Um hospital universitário público, de forma a dar continuidade às pesquisas científicas e acadêmicas realizadas na universidade da qual faz parte, desenvolveu um banco com informações pessoais relacionadas aos pacientes, incluindo, além do nome, número de identidade, CPF e endereço, dados de saúde e de biometria. Para realizar o tratamento das informações, foi contratada uma empresa de tecnologia. Durante o tratamento, o referido banco foi atacado por hackers, que conseguiram obter as informações de parte substancial dos pacientes. Após a instauração do devido procedimento, verificou-se que as medidas de segurança, até então adotadas pela empresa de tecnologia, não eram suficientes para proteger os acessos não autorizadas. Diante do caso descrito, se algum dos pacientes vier a pleitear indenização pelos danos sofridos, a:
- A universidade, enquanto controladora, não responderá por se tratar de culpa exclusiva de terceiro
- B universidade, enquanto controladora, responderá solidariamente por estar envolvida no tratamento
- C empresa de tecnologia, enquanto controladora, responderá civilmente por ser a causadora do dano
- D empresa de tecnologia, enquanto operadora, não responderá, uma vez que não lhe competem as decisões referentes ao tratamento