, ele não gera, por si só, o direito à indenização por danos morais. Para tanto, o titular deve comprovar o efetivo prejuízo causado pela exposição, pois os dados vazados eram comuns e frequentemente fornecidos em cadastros e sites de consulta.
Porém, poderia ser diferente o entendimento se o caso envolvesse dados sensíveis, como os de saúde, origem racial ou étnica, convicção religiosa ou biométrico, por exemplo.
Seguindo essa premissa, em 2025, a 3ª Turma do STJ reconheceu que, em contrato de seguro de vida, o vazamento de dados pessoais sensíveis do segurado gera responsabilidade objetiva da seguradora e caracteriza dano moral presumido, sendo destacado que dados sensíveis exigem maior proteção e que seu vazamento pode comprometer aspectos da vida do segurado, como honra, imagem e segurança pessoal.
Em 2024, a mesma 3ª Turma do STJ entendeu que instituição financeira responde pelo defeito na prestação do serviço consistente no tratamento indevido de dados bancários, quando essas informações são utilizadas por estelionatários para aplicar golpes contra consumidores.
Em outro caso decorrente de ataque hacker, a 3ª Turma do STJ, em 2024, reforçou que o fato de a invasão ter sido causada por terceiros não afasta a responsabilidade da empresa, pois a organização precisa demonstrar que adotou boas práticas de segurança, incluindo governança de dados, ferramentas de supervisão e políticas de mitigação de riscos. Se não conseguir provar sua diligência (responsabilidade proativa), poderá ser responsabilizada.
O custo médio de uma violação de dados pessoais é de US$ 4,88 milhões, por evento (IBM, 2024). Além da responsabilidade civil e sanções regulatórias, as empresas podem sofrer com perda de clientes e negócios, abalo reputacional, desvalorização de mercado e custos elevados com investigação e perícia.
As principais causas de vazamentos são credenciais comprometidas (16%), phishing (15%), configuração incorreta da nuvem (12%) e ataques internos (7%).
Para evitar incidentes e demonstrar diligência em caso de vazamentos, as empresas devem adotar medidas robustas de cibersegurança, como, por exemplo, treinamento e conscientização. Cerca de 98% dos ataques poderiam ser evitados com práticas básicas de segurança digital (Microsoft, 2022), por exemplo.
Além disso, há as camadas de proteção tecnológica: antimalware, firewall e atualização de sistemas; autenticação multifator e controle rigoroso de acessos; criptografia, anonimização e pseudonimização de dados.
Outra medida é ter um escopo de governança e gestão de riscos: políticas de segurança da informação e privacidade; segregação de redes e backups frequentes; monitoramento contínuo, guarda de logs de acesso e testes de invasão. Tudo isso sem contar as respostas a incidentes: definir procedimentos claros para detectar, conter e reportar violações; avaliar a gravidade do incidente e notificar autoridades e os titulares, quando necessário; registros dos incidentes; e simulações periódicas para garantir eficiência na resposta.
Nenhuma empresa está imune a ataques cibernéticos, mas organizações que adotam boas práticas de segurança e transparência têm melhores chances de afastar ou mitigar sua responsabilidade jurídica.
A postura proativa na prevenção e na governança de dados pessoais é essencial para proteger clientes, a reputação da empresa e evitar impactos financeiros severos.
