SECURITY INCIDENTS, DATA LEAKS AND CYBER ATTACKS:

POSSIBLE ANSWERS FOR THE APPLICATION OF THE LAW BASED ON THE STJ'S DECISIONS IN RESP 2.147.374/SP AND ARESP 2.130.619/SP

Authors

  • Gabriel Cemin Petry Universidade do Vale do Rio dos Sinos - UNISINOS
  • Karin Regina Rick Rosa Universidade do Vale do Rio dos Sinos (UNISINOS)
  • Wilson Engelmann Universidade do Vale do Rio dos Sinos (UNISINOS)

Keywords:

Digital Law, Cybersecurity, Data Protection

Abstract

The central problem of the study is to verify how the STJ has applied the law in cases involving security incidents, such as data leaks and cyber attacks, considering the multiplicity of forms, agents and different impacts that such incidents can have. The aim is to analyze the concepts of security incidents and investigate how the STJ has applied the law in two precedents, REsp 2.147.374/SP and AREsp 2.130.619/SP. To this end, the deductive research method is adopted, based on bibliographical, documentary and jurisprudential research. Based on the cases studied, it is concluded that there are conceptual inconsistencies arising from a possible generalization of the term security incidents, a circumstance that can hinder the application of the law. It is necessary to improve the technical understanding of security incidents, their differentiation, as well as recognizing risk as a relevant element for civil liability, corroborating the consolidation of practices consistent with the LGPD.

Author Biographies

Karin Regina Rick Rosa, Universidade do Vale do Rio dos Sinos (UNISINOS)

Advogada. Mestre em Direito pela Universidade Unisinos. Especialista em Direito Processual Civil. Professora de Direito Civil e Direito Notarial e Registral. Membro da Academia Notarial Brasileira - Cadeira nº 38. Membro da diretoria executiva do IBDFAM-RS. Membro do Conselho Consultivo do IBRADIM. Possui certificação internacional EXIN - Data Protection and Privacy e Security Information System. Coordenadora de livros e autora de artigos jurídicos.

Wilson Engelmann, Universidade do Vale do Rio dos Sinos (UNISINOS)

Doutor e Mestre em Direito Público, Programa de Pós-Graduação em Direito da Universidade do Vale do Rio dos Sinos - UNISINOS, Brasil; realizou Estágio de Pós-Doutorado em Direito Público-Direitos Humanos, no Centro de Estudios de Seguridad (CESEG), da Universidade de Santiago de Compostela, Espanha;  Professor e Pesquisador do Programa de Pós-Graduação em Direito - Mestrado e Doutorado e do Mestrado Profissional em Direito da Empresa e dos Negócios, ambos da UNISINOS; Bolsista de Produtividade em Pesquisa do CNPq; Líder do Grupo de Pesquisa JUSNANO, credenciado no CNPq.

References

ANPD. Atividades Fiscalizatórias. Disponível em:https://www.gov.br/anpd/pt-br/assuntos/fiscalizacao-2/saiba-como_fisalizamos?_authenticator=b05dbbec15247ce4c8b7065d588ef945f6d4d340. Aceso. 16 abr. 2025.

ANPD. Incidentes de segurança com dados pessoais. Disponível em: https://www.gov.br/anpd/pt-br/acesso-a-informacao/acoes-e-programas/programas-projetos-acoes-obras-e-atividades/semana-da-protecao-de-dados-2022/incidentes-de-seguranca-com-dados-pessoais. Acesso em: 14 mar. 2025.

ANPD. Resolução CD/ANPD nº 15, de 24 de abril de 2024. Aprova o Regulamento de Comunicação de Incidente de Segurança. Disponível em: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-15-de-24-de-abril-de-2024-556243024. Acesso em: 11 dez. 2024.

BRANQUINHO, Thiago; BRANQUINHO Marcelo. Segurança cibernética industrial. Rio de Janeiro: Alta Books, 2021.

BRASIL. Decreto nº 10.222, de 5 de fevereiro de 2020a. Aprova a Estratégia Nacional de Segurança Cibernética. Disponível em: https://www.in.gov.br/en/web/dou/-/decreto-n-10.222-de-5-de-fevereiro-de-2020-241828419. Acesso em: 20 fev. 2025.

BRASIL. Decreto Nº 10.569, de 9 de dezembro de 2020b. Aprova a Estratégia Nacional de Segurança de Infraestruturas Críticas. Disponível em: https://www.planalto.gov.br/cCivil_03/_Ato2019-2022/2020/Decreto/D10569.htm. Acesso em 20 fev. 2025.

BRASIL. Decreto nº 11.856, de 26 de dezembro de 2023a. Institui a Política Nacional de Cibersegurança e o Comitê Nacional de Cibersegurança. Disponível em: https://www.in.gov.br/en/web/dou/-/decreto-n-11.856-de-26-de-dezembro-de-2023-533845289. Acesso em 20 fev. 2025.

BRASIL. STJ. AREsp n. 2.130.619/SPb. Relator Ministro Francisco Falcão, Segunda Turma, julgado em 7/3/2023, DJe de 10/3/2023.

BRASIL. Superior Tribunal de Justiça. Recurso Especial n. 2.147.374/SP. Relator Ministro Ricardo Villas Bôas Cueva, Terceira Turma, julgado em 3/12/2024, DJEN de 6/12/2024

CARVALHO, André Castro; SOUZA, Vinícius Lobianco e. Segurança da Informação e resposta a incidentes de vazamento no contexto da Lei Geral de Proteção de Dados Pessoais (LGPD). Revista do Advogado, n. 144, nov. 2019, p. 155.

CERT.br; NIC.br; CGI.br; ANPD. Vazamento de dados. Disponível em: https://cartilha.cert.br/fasciculos/vazamento-de-dados/fasciculo-vazamento-de-dados.pdf. Acesso em: 13 mar. 2025.

CISCO. What Is a Cyberattack? Disponível em: https://www.cisco.com/site/us/en/learn/topics/security/what-is-a-cyberattack.html. Acesso: 15 jan. 2025.

FREIRE, Alexandre [et. al.]. (Org.). Jornada segurança da informação: unindo visão executiva e técnica para estratégia, comportamento, inovação e tendências. Rio de Janeiro: Brasport, 2024. E-book. Disponível em: https://plataforma.bvirtual.com.br. Acesso em: 02 maio 2025.

HINTZBERGEN, Julie [et. al.]. Fundamentos da Segurança da Informação: com base na ISO 27001 e na ISO 27002. Tradução Alan de Sá. Rio de Janeiro: Brasport, 2018.

JIMENE, Camilla do Vale. Capítulo VII: da segurança e boas práticas. In: MALDONADO, Viviane Nóbrega; OPICE BLUM, Renato (Coord.). LGPD: Lei Geral de Proteção de Dados Comentada. E-book. São Paulo: Thomson Reuters Brasil, 2019.

LUCIANO, Maria. Vazamentos de dados na LGPD: em busca do significado de “incidentes de segurança”. Revista do Advogado, n. 144, nov. 2019.

OLIVEIRA, Amanda Grippa de; GOMES, Társis Rafael Portela de Arruda; MATTEU, Ivelise Fonseca de. Vazamento de dados e dano moral: Uma análise a respeito do entendimento de julgados do Tribunal de Justiça de São Paulo. Revista de Direito Constitucional e Internacional, vol. 139/2023, pp. 11 - 25, Set - Out / 2023.

PARLAMENTO EUROPEU. REGULAMENTO (UE) 2024/2847 DO PARLAMENTO EUROPEU E DO CONSELHO DE 23 DE OUTUBRO DE 2024, relativo aos requisitos horizontais de cibersegurança dos produtos com elementos digitais e que altera os Regulamentos (UE) n.º 168/2013 e (UE) 2019/1020 e a Diretiva (UE) 2020/1828 (Regulamento de Ciber-Resiliência). Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=OJ:L_202402847. Acesso em: 24 mar. 2025.

PETRY, Gabriel Cemin; HUPFFER, Haide Maria. O princípio da segurança na era dos ciberataques: uma análise a partir do escopo protetivo da LGPD. Revista do CNJ, v. 7, n. 1, 2023.

SCHNEIER, Bruce. Click here to kill everybody: Security and survival in a Hyper-connected World. New York: W.W. Norton & Company, 2019.

SILVA, Michel Bernardo Fernandes da. Cibersegurança: [...]. Rio de Janeiro: Freitas Bastos, 2023.

Downloads

Published

2025-12-29

Issue

Vol. 19 No. 3 (2025): Revista Direito Mackenzie

Section

Economic Power and its legal limits

License

Copyright (c) 2025 Gabriel Cemin Petry, Karin Regina Rick Rosa, Wilson Engelmann

Creative Commons License

This work is licensed under a Creative Commons Attribution 4.0 International License.

The copyright of the articles published in Mackenzie Law Review belongs to the authors, who grant Mackenzie Presbyterian University the rights of publication of the contents, and the assignment takes effect upon submission of the article, or work in similar form, to the electronic system of institutional publications. The journal reserves the right to make normative, orthographic, and grammatical alterations to the originals, with the aim of maintaining the cultured standard of the language, respecting, however, the style of the authors. The content reported and the opinions expressed by the authors of the articles are their exclusive responsibility.