A empresa sofreu um ataque. E agora, quem responde?
O sistema foi invadido, dados de clientes vazaram e o e-mail corporativo começou a ser usado para aplicar golpes.
A primeira reação da maioria dos gestores é acionar o time de TI, e faz sentido. Mas enquanto a equipe técnica trabalha para conter o dano, uma pergunta jurídica começa a ganhar peso: a empresa pode ser responsabilizada por ataques ou fraudes digitais que ocorreram em sua estrutura?
A resposta direta é sim, e com uma frequência que ainda surpreende muitos empresários. Para entender o tamanho desse risco, é preciso olhar para o que a lei exige e para o que a sua empresa, de fato, tem feito para se proteger.
O que a lei diz sobre responsabilidade empresarial em casos de ataques e incidentes digitais?
O arcabouço jurídico brasileiro sobre o tema já está consolidado. Três marcos legais definem as obrigações das empresas e, consequentemente, os limites da sua responsabilidade quando um incidente digital acontece.
O Marco Civil da Internet (Lei nº 12.965/2014) estabelece deveres de segurança e sigilo para qualquer empresa que coleta ou trata dados no ambiente digital. Não é uma exigência restrita a empresas de tecnologia, vale para qualquer negócio que opere com cadastros, plataformas ou comunicações digitais.
Empresas que deixam de adotar padrões mínimos de segurança podem ser responsabilizadas por danos causados a usuários e clientes.
A LGPD (Lei nº 13.709/2018) é o marco central nesse debate. Ela determina que o controlador e o operador de dados pessoais, termos que identificam quem decide como os dados são usados e quem os processa, têm responsabilidade em caso de incidentes de segurança.
O ponto que mais surpreende os gestores: essa responsabilidade pode existir mesmo que a empresa não tenha agido com intenção de causar dano. O que a lei avalia, antes de qualquer outra coisa, é se a empresa adotou medidas técnicas e administrativas adequadas para prevenir o incidente.
A ausência dessas medidas, por si só, já configura a responsabilidade.
Quando os dados afetados pertencem a consumidores, entra em cena também o Código de Defesa do Consumidor. O artigo 14 do CDC prevê responsabilidade objetiva pelo fato do serviço, ou seja, independente de culpa.
Se o serviço prestado gerou um dano ao consumidor, a empresa responde. Ponto.
Quando a empresa vira responsável: situações concretas
Entender a lei é importante, mas o que realmente orienta a tomada de decisão do empresário são as situações do dia a dia.
Abaixo estão quatro cenários reais em que empresas foram ou podem ser responsabilizadas por ataques ou fraudes digitais.
Vazamento de dados por falha de segurança interna
A empresa não investiu em criptografia, controle de acesso ou políticas mínimas de segurança da informação. Hackers acessam a base de dados de clientes.
Nesse caso, a LGPD exige notificação à ANPD (Autoridade Nacional de Proteção de Dados) e aos titulares afetados. Além das penalidades que podem chegar até a multa administrativa, que pode chegar a 2% do faturamento da empresa, limitada a R$ 50 milhões por infração, a empresa fica exposta a ações civis movidas pelos prejudicados, além de ter sua reputação abalada
Fraude cometida por terceiros usando o nome da empresa
Criminosos criam sites falsos imitando a marca, aplicam golpes em clientes e a empresa é cobrada pelos danos. Aqui, a responsabilidade direta pode ser menor, mas a empresa precisa demonstrar que agiu com rapidez: comunicou os clientes, adotou medidas de proteção da marca e registrou ocorrências.
A omissão pode ser interpretada como descaso, o que piora a posição jurídica. Aliás, o tema de uso indevido de identidade visual em ambiente digital tem conexão com questões de propriedade intelectual, assim como acontece com situações envolvendo como lidar com o uso de memes em propagandas, onde os limites entre o uso legítimo e a violação de direitos nem sempre são óbvios.
Funcionário como ponto de entrada do ataque
Um colaborador clica em um link de phishing, compromete o sistema e dados são expostos.
A empresa pode ser responsabilizada se não houver evidência de treinamentos de segurança, políticas de uso de sistemas ou controles internos documentados. O erro humano acontece, o que a lei analisa é se a empresa fez o suficiente para minimizar esse risco.
Ransomware com impacto em terceiros
A empresa presta serviços a outras organizações e um ataque paralisa suas operações. Dependendo do que está previsto nos contratos firmados, podem surgir responsabilidades por inadimplemento, e o argumento de “força maior” nem sempre é aceito quando a empresa não tinha plano de continuidade ou medidas básicas de proteção.
Como proteger juridicamente sua empresa de ataques ou fraudes digitais?
A boa notícia é que a maioria das responsabilidades descritas acima pode ser reduzida, ou até afastada, com medidas preventivas bem estruturadas. O direito digital, quando aplicado de forma estratégica, atua antes do problema, não apenas depois dele.
Política de privacidade e segurança da informação
Não é apenas um documento formal para o site. É a prova concreta de que a empresa organizou seus processos para tratar dados com responsabilidade. Em qualquer investigação ou processo judicial, essa documentação é o primeiro item solicitado por reguladores e juízes. Empresas sem ela, ou com esses normativos claramente elaborados sem a efetiva adequação com os processos da empresa, já começam em desvantagem.
Contratos com cláusulas específicas de segurança digital
Contratos com fornecedores de tecnologia, plataformas de pagamento, empresas de nuvem e prestadores que acessam dados precisam prever, de forma clara, as responsabilidades de cada parte em caso de incidente.
Sem essas cláusulas, a empresa pode acabar respondendo sozinha por uma falha que foi do fornecedor.
Plano de resposta a incidentes
A LGPD exige que incidentes com dados pessoais sejam comunicados à ANPD em prazo razoável, já definido em até 3 dias. Empresas sem um protocolo definido para agir nessas situações tendem a atrasar a resposta, e esse atraso agrava a situação jurídica.
Ter um plano documentado, com responsáveis definidos e etapas claras, faz diferença tanto na prática quanto na percepção do regulador.
Treinamento de equipe e governança interna
Boa parte dos ataques começa por erro humano. A empresa que consegue demonstrar que treinou sua equipe regularmente e mantém controles internos documentados tem uma posição jurídica significativamente mais favorável. Isso inclui política de senhas, controle de acesso por níveis hierárquicos e uso seguro de dispositivos corporativos.
Assessoria jurídica especializada em direito digital
Mapear os riscos digitais antes de um incidente, revisar contratos, adequar operações à LGPD e orientar respostas em tempo real são atividades que precisam de suporte jurídico contínuo.
Prevenção é o que separa empresas que enfrentam crises das que sobrevivem a elas
A responsabilidade empresarial por ataques ou fraudes digitais é real, crescente e cada vez mais fiscalizada.
O que diferencia uma empresa que atravessa um incidente digital com danos controlados de uma que enfrenta altas multas, ações judiciais e perda de reputação está, em grande parte, no que foi construído antes do problema acontecer.
Estruturar políticas, revisar contratos, capacitar equipes e ter um plano de resposta não são tarefas exclusivas de grandes corporações.
São medidas acessíveis e necessárias para qualquer empresa que trate dados, o que, hoje, é praticamente todas.
Quer saber mais? Entre em contato com o autor ou visite a página da área de Direito Digital e Eletrônico.
