O debate sobre a responsabilidade civil pelo vazamento de dados pessoais tem ganhado força à medida que a jurisprudência brasileira começa a interpretar, de forma mais concreta, os dispositivos da LGPD – lei 13.709/18. Um ponto ainda delicado envolve a distinção entre dados sensíveis e não sensíveis, especialmente no tocante à caracterização do dano moral e à forma de responsabilização dos agentes de tratamento.
Em 2023, no AREsp 2.130.619/SP, o STJ concluiu que o vazamento de dados pessoais sensíveis, por si só, não ensejaria dano moral indenizável, sendo necessária a comprovação do prejuízo no caso concreto.
Essa interpretação gerou críticas na doutrina especializada, por impor ao titular o ônus de demonstrar um prejuízo que, muitas vezes, é intangível ou de difícil comprovação probatória — como riscos futuros de discriminação, fraudes, uso indevido para fins comerciais ou violação da expectativa de confidencialidade.
Ocorre que esse cenário começou a mudar com o recente julgamento do REsp 2.147.374/SP, pela 3ª turma do STJ, que enfrentou justamente a hipótese de vazamento de dados pessoais não sensíveis, supostamente provocado por ataques de hackers. A empresa ré alegava que a falha se deu por ato de terceiro, o que afastaria sua responsabilidade nos termos do art. 43, III, da LGPD1.
Contudo, o Tribunal rejeitou essa tese, afirmando que a ausência de comprovação da culpa exclusiva do terceiro impede o reconhecimento da excludente. Destacou-se, ainda, que o agente de tratamento tem o dever de adotar todas as medidas esperadas para proteger os dados, e que a falha desse dever caracteriza tratamento irregular:
RECURSO ESPECIAL. LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS. DIREITO À PRIVACIDADE, À LIBERDADE E À AUTODETERMINAÇÃO INFORMATIVA. AGENTE DE TRATAMENTO. VAZAMENTO DE DADOS NÃO SENSÍVEIS DO TITULAR. INCIDENTE DE SEGURANÇA. ATAQUE HACKER. RESPONSABILIDADE EXCLUSIVA DE TERCEIRO. NÃO COMPROVADA. RESPONSABILIDADE CIVIL PROATIVA. EXPECTATIVA DE LEGÍTIMA PROTEÇÃO. COMPLIANCE E REGULAÇÃO DE RISCO DA ATIVIDADE. DIREITOS DO TITULAR. CONCRETIZAÇÃO. APLICABILIDADE.
(REsp 2.147.374/SP, rel. Min. Ricardo Villas Bôas Cueva, 3ª turma, julgado em 3/12/24, DJEN 6/12/24)
O acórdão consolida o entendimento de que a responsabilidade civil na LGPD é orientada por uma lógica de risco e confiança, em que o controlador responde sempre que não comprovar diligência adequada. A ideia de expectativa legítima de proteção surge, aqui, como critério central para aferir se houve falha no tratamento de dados, ainda que se trate de informações não sensíveis.
A decisão também reforça o entendimento de que o vazamento de dados, mesmo não classificados como sensíveis, não exclui automaticamente a responsabilidade da empresa controladora. A simples alegação de que houve invasão externa não é suficiente para afastar o dever de cuidado previsto na LGPD, sobretudo quando não comprovada a exclusividade da culpa de terceiro (art. 43, III, da LGPD).
Esse julgamento dialoga com outro precedente importante da 3ª turma, o REsp 2.121.904/SP, relatado pela ministra Nancy Andrighi, que reconheceu a responsabilidade objetiva de uma seguradora pelo vazamento de dados sensíveis:
CIVIL. RECURSO ESPECIAL. CONTRATO DE SEGURO DE VIDA. RELAÇÃO DE CONSUMO. CÓDIGO DE DEFESA DO CONSUMIDOR. LEI GERAL DE PROTEÇÃO DE DADOS. VAZAMENTO DE DADOS SENSÍVEIS. RESPONSABILIDADE OBJETIVA. DANO MORAL PRESUMIDO. RECURSO CONHECIDO EM PARTE. DESPROVIMENTO.
10. O vazamento de dados pessoais sensíveis fornecidos para a contratação de seguro de vida, por si só, submete o consumidor a riscos em diversos aspectos de sua vida, como em sua honra, imagem, intimidade, patrimônio, integridade física e segurança pessoal.
(REsp 2.121.904/SP, relatora ministra Nancy Andrighi, 3ª turma, julgado em 11/2/25, DJEN de 17/2/25.)
Nesse caso, o STJ fixou a tese de que o dano moral é presumido em situações de exposição de dados de alta vulnerabilidade, como os coletados em contratos de seguro de vida. A turma entendeu que o simples vazamento já seria suficiente para gerar dano moral presumido, dado o risco à violação da dignidade e privacidade do consumidor.
Embora os dois casos envolvam categorias distintas de dados, ambos reforçam a função protetiva da LGPD e o dever de accountability dos agentes de tratamento. A responsabilização objetiva, portanto, parece ganhar corpo no STJ como padrão aplicável não apenas a dados sensíveis, mas também aqueles considerados comuns, sempre que houver falha na adoção de medidas técnicas e administrativas adequadas.
Isso se alinha à própria estrutura da LGPD, que impõe a todos os agentes de tratamento — independentemente da natureza do dado — deveres claros de prevenção, segurança e transparência (art. 6º, incisos VII e VIII). O não cumprimento desses deveres pode gerar responsabilidade, sem necessidade de demonstração de dolo ou culpa.
A tendência, portanto, é que se consolide um entendimento segundo o qual o vazamento de dados, por si só, representa violação à autodeterminação informativa e quebra a confiança entre titular e controlador. Ainda que não envolva dados sensíveis, essa exposição compromete o controle do titular sobre suas informações, gerando insegurança e potencial para danos de difícil mensuração.
O REsp 2.147.374/SP representa, portanto, um marco importante para a consolidação de uma jurisprudência mais coerente com os fundamentos da LGPD. Ele reafirma que a proteção de dados não se limita à natureza sensível da informação, mas à confiança depositada pelo titular de que seu dado, qualquer que seja, será tratado com responsabilidade, transparência e respeito aos direitos fundamentais.
__________
1 Art. 43. Os agentes de tratamento só não serão responsabilizados quando provarem:
III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.