ACÓRDÃO<br>Vistos e relatados estes autos em que são partes as acima indicadas, acordam os Ministros da QUARTA TURMA do Superior Tribunal de Justiça, em Sessão Virtual de 23/09/2025 a 29/09/2025, por unanimidade, negar provimento ao recurso, nos termos do voto do Sr. Ministro Relator.<br>Os Srs. Ministros Raul Araújo, Maria Isabel Gallotti, Antonio Carlos Ferreira e Marco Buzzi votaram com o Sr. Ministro Relator.<br>Presidiu o julgamento o Sr. Ministro João Otávio de Noronha.<br>EMENTA<br>LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS. AGRAVO INTERNO. AGRAVO EM RECURSO ESPECIAL. VAZAMENTO DE DADOS PESSOAIS. DADOS NÃO SENSÍVEIS DO TITULAR. RESPONSABILIDADE CIVIL PROATIVA DO AGENTE DE TRATAMENTO. ATO ILÍCITO DE TERCEIRO. AUSÊNCIA DE ADOÇÃO DE MEDIDAS DE SEGURANÇA ADEQUADAS. AUSÊNCIA DE ROMPIMENTO DO NEXO CAUSAL. RECURSO DESPROVIDO.<br>I. CASO EM EXAME<br>1. Agravo interno interposto contra decisão que negou provimento ao agravo, mantendo a condenação da agravante na obrigação de apresentar informações sobre o uso compartilhado de dados pessoais do autor.<br>II. QUESTÃO EM DISCUSSÃO<br>2. A questão em discussão consiste em saber se a agravante pode ser responsabilizada pelo vazamento de dados pessoais não sensíveis do autor, mesmo alegando que o incidente decorreu de ato ilícito de terceiro.<br>III. RAZÕES DE DECIDIR<br>3. A responsabilidade do agente de tratamento de dados é mantida, mesmo em casos de vazamento por ato de terceiro, se não forem adotadas medidas de segurança adequadas.<br>4. A expectativa de legítima proteção dos dados pessoais não foi atendida, conforme art. 44, III, da LGPD.<br>5. A revisão das conclusões do TJSP demandaria reexame do acervo fático-probatório, atraindo a incidência da Súmula n. 7 do STJ.<br>IV. DISPOSITIVO E TESE<br>6. Resultado do Julgamento: Agravo interno desprovido.<br>Tese de julgamento:<br>1. Os agentes de tratamento de dados devem adotar medidas de segurança para proteger os dados pessoais de acessos não autorizados.<br>2. A responsabilidade do agente de tratamento não é excluída por atos de terceiros, salvo demonstração de culpa exclusiva.<br>Dispositivos relevantes citados:<br>Lei nº 13.709/2018, arts. 18, VII; 19, II; 43, II; 44, III; 46.<br>Jurisprudência relevante citada:<br>STJ, REsp n. 2.147.374/SP, relator Ministro Ricardo Villas Bôas Cueva, Terceira Turma, julgado em 3/12/2024.

RELATÓRIO<br>Trata-se de agravo interno interposto por ELETROPAULO METROPOLITANA ELETRICIDADE DE SÃO PAULO S. A. contra a decisão de fls. 1.656-1.661, que negou provimento ao agravo.<br>A parte agravante sustenta que a matéria recursal não esbarra na Súmula n. 7 do STJ, pois a questão discutida no recurso especial é de natureza estritamente jurídica, envolvendo a violação dos arts. 18, VII, 19, II, 42, 43, 44, 45, 46, 48, 49 e 50 da Lei n. 13.709/2018 (LGPD).<br>Alega que a decisão agravada deixou de se manifestar sobre relevantes questões suscitadas, configurando afronta ao art. 93, IX, da Constituição Federal, que exige fundamentação das decisões judiciais.<br>Afirma que a obrigação de fazer imposta à agravante é de impossível cumprimento, pois não houve compartilhamento dos dados do agravado com instituições públicas ou privadas, inviabilizando a aplicação dos arts.8, VII, e 19, II, 42, 43, 44, 45 e 46, 48 da Lei n. 13.709/2018.<br>Alega que o evento narrado pelo agravado decorreu de ato ilícito estranho à atuação da agravante, de modo que a particularidade das circunstâncias envolvidas no incidente de dados pessoais que deu azo ao ajuizamento da presente demanda, inviabilizam a responsabilização da agravante e a aplicação de tais dispositivos ao caso concreto.<br>Destaca que a matéria aferível na via especial não demanda o necessário reexame de provas dos autos.<br>Requer o provimento do agravo interno para que seja admitido e provido o recurso especial, afastando-se a condenação na obrigação de fazer.<br>Não foram apresentadas contrarrazões, conforme a certidão à fl. 1.710.<br>É o relatório.<br>EMENTA<br>LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS. AGRAVO INTERNO. AGRAVO EM RECURSO ESPECIAL. VAZAMENTO DE DADOS PESSOAIS. DADOS NÃO SENSÍVEIS DO TITULAR. RESPONSABILIDADE CIVIL PROATIVA DO AGENTE DE TRATAMENTO. ATO ILÍCITO DE TERCEIRO. AUSÊNCIA DE ADOÇÃO DE MEDIDAS DE SEGURANÇA ADEQUADAS. AUSÊNCIA DE ROMPIMENTO DO NEXO CAUSAL. RECURSO DESPROVIDO.<br>I. CASO EM EXAME<br>1. Agravo interno interposto contra decisão que negou provimento ao agravo, mantendo a condenação da agravante na obrigação de apresentar informações sobre o uso compartilhado de dados pessoais do autor.<br>II. QUESTÃO EM DISCUSSÃO<br>2. A questão em discussão consiste em saber se a agravante pode ser responsabilizada pelo vazamento de dados pessoais não sensíveis do autor, mesmo alegando que o incidente decorreu de ato ilícito de terceiro.<br>III. RAZÕES DE DECIDIR<br>3. A responsabilidade do agente de tratamento de dados é mantida, mesmo em casos de vazamento por ato de terceiro, se não forem adotadas medidas de segurança adequadas.<br>4. A expectativa de legítima proteção dos dados pessoais não foi atendida, conforme art. 44, III, da LGPD.<br>5. A revisão das conclusões do TJSP demandaria reexame do acervo fático-probatório, atraindo a incidência da Súmula n. 7 do STJ.<br>IV. DISPOSITIVO E TESE<br>6. Resultado do Julgamento: Agravo interno desprovido.<br>Tese de julgamento:<br>1. Os agentes de tratamento de dados devem adotar medidas de segurança para proteger os dados pessoais de acessos não autorizados.<br>2. A responsabilidade do agente de tratamento não é excluída por atos de terceiros, salvo demonstração de culpa exclusiva.<br>Dispositivos relevantes citados:<br>Lei nº 13.709/2018, arts. 18, VII; 19, II; 43, II; 44, III; 46.<br>Jurisprudência relevante citada:<br>STJ, REsp n. 2.147.374/SP, relator Ministro Ricardo Villas Bôas Cueva, Terceira Turma, julgado em 3/12/2024. <br>VOTO<br>O recurso não merece prosperar, devendo a decisão agravada ser mantida pelos seus próprios fundamentos.<br>A despeito das alegações da parte, a sua pretensão esbarra no teor da Súmula n. 7 do STJ.<br>No recurso, a parte recorrente alega que não realizou qualquer compartilhamento de dados com entidades públicas ou privadas, fato este que inviabiliza a aplicação dos seguintes artigos de lei: 18, VII, e 19, II, 42, 43, 44, 45 e 46, 48 da Lei n. 13.709/2018.<br>Ressalta que foram adotadas medidas rígidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.<br>Registra que tomou todas as medidas previstas para mitigar possíveis danos ao recorrido e comunicou aos titulares dos dados por carta, por e-mail e/ou outro meio de comunicação.<br>Afirma, ainda, que o evento narrado pelo agravado decorreu de ato ilícito estranho à atuação da agravante.<br>Sobre o tema, convém mencionar que esta Corte já decidiu que a empresa que se enquadra na categoria de agente de tratamento, tem a obrigação legal de tomar todas as medidas de segurança esperadas pelo titular para que suas informações sejam protegidas, e que seus sistemas utilizados para o tratamento de dados pessoais devem estar estruturados para atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na LGPD e às demais normas regulamentares.<br>Em suma, a Lei Geral de Proteção de Dados (LGPD) impõe aos agentes de tratamento, não apenas a obrigação de responder quando algo dá errado, mas também o dever de agir, de forma proativa e antecipada, a fim de evitar danos decorrentes do tratamento de dados pessoais.<br>É o que se chama de responsabilidade civil proativa, prevista no art. 6º, X, da LGPD, que exige que os agentes de tratamento demonstrem, de forma efetiva, o cumprimento da lei.<br>Nessa mesma linha de pensamento, registre-se que, nos termos da Lei Geral de Proteção de Dados, o tratamento de dados pessoais é irregular quando deixa de fornecer a segurança que o titular dele poderia esperar ("expectativa de legítima proteção"), consideradas as circunstâncias relevantes, entre as quais as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado (art. 44, III, da LGPD).<br>A propósito, confira-se o seguinte precedente:<br>RECURSO ESPECIAL. LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS. DIREITO À PRIVACIDADE, À LIBERDADE E À AUTODETERMINAÇÃO INFORMATIVA. AGENTE DE TRATAMENTO. VAZAMENTO DE DADOS NÃO SENSÍVEIS DO TITULAR. INCIDENTE DE SEGURANÇA. ATAQUE HACKER. RESPONSABILIDADE EXCLUSIVA DE TERCEIRO. NÃO COMPROVADA. RESPONSABILIDADE CIVIL PROATIVA. EXPECTATIVA DE LEGÍTIMA PROTEÇÃO. COMPLIANCE E REGULAÇÃO DE RISCO DA ATIVIDADE. DIREITOS DO TITULAR. CONCRETIZAÇÃO. APLICABILIDADE.<br>1. A controvérsia jurídica consiste em definir se o vazamento de dados pessoais não sensíveis do titular, decorrente de atividade alegadamente ilícita, é passível de imputar ao agente de tratamento de dados as obrigações previstas no art. 19, II, da LGPD, ou se o fato de tal vazamento ter decorrido de atividade ilícita seria uma excludente de responsabilidade, prevista no art. 43, III, da LGPD.<br>2. Ao inscrever a proteção e o tratamento de dados pessoais no rol dos direitos e garantias fundamentais da Constituição (art. 5º, LXXIX), a Emenda Constitucional nº 115/2022 inaugurou um novo capítulo no ordenamento jurídico brasileiro no que tange aos direitos de personalidade, à liberdade e à autodeterminação informativa.<br>3. A empresa recorrente, pelo fato de se enquadrar na categoria dos agentes de tratamento, tinha a obrigação legal de tomar todas as medidas de segurança esperadas pelo titular para que suas informações fossem protegidas, e seus sistemas utilizados para o tratamento de dados pessoais deveriam estar estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na LGPD e às demais normas regulamentares.<br>4. Compliance de dados é o esforço de conformidade e de aplicação da LGPD nas atividades das empresas que lidam com tratamento de dados.<br>Referido instrumento assume importância central ao induzir não apenas à obediência ao direito, mas também à comprovação da efetividade dos programas de conformidade.<br>5. O tratamento de dados pessoais configurou-se como irregular quando deixou de fornecer a segurança que o titular dele poderia esperar ("expectativa de legítima proteção"), consideradas as circunstâncias relevantes, entre as quais as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado (art. 44, III, da LGPD).<br>6. Ao não provar, perante as instâncias ordinárias, que o vazamento dos dados da recorrida teria se dado exclusivamente em razão do incidente de segurança, é impossível aplicar em favor da recorrente a excludente de responsabilidade do art. 43, III, da LGPD.<br>7. Assim, correta a conclusão do TJSP de concretizar os direitos do titular ao condenar a recorrente na obrigação de apresentar informação das entidades públicas e privadas com as quais realizou o uso compartilhado dos dados da recorrida (art. 18, VII, da LGPD) e a fornecer declaração completa que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, bem como a cópia exata de todos os dados referentes ao titular constantes em seus bancos de dados (art. 19, II, da LGPD).<br>8. Recurso especial não provido.<br>(REsp n. 2.147.374/SP, relator Ministro Ricardo Villas Bôas Cueva, Terceira Turma, julgado em 3/12/2024, DJEN de 6/12/2024.)<br>Assim, a despeito do que alega a parte recorrente, mesmo que o vazamento ou compartilhamento de dados seja derivado de um ato de terceiro criminoso, a exemplo de um ataque hacker, a empresa que coleta, armazena ou trata dados não se exime automaticamente da sua reponsabilidade, mormente quando houver falha ou insuficiência de medidas de segurança técnicas e administrativas para a proteção desses dados, que estão abrangidos pelo próprio risco do negócio.<br>É o que se extrai do art. 46, caput, da LGPD, in verbis:<br>Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.<br>No caso dos autos, o Tribunal de origem, reformando a sentença proferida pelo juízo de primeiro grau, reconheceu que a recorrente não adotou as medidas de segurança adequadas previstas na LGPD, o que originou o vazamento de dados pessoais não sensíveis do autor.<br>Em consequência, apesar de afastar a configuração de danos morais, condenou a ora recorrente à apresentação de informação das entidades públicas e privadas com as quais realizou o uso compartilhado dos dados do autor, além do fornecimento de declaração completa que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, e a cópia exata de todos os dados referentes ao titular constantes em seus bancos de dados, no prazo de 30 dias.<br>A propósito, confira-se o seguinte trecho do acórdão recorrido (fls. 1.386):<br>É incontroverso, dos autos, que o autor teve dados pessoais não sensíveis (nome, número de CPF, data de nascimento, idade, telefones fixo e celular e endereço de e-mail) expostos indevidamente pela ré. Nesse sentido, o documento de fls. 71 e a própria confissão da ré quanto ao vazamento dos dados de seus clientes.<br>Alega o autor, ainda, que sofreu constrangimentos de terceiros, em razão do ocorrido, isto é, passou a receber diversa ligações e mensagens, seja em seu telefone, seja em seu e-mail.<br>Muito embora seja incontroverso o vazamento dos dados, não é caso de condenação da ré em danos morais.<br> .. <br>No caso concreto, não está demonstrada a lesão a qualquer dos componentes da dignidade humana do autor, isto é, igualdade, da integridade psicofísica, da liberdade e da solidariedade.<br> .. <br>Diferentemente seria a hipótese de vazamento de dados sensíveis, estes sim capazes de autorizar a condenação da ré por danos morais in re ipsa, considerada a natureza dos dados violados.<br> .. <br>A sentença comporta parcial reparo, todavia, com relação à pretensão de apresentação das informações solicitadas pelo autor. Com razão o autor com relação à pretensão de apresentação de informação das entidades públicas e privadas com as quais a ré realizou o uso compartilhado de seus dados, conforme o art. 18, VII, da LGPD, devendo a ré fornecer declaração completa que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, assim como a cópia exata de todos os dados referentes ao titular constantes em seus bancos de dados, conforme o art. 19, II, da LGPD.<br>Além disso, seria incongruente juízo de improcedência, com a condenação do autor ao pagamento dos ônus de sucumbência, considerando-se a confissão da ré no vazamento de seus dados e a ausência de apuração completa da extensão desse vazamento pela ré. Embora não comprovado o dano moral. o fato ainda está sob investigação, não se sabendo, ao certo, se houve, inclusive, outras espécies de danos, como o dano material.<br>Reconhece-se, portanto, a violação cometida pela ré no vazamento de dados pessoais não sensíveis do autor, sem, contudo, haver demonstração, nos autos, de prejuízo moral indenizável.<br>Sequer há como acolher a tese de inviabilidade de cumprimento do comando do acórdão ao argumento de que o compartilhamento de dados decorreu de atuação ilícita de terceiros quando o art. 18, VII, do estabelece que "o titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: VII - informações das entidades públicas e provadas com as quais o controlador realizou uso compartilhado de dados".<br>Ademais, o art. 43, II, da LGPD deixa claro que os agentes de tratamento somente não serão responsabilizados quando demonstrarem que o dano é decorrente de culpa exclusiva do titular de dados ou de terceiro, sendo o seu o ônus de demonstrar o rompimento do nexo causal.<br>Assim, em caso de reconhecimento, pelo Tribunal local, de falha na adoção de medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais da recorrida de acessos não autorizados (incidentes de segurança e ataques hacker), e de qualquer forma de tratamento inadequado ou ilícito dessas informações, impõe-se a responsabilidade do agente de tratamento de dados (art. 46 da LGPD).<br>Nesse contexto e considerando que o Tribunal de origem analisou a controvérsia fundamentando-se na responsabilidade civil ativa ou proativa, conforme a LGPD, rever as conclusões do TJSP acerca da responsabilidade do recorrente sobre a observância, o cumprimento e a eficácia das normas de proteção de dados pessoais, demandaria o necessário reexame do acervo fático-probatório dos autos, o que atrai a incidência da Súmula n. 7 do STJ.<br>Portanto, a parte agravante não logrou êxito em demonstrar situação superveniente que justificasse a alteração da decisão agravada.<br>Ante o exposto, nego provimento ao agravo interno.<br>É o voto.