Uma recente decisão do Juizado Especial Cível do Tribunal de Justiça de Minas Gerais reforça um ponto central da Lei Geral de Proteção de Dados: a responsabilidade solidária entre Controlador e Operador.
No caso analisado, o autor ajuizou ação contra XP Investimentos e a marca Rico pleiteando indenização por danos morais em razão de acesso indevido a seus dados pessoais. Embora as rés tenham sustentado que o incidente ocorreu em ambiente de fornecedor externo, a sentença foi clara ao afirmar que essa circunstância não afasta a responsabilidade do controlador.
A decisão fundamentou-se no artigo 42, § 1º da LGPD, que consagra a responsabilidade solidária entre controlador e operador pelo tratamento de dados pessoais. Segundo o entendimento do juízo, cabe ao controlador garantir a segurança das informações confiadas, ainda que o tratamento seja executado por terceiros.
Além disso, a sentença destacou o descumprimento do prazo previsto na Resolução CD ANPD nº 15 para comunicação do incidente ao titular, que estabelece o prazo de três dias úteis. O incidente foi conhecido em 22 de março e comunicado apenas em 24 de abril, o que foi considerado atraso injustificado.
As rés foram condenadas ao pagamento de indenização por danos morais no valor de R$ 2.000,00. Ainda cabe recurso, mas há precedentes com trânsito em julgado em sentido semelhante.
O que essa decisão sinaliza ao mercado
A jurisprudência caminha no sentido de exigir postura ativa e preventiva dos controladores, especialmente na gestão de seus operadores.
O argumento de que o incidente ocorreu em fornecedor externo não tem sido suficiente para afastar a responsabilização.
A decisão também reforça a importância do cumprimento rigoroso dos prazos de comunicação aos titulares e à ANPD, mesmo quando as investigações ainda estejam em curso.
A ausência de plano estruturado de resposta a incidentes aumenta o risco de judicialização e amplia o impacto reputacional e financeiro.
Riscos e implicações para as empresas
Empresas que não possuem processo estruturado de gestão de fornecedores podem assumir riscos significativos.
A falta de due diligence prévia na contratação de operadores pode fragilizar a defesa em eventual litígio.
O descumprimento dos prazos regulatórios pode caracterizar falha na prestação do serviço.
A ausência de comunicação clara e tempestiva ao titular pode agravar o dano moral reconhecido judicialmente.
A responsabilidade solidária impõe ao controlador o dever permanente de fiscalização.
Recomendações estratégicas
Controladores devem implementar processo formal de avaliação de maturidade de seus operadores antes da contratação.
Fornecedores homologados precisam ser reavaliados periodicamente sob a ótica de segurança da informação e governança de dados.
É essencial manter plano de resposta a incidentes com fluxo claro de comunicação, definição de responsabilidades e controle de prazos.
A comunicação ao titular deve ocorrer dentro do prazo regulatório, ainda que as apurações estejam em andamento, podendo ser complementada posteriormente.
Os avisos de incidente devem conter informações claras, canais de contato e medidas adotadas para mitigação.
A prevenção estruturada reduz exposição jurídica e fortalece a posição defensiva da organização.
Reflexão institucional
A decisão reforça uma tendência consolidada. A LGPD não distingue responsabilidade quando o dano decorre de ambiente terceirizado. O dever de segurança acompanha o controlador.
A gestão de operadores deixa de ser apenas contratual e passa a ser elemento central de governança.
O PDK Advogados acompanha a evolução jurisprudencial em proteção de dados e responsabilidade civil digital, analisando seus impactos sobre compliance, contratos empresariais e estruturação de programas de privacidade. Em nosso site e canais institucionais publicamos regularmente análises técnicas sobre decisões relevantes e tendências regulatórias que impactam empresas.
