contato@santoseurel.com

Responsabilidade Civil por Vazamento de Dados Pessoais: Entenda seus direitos e deveres da LGPD

Santos & Urel advogados | 13 de julho de 2025 às 07:00

Introdução

Com a explosão do uso de dados pessoais no ambiente digital, a Lei Geral de Proteção de Dados (LGPD) — Lei nº 13.709/2018 — tornou-se um marco essencial na regulação das relações entre empresas, usuários e o Estado. Um dos pilares dessa lei é a responsabilização de controladores e operadores de dados em casos de vazamentos, exposições indevidas ou incidentes de segurança.

No contexto civil, a principal pergunta é: quem responde, em quais condições e com que consequências? Este artigo responde a essa questão com base na LGPD, no Código Civil e na jurisprudência atualizada.

O que é vazamento de dados?

O vazamento de dados pessoais ocorre quando há acesso, divulgação, alteração ou destruição não autorizada de dados, seja por falha técnica, erro humano ou ação criminosa (como ataques cibernéticos).

Os dados vazados podem incluir:

  • Dados cadastrais (nome, CPF, e-mail, endereço)
  • Dados bancários
  • Dados sensíveis (estado de saúde, religião, orientação sexual)
  • Dados de geolocalização, consumo ou comportamento online

A Lei define “dado pessoal” como toda informação relacionada a pessoa natural identificada ou identificável (art. 5º, I, da LGPD).

Fotos e imagens também são dados pessoais?

Sim. De acordo com a LGPD, fotos e imagens que permitam identificar uma pessoa natural também são dados pessoais. E, dependendo do seu conteúdo, podem inclusive ser considerados dados sensíveis — como nos casos em que revelem origem racial, convicções religiosas ou informações sobre saúde.

Exemplos:

  • Foto de rosto em um cadastro: dado pessoal identificável.
  • Imagem em prontuário médico: dado sensível.
  • Foto usada em propaganda sem consentimento: violação ao direito de imagem.

O uso ou compartilhamento indevido dessas imagens, especialmente sem consentimento ou fora da finalidade informada, pode gerar responsabilidade civil, com base tanto na LGPD quanto no Código Civil (arts. 186 e 927), por violação à privacidade e à imagem.

Qual o fundamento da responsabilidade civil?

A LGPD, em seu art. 42, estabelece que o controlador ou operador que causar dano patrimonial, moral, individual ou coletivo a outrem por violação à legislação deverá repará-lo. A norma dialoga com os artigos 186 e 927 do Código Civil, que tratam da obrigação de reparar danos causados por ação ou omissão voluntária, negligência ou imprudência.

Tipos de responsabilidade

  • Objetiva: independe de culpa. Basta o dano e o nexo de causalidade. Aplica-se ao controlador em regra.
  • Subjetiva: depende de comprovação de culpa ou dolo. Pode ser usada para avaliar a conduta do operador de dados.

O art. 42, §3º da LGPD prevê excludentes de responsabilidade, como:

  • Quando o agente provar que não realizou o tratamento;
  • Que não houve violação à LGPD;
  • Ou que o dano decorre de culpa exclusiva do titular ou de terceiro.

Jurisprudência: o que os tribunais estão decidindo?

A jurisprudência brasileira já começa a consolidar entendimentos importantes:

STJ – REsp 1.737.412/SP
 A Corte entendeu que, em se tratando de dados sensíveis, a exposição indevida gera dano moral presumido, não exigindo comprovação de prejuízo concreto.

TJSP – Apelação Cível 1004654-79.2022.8.26.0002
 Empresa de e-commerce foi condenada a indenizar cliente em R$ 8 mil por falha de segurança que expôs dados pessoais a terceiros, mesmo sem comprovação de prejuízo financeiro direto.

Esses casos mostram que a simples violação da privacidade já basta para configurar o dever de indenizar — alinhando-se à teoria do risco integral.

Quem pode ser responsabilizado?

Segundo a LGPD:

  • Controlador: quem toma decisões sobre o tratamento de dados (ex: empresas, e-commerces, hospitais).
  • Operador: quem trata os dados sob ordens do controlador (ex: software de CRM, provedores de nuvem, processadoras de pagamento).

Ambos podem ser responsabilizados solidariamente, a depender do grau de envolvimento e da falha cometida.

Quais danos podem ser indenizados?

1. Dano material
 Prejuízos financeiros diretos sofridos pela vítima — por exemplo, se um cliente tem seu cartão clonado após o vazamento.

2. Dano moral
 Abalo emocional e violação de direitos da personalidade (honra, imagem, intimidade), mesmo sem perda financeira direta.

3. Dano coletivo
 Quando um vazamento atinge milhares de pessoas, como em megavazamentos de bancos ou empresas de tecnologia. Cabe ação civil pública.

Como as empresas devem se proteger?

Empresas devem demonstrar que adotam medidas técnicas e organizacionais adequadas, como:

  • Criptografia e autenticação em dois fatores
  • Políticas internas de segurança da informação
  • Treinamento de funcionários
  • Resposta rápida a incidentes (data breach)
  • Registro de todas as etapas do tratamento

A documentação de boas práticas (accountability) pode evitar a responsabilização ou reduzir o valor das indenizações.

E os titulares dos dados, o que devem fazer?

  • Solicitar explicações ao controlador (art. 18 da LGPD)
  • Registrar reclamação na ANPD
  • Buscar reparação judicial por danos sofridos

Em caso de exposição de dados, é recomendável guardar provas, como prints, e-mails e registros de tentativas de golpe.

Conclusão

A responsabilidade civil por vazamento de dados é uma realidade jurídica concreta e cada vez mais presente nos tribunais. Com a LGPD, o Brasil se alinha às legislações internacionais e reconhece que dados pessoais são bens jurídicos protegidos.

Empresas que ignorarem essas obrigações estão sujeitas a altos riscos financeiros e reputacionais, enquanto titulares de dados devem exigir seus direitos com base legal sólida.

Precisa de ajuda com adequação à LGPD ou foi vítima de vazamento de dados? Entre em contato com nosso escritório. Podemos ajudar.

Posts relacionados

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Rolar para cima