Por Felipe Mululo e Marcus Seixas

A proteção jurídica conferida à privacidade tem adquirido novas nuances no direito brasileiro, que reconheceu no dado pessoal a natureza de ativo, cuja conversão em informações úteis às atividades econômicas passa a ser objeto de disputa no mercado^[1]. O valor desses dados revela-se, por exemplo, no direcionamento de propagandas e anúncios voltados a um público-alvo a partir da combinação de marcadores biológicos ou sociais^[2].

Atualmente, a proteção dos dados pessoais (aí incluídos os dados sensíveis) é formada por disposições de uma série de leis esparsas, a exemplo da Lei de Acesso à Informação, do Marco Civil da Internet, da Lei Geral de Proteção de Dados e da própria Constituição. Essa é a base normativa criada para lidar com o tratamento de dados pessoais no Brasil.

Para os fins do presente texto, importam, principalmente, as disposições atinentes à responsabilidade civil presentes na Lei Geral de Proteção de Dados (“LGPD”) e a interpretação conferida pelo STJ a esses dispositivos, como se passa a analisar.

 

Dever geral de proteção e responsabilidade dos agentes de tratamento.

A proteção dos dados pessoais pela LGPD é ampla e não está restrita apenas à reparação pelos danos causados ao titular de dados.

Para além da responsabilização, a LGPD prevê um arsenal de ferramentas aptas a tutelar o direito do titular lesado. É exemplo disso a inversão do ônus de prova, que permite ao juiz atribuir ao agente de tratamento o encargo pela produção dos elementos probatórios aptos a demonstrar a inexistência do incidente de segurança alegado pelo titular (art. 42, §2º, LGPD). No âmbito extrajudicial, também é preciso mencionar a criação da Agência Nacional de Proteção de Dados (“ANPD”), agência reguladora voltada à proteção dos dados pessoais que tem à sua disposição uma série de ferramentas, incluindo a competência para editar regulamentos sobre privacidade e realizar auditorias de fiscalização (art. 55-J, XIII e XVI, LGPD), funcionando na vanguarda da proteção, de forma preventiva.

Especificamente em relação à reparação civil, a cláusula geral da responsabilidade dos agentes de tratamento de dados (prevista no art. 42, caput, da LGPD) estabelece a obrigação ampla de reparação dos prejuízos causados. O texto legal faz menção expressa à extensão dos titulares salvaguardados e ao tipo de dano analisado, o que encerra a proteção por danos patrimoniais e não patrimoniais que recaiam tanto sobre indivíduos como sobre a coletividade.

O tratamento de dados, ainda, é pautado pelo dever de segurança dos agentes de tratamento, que devem adotar todas as medidas necessárias “aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais.” (art. 46, caput, LGPD). Trata-se de um dever geral de proteção, a concluir que a empresa submetida à atividade de tratamento de dados assume o risco de provocar incidentes de segurança, o que se estende a todo e qualquer agente econômico que, para os fins de sua atividade, colete, armazene ou trate informações pessoais.

Nessa perspectiva, a lei presume que o vazamento de dados está (ou deveria estar) no alcance do conhecimento do agente. Assim, sob a égide da teoria do risco, ainda que o incidente seja imprevisível, o agente de tratamento é tido como responsável solidário, razão pela qual a responsabilidade pela reparação dos prejuízos causados, em regra, também recairá sobre ele (art. 42, §1º, LGPD).

Nada impede, entretanto, que o agente mitigue ou se exima da responsabilidade caso comprove que empregou os melhores esforços que estavam ao seu alcance, em observância ao dever de mitigação das perdas, cujas nuances devem ser analisadas a partir do caso concreto.^[3]

Atualmente, a imputação de responsabilidade pelos incidentes de segurança tem passado por oscilações na jurisprudência do Superior Tribunal de Justiça a partir de diferentes modos de encarar a extensão da tutela jurídica em relação à natureza dos dados violados e à presunção do dano pelo incidente.

Mais especificamente, parece haver um dissídio jurisprudencial recente entre as Turmas do STJ a respeito de ser o mero incidente de segurança causa suficiente, ou não, da responsabilização por danos morais.

 

Incidente de Segurança e dano moral à luz da jurisprudência do STJ.

A questão atinente à presunção do dano ante o incidente de segurança não é nova, nem é exclusiva da hermenêutica brasileira.

Em artigo escrito sobre o tratamento dos incidentes de segurança à luz dos direitos coletivos, João Antonio Fachinello comenta sobre a teoria norte-americana da configuração do dano moral nos incidentes de segurança pela forma de “riscos e ansiedade” (risks and anxiety as harms). A leitura realizada é a de que o mero incidente que ponha em risco a privacidade e a inviolabilidade dos dados pessoais já é, por si só, capaz de gerar a apreensão necessária no indivíduo. Assim, percebido numa situação em que as suas informações pessoais são reveladas ao público sem o seu consentimento por força do vazamento de dados, seria presumível que o indivíduo passasse por um estágio de desassossego capaz de ensejar, por si só, o dano moral^[4].

A análise dos precedentes do STJ revela que, a princípio, essa percepção, envelopada sob a forma dos danos presumidos, não foi encampada pela Corte. Os primeiros precedentes sobre o tema demonstram uma posição restritiva da Corte, que encarava a necessidade de demonstração efetiva do prejuízo para a deflagração da responsabilização por danos extrapatrimoniais.

É o que revela o caso Enel^[5], julgado em março de 2023 pela Segunda Turma. Naquele processo, uma consumidora idosa alegou que os seus dados pessoais, por erro da distribuidora de energia, teriam sido expostos a terceiros, violando a sua privacidade. A petição inicial pretendia uma indenização de R$15.000,00 (quinze mil reais), além da retirada de circulação das informações vazadas, pedido que foi inicialmente indeferido pelo juízo de primeiro grau, sentença que, entretanto, foi revertida pelo TJSP.

Ao ser submetido às instâncias superiores, o acórdão do TJSP foi reformado pelo STJ, que manteve o entendimento inicial. Na oportunidade, a Segunda Turma firmou posição no sentido de que o vazamento de dados pessoais de natureza comum “não tem o condão, por si só, de gerar dano moral indenizável”. Entendeu-se, portanto, que a mera comprovação do incidente de segurança não dispensaria a prova, pelo titular, de que houve um dano concreto decorrente do vazamento, apto a viabilizar a reparação pecuniária. A responsabilidade, nesse caso, estaria sujeita à indicação do dano concreto decorrente da falha de segurança.

A análise de decisões mais recentes do STJ, entretanto, parece indicar uma outra inclinação da Corte, inaugurando, assim, uma dissidência entre as Turmas quanto à presunção do dano na fixação da responsabilidade pelo incidente de segurança.

Em agosto de 2025, a Terceira Turma do STJ se debruçou sobre um caso em que se alegou violação à privacidade e existência de danos extrapatrimoniais decorrentes da disponibilização, pelo gestor do banco de dados de cadastro positivo de score, de informações pessoais da autora para fins de análise de crédito^[6]. A hipótese é parecida com a do caso da Enel. Afinal, nos dois processos: (i) reconheceu-se um tratamento inadequado de informações, sem autorização do titular; (ii) os dados vazados eram de natureza simples; e (iii) a relação entre o agente de tratamento e o titular era de consumo.

A despeito das semelhanças, a posição da Terceira Turma foi no sentido oposto àquele caso. Decidiu-se que o incidente de segurança resultante da disponibilização de informações pessoais do titular fora das hipóteses cabíveis ensejaria a presunção da existência do dano, afastando a necessidade de o titular prová-lo efetivamente. Para a Terceira Turma, então, bastaria a mera demonstração do incidente que expusesse a privacidade do indivíduo, que ficaria dispensado de apresentar quais situações concretas negativas derivam daquela violação. Aponta-se para a dispensabilidade da análise do prejuízo concreto na fixação da responsabilidade pelo dano moral decorrente do incidente de segurança, na linha da responsabilidade pelos “riscos e ansiedade”.

A posição, entretanto, parece inadequada e divergente do texto legal.

Sem descuidar da complexidade da análise da responsabilidade por danos extrapatrimoniais (que, em regra são imperceptíveis, porque recaem sobre a própria personalidade), a interpretação que se faz da cláusula geral de responsabilização da LGPD é a de que o efetivo prejuízo é condição necessária à responsabilização. “O legislador poderia afirmar, por exemplo, que ‘o controlador ou o operador que, em violação à legislação de proteção de dados pessoais, causar a outrem dano […] é obrigado a repará-lo’; mas não o fez, destacando a necessidade de ser efetivamente causado um dano em decorrência da atividade de tratamento.”^[7] A mera violação às normas da LGPD não é suficiente à deflagração do dano necessário à formação do dever de indenizar.

A razão da necessidade de um efetivo prejuízo está no fato de que nem todo incidente de segurança é capaz de gerar dano. É possível que haja uma violação à privacidade do titular sem que isso tenha gerado qualquer repercussão negativa. Imagine-se um incidente em que um dado pessoal é, por erro, compartilhado a terceiros não autorizados, que, entretanto, jamais o utilizaram^[8].

Nesse e em outros casos, a tutela de proteção pode ser conferida por outros meios (inclusive administrativos) sem que se recorra à responsabilização pecuniária, o exigiria a demonstração do prejuízo efetivo (que, no caso, não existe).

 

A tutela legal conferida pela LGPD aos incidentes de segurança é ampla e inclui não apenas mecanismos extrajudiciais de pacificação, como também formas específicas de responsabilização dos agentes de tratamento violadores do dever geral de proteção e segurança inaugurado pelo diploma (art. 42, caput, LGPD), além de ferramentas que permitem um processamento facilitado da apreciação desses incidentes em juízo.

Ainda é controverso no âmbito jurisprudencial o alcance da responsabilização pelo vazamento de dados. Não há definição a respeito da existência de uma presunção de danos extrapatrimoniais decorrentes do mero incidente de segurança. A análise dos precedentes do STJ apontam para um dissídio jurisprudencial entre a Segunda Turma e a Terceira Turma, esta que reconhece a possibilidade de presumir a existência do dano moral ante a mera constatação do incidente, dispensando a análise de prejuízos concretos.

A referida posição é dissonante do texto legal, que exige a demonstração de prejuízo efetivo, afastando a responsabilização pela mera existência do incidente de segurança.

A responsabilização pelos danos causados pelo incidente de segurança tem fundamento legal amplo na LGPD, que cuida não apenas de uma cláusula geral de responsabilidade dos agentes de tratamento (art. 41, caput, LGPD). Ao nosso ver, a referida cláusula não contempla, para fins de responsabilização, a mera existência de um incidente de segurança. Para tanto, é indispensável que o titular demonstre a existência de um prejuízo efetivo associado à violação das normas da LGPD.

 

^[1]EFING, Antônio Carlos; ANDRETTA, Juliane Tedesco. Vazamento de dados pessoais e o direito à indenização por dano moral in re ipsa. (pp. 1-2).

^[2] PERIN, Paula Abi-Chahine; STURARI, Matheus. Aspectos processuais da Lei Geral de Proteção de Dados: impressões iniciais.(pp. 3-4).

^[3] SOUTO, Gabriel. Vazamento de dados no setor privado e gestão empresarial. (pp. 8-9).

^[4] FACHINELLO, João Antonio. Acordos e tutela coletiva: algumas reflexões a partir do TAC no caso do vazamento de dados da Netshoes. Revista Iberoamericana de Derecho Procesal. Vol. 10/2019. (p. 91).

^[5] STJ, AREsp: 2130619/SP, Segunda Turma, Rel. Francisco Falcão, Julgamento em: 07/03/2023.

^[6] STJ, Recurso especial nº 2.201.694/SP, Terceira Turma, Rel. Min. Ricardo Villas Bôas Cueva. Julgamento em: 05/08/2025.

^[7] SANTOS, Leonardo Valverde. Compensação de danos não patrimoniais causados pela violação de normas de proteção de dados pessoais. (p. 976).

^[8] ibid (p. 977).