No julgamento do REsp 2.147.374-SP, de relatoria do ministro Ricardo Villas Bôas Cueva, a Terceira Turma, por unanimidade, firmou o seguinte entendimento:

“É passível a imputação das obrigações previstas no art. 19, II, da Lei Geral de Proteção de Dados Pessoais (LGPD), ao agente de tratamento de dados, na ocasião de vazamento de dados pessoais não sensíveis do titular, decorrente de atividade alegadamente ilícita (ataque hacker)”.

A controvérsia jurídica, em síntese, consistiu “em definir se o vazamento de dados pessoais não sensíveis do titular, decorrente de atividade alegadamente ilícita (ataque hacker), é passível de imputar ao agente de tratamento de dados as obrigações previstas no art. 19, II, da Lei Geral de Proteção de Dados Pessoais (LGPD), ou se o fato de tal vazamento ter decorrido de atividade ilícita seria uma excludente de responsabilidade, prevista no art. 43, III (culpa exclusiva de terceiro)”.

Para acesso à íntegra do Informativo n. 838 e obtenção de mais informações sobre a decisão, clique aqui.

(fonte: https://processo.stj.jus.br/jurisprudencia/externo/informativo/).