A era digital trouxe consigo inúmeros benefícios, mas também novos riscos, como a crescente ameaça dos ciberataques. Esses ataques, que podem ser praticados por hackers, organizações criminosas ou até agentes estatais, têm causado sérios prejuízos financeiros e reputacionais a empresas e governos. Eles afetam não só as instituições diretamente visadas, mas também consumidores e usuários cujos dados são roubados ou comprometidos.

Neste cenário, a questão da responsabilidade civil por danos decorrentes de ciberataques tornou-se central no direito brasileiro. O desafio é definir em que medida empresas e prestadores de serviços são responsáveis pelos danos causados a terceiros, especialmente à luz da Lei Geral de Proteção de Dados (LGPD) e do Código Civil Brasileiro. Além disso, é importante considerar a aplicação de teorias como a teoria do risco e o papel das seguradoras em eventos cibernéticos.

1. Obrigações da LGPD e o dever de segurança

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018), em vigor no Brasil desde 2020, trouxe um novo paradigma de responsabilidade para o tratamento de dados pessoais, impondo às empresas um dever de segurança que vai além de simples medidas preventivas. A lei determina que controladores e operadores de dados implementem mecanismos capazes de garantir a integridade, confidencialidade e disponibilidade das informações.

A LGPD exige que as organizações adotem medidas técnicas e administrativas para proteger os dados contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração ou vazamento de dados. Isso inclui o uso de tecnologias como criptografia, sistemas de firewall, autenticação em múltiplos fatores, além da capacitação constante dos colaboradores para evitar erros humanos, que são uma das principais portas de entrada para ataques cibernéticos.

Em caso de violação, a LGPD prevê penalidades severas, incluindo multas que podem chegar a 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração, além de sanções administrativas como a proibição do exercício de atividades relacionadas ao tratamento de dados. Portanto, o não cumprimento das obrigações de segurança cibernética pode gerar responsabilidade civil objetiva, especialmente se os danos decorrem da negligência da empresa em adotar essas medidas.

2. Responsabilidade civil objetiva e a teoria do risco

O princípio da responsabilidade objetiva na legislação brasileira está relacionado à ideia de que determinadas atividades geram, por si só, risco a terceiros. A teoria do risco prevê que aquele que realiza uma atividade que expõe terceiros a algum perigo ou dano potencial deve ser responsável pelos eventuais prejuízos, independentemente da comprovação de culpa ou dolo. Assim, basta a existência de um dano e o nexo de causalidade para que se configure a responsabilidade.

Empresas que coletam e tratam grandes volumes de dados pessoais, como bancos, seguradoras, plataformas de e-commerce e redes sociais, são exemplos típicos de operadores que exercem uma atividade de risco. O Supremo Tribunal Federal (STF), em diversas ocasiões, tem reforçado o entendimento de que empresas que lidam com dados pessoais e sistemas de segurança devem ser responsabilizadas de forma objetiva por falhas de segurança que resultem em danos aos consumidores.

A teoria do risco também é invocada em casos onde a atividade principal da empresa gera uma expectativa de segurança por parte do consumidor, como nas operações de plataformas digitais, o que exige uma maior vigilância em termos de cibersegurança. Quando um sistema falha, comprometendo dados pessoais, as empresas são obrigadas a indenizar os prejudicados.

3. Responsabilidade compartilhada entre empresas e prestadores de serviços

Nos ambientes corporativos, é comum que empresas terceirizem serviços de TI, como o armazenamento de dados em cloud computing (nuvem) ou a segurança digital. Nesses casos, a responsabilidade civil pode ser compartilhada entre a empresa contratante (controladora dos dados) e a empresa prestadora de serviços (operadora dos dados). A LGPD estabelece que ambas as partes podem ser solidariamente responsabilizadas em caso de falha na proteção dos dados.

Casos envolvendo a AWS (Amazon Web Services) e outras grandes empresas de tecnologia, onde ocorreram vazamentos de dados, demonstram que a terceirização de serviços de segurança ou armazenamento de dados não exime o controlador de suas obrigações legais. Tanto o operador quanto o controlador devem garantir a conformidade com os padrões de segurança. Caso contrário, ambos podem ser acionados judicialmente para responder pelos danos causados.

4. Jurisprudência e casos práticos

O Judiciário brasileiro tem começado a lidar com questões relacionadas a ciberataques e vazamentos de dados. Embora a jurisprudência ainda esteja em desenvolvimento, alguns casos exemplificam a posição dos tribunais sobre a responsabilidade civil em questões de cibersegurança.

Um exemplo recente foi o caso envolvendo uma grande operadora de telecomunicações que sofreu um ciberataque resultando no vazamento de dados de milhões de clientes. O Tribunal de Justiça de São Paulo (TJSP) decidiu pela responsabilidade objetiva da empresa, entendendo que, como detentora de uma grande quantidade de dados pessoais, ela deveria adotar todas as medidas necessárias para garantir a proteção dos mesmos. A falha na segurança foi considerada uma violação do dever de proteção, e a empresa foi condenada a indenizar os clientes afetados.

. Caso fortuito, força maior e o papel das seguradoras

Apesar das exigências legais, existem situações em que as empresas podem alegar caso fortuito ou força maior para se eximir de responsabilidade. Um ataque cibernético extremamente sofisticado, conduzido por hackers de Estado, pode ser caracterizado como um evento imprevisível e inevitável, afastando a responsabilidade da empresa, desde que ela demonstre que tomou todas as medidas razoáveis para proteger seus sistemas.

Entretanto, o argumento de força maior não é facilmente aceito pelos tribunais. Muitas vezes, os juízes consideram que a evolução constante dos ciberataques exige uma postura proativa das empresas, que devem estar sempre atualizadas em relação às tecnologias de segurança.

Neste contexto, o papel das seguradoras tem se destacado. O mercado de seguros cibernéticos tem crescido significativamente, oferecendo às empresas cobertura para prejuízos decorrentes de ciberataques, incluindo os custos de reparação de danos a terceiros, multas regulatórias e recuperação de dados.

Conclusão

A segurança cibernética está diretamente ligada à responsabilidade civil, especialmente em um mundo cada vez mais digital e interconectado. A Lei Geral de Proteção de Dados e o Código Civil Brasileiro estabelecem diretrizes claras para a proteção de dados pessoais e responsabilizam as empresas que falharem em adotar as medidas de segurança adequadas.

A responsabilidade civil por ciberataques, portanto, é objetiva em muitos casos, baseada na teoria do risco, o que impõe às empresas a obrigação de indenizar os prejudicados sempre que falhas em sua segurança resultarem em danos. Embora a alegação de força maior possa ser levantada, ela deve ser acompanhada de prova robusta de que todas as medidas de proteção possíveis foram tomadas.

Por fim, à medida que os ataques cibernéticos se tornam mais frequentes e sofisticados, cresce a necessidade de que empresas invistam em sistemas de proteção robustos e, ao mesmo tempo, considerem soluções como seguros cibernéticos para mitigar os riscos financeiros e jurídicos.

Artigo escrito por Sidnei José Nagalli Júnior, Integrante do Departamento Cível e do Núcleo de Inovações e Negócios.