A consolidação jurisprudencial no Direito Digital brasileiro alcançou um novo estágio ao longo de 2024 e 2025, revelando um diálogo sofisticado entre proteção de dados, responsabilidade civil e governança tecnológica. A interpretação conferida pelo STJ no informativo 817 e a elevação da privacidade ao patamar constitucional pela EC 115/22 configuram um marco que reorganiza expectativas, limites e deveres de agentes públicos e privados. O cenário evidencia que dados deixaram de ser simples registros administrativos e se tornaram extensões sensíveis da identidade contemporânea.
O Painel LGPD nos Tribunais (CEDIS-IDP/Jusbrasil, edição 2025) identifica 15.921 decisões judiciais envolvendo a LGPD entre outubro de 2023 e outubro de 2024, volume que mais que duplica as 7.503 do ciclo anterior. Em relatório de 27 de outubro de 2024, o STJ destaca cerca de quinze precedentes estruturantes consolidados nos primeiros quatro anos de vigência plena da lei.
Esses julgados convergem para três eixos centrais: responsabilidade objetiva prevista no art. 42, necessidade de revisão humana em decisões automatizadas nos termos do art. 20 e exigência de diligência comprovada em segurança da informação segundo o art. 46. O conjunto desses marcos impulsiona a adoção de relatórios de impacto previstos no art. 38 e de modelos de governança alinhados à ISO 27001, elementos decisivos para mitigar riscos e reduzir a exposição às sanções do art. 52, que podem alcançar 2% da receita bruta ou o limite de cinquenta milhões de reais.
O julgamento do REsp 2.135.783/DF pela 3ª turma do STJ tornou-se referência incontornável para decisões automatizadas. O caso do motorista de aplicativo descredenciado mostra como padrões comportamentais convertidos em dados pessoais passam a influenciar vínculos profissionais.
A Corte reconheceu que informações de perfil e histórico operacional integram o conceito de dado pessoal previsto no art. 5º, X da LGPD e, portanto, exigem transparência, explicação da lógica decisória e possibilidade de revisão humana. Ainda que a suspensão imediata seja permitida em situações de risco, o contraditório diferido foi afirmado como exigência mínima de legitimidade procedimental.
Esse precedente abriu caminho para uma compreensão mais madura da relação entre algoritmos e direitos fundamentais. A decisão também reforçou a importância do art. 20 da LGPD, sobretudo no que diz respeito à revisão de decisões automatizadas capazes de produzir efeitos significativos.
Ao mesmo tempo, iluminou a necessidade de utilização de relatórios de impacto previstos no art. 38, especialmente em operações que envolvam plataformas digitais e modelos de negócio próprios da gig economy. Empresas dependentes de análise comportamental passam a enfrentar não apenas exigências técnicas, mas também responsabilidade jurídica ampliada.
No campo dos incidentes de segurança, o STJ desenvolveu um conjunto coerente de precedentes que delineiam a responsabilidade civil por vazamentos. O REsp 2.121.904/SP tratou de dados sensíveis ligados à saúde e confirmou que a violação dessas informações pode gerar dano moral presumido.
Em outra frente, o REsp 2.147.374/SP consolidou a tese de que controladores respondem quando não comprovam diligência suficiente diante de ciberataques, reforçando a lógica do risco e da confiança. Já o AREsp 2.130.619 reafirmou que o vazamento por si só não garante reparação automática em casos não sensíveis, embora destaque o dever de segurança imposto pelo art. 46 da LGPD.
É relevante observar que a jurisprudência continua a evoluir. O REsp 2.201.694/SP alerta que incidentes envolvendo dados não sensíveis não afastam obrigações de transparência e comunicação previstas no art. 48 da LGPD e nos prazos regulatórios definidos pela Resolução ANPD 15/2024, que orienta a notificação em até 72 horas. Em conjunto, esses julgados constroem uma matriz interpretativa onde a responsabilidade objetiva, prevista no art. 42 da LGPD e no art. 14 do CDC, passa a ser aplicada com maior consistência.
A transformação constitucional promovida pela emenda 115/22 reforça esse ambiente jurídico. Ao reconhecer a proteção de dados como direito fundamental, o STF posicionou a autodeterminação informativa como elemento central da vida democrática. Decisões posteriores, como a que envolveu o RMS 55.819/22, demonstram que a Corte entende a proteção de dados de forma ampla, aplicável tanto a informações estáticas como CPF quanto a fluxos dinâmicos como registros de navegação ou geolocalização. Esse entendimento amplia a densidade normativa da LGPD e fortalece sua integração com o Marco Civil da Internet.
A análise consolidada dos últimos anos mostra uma tendência estável. De acordo com dados do Painel LGPD dos Tribunais, 7.235 decisões foram filtradas até 2025, com cerca de quinze precedentes estruturantes no STJ capazes de orientar casos futuros. A uniformidade desses julgados indica que práticas empresariais baseadas em coleta massiva de dados precisarão de governança mais sofisticada, documentação consistente e arquiteturas de segurança compatíveis com padrões internacionais, inclusive aqueles alinhados à ISO 27001.
O resultado é um Direito Digital que se torna menos experimental e mais estruturado, capaz de promover previsibilidade regulatória e proteger direitos fundamentais sem sufocar inovação. A responsabilidade civil, nesse contexto, assume função pedagógica e preventiva, ao incentivar modelos de gestão de dados fundamentados em clareza, prudência e proporcionalidade.
A narrativa que se forma é a de um ambiente jurídico em que decisões automatizadas, incidentes de segurança e privacidade constitucional funcionam como pilares complementares. A jurisprudência oferece um mapa de estabilidade em meio ao dinamismo tecnológico, sugerindo que a maturidade institucional depende menos de grandes rupturas e mais da capacidade de harmonizar jurisprudência, regulação e cultura organizacional.
_______
Bibliografia
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais.
BRASIL. Lei nº 8.078, de 11 de setembro de 1990. Código de Defesa do Consumidor.
BRASIL. Lei nº 12.965, de 23 de abril de 2014. Marco Civil da Internet.
BRASIL. Emenda Constitucional nº 115, de 22 de março de 2022.
BRASIL. Superior Tribunal de Justiça. REsp 2.135.783/DF, 3ª Turma, 2024. Informativo 817.
BRASIL. Superior Tribunal de Justiça. REsp 2.121.904-SP, 3ª Turma, 2025.
BRASIL. Superior Tribunal de Justiça. REsp 2.147.374-SP, 2024.
BRASIL. Superior Tribunal de Justiça. AREsp 2.130.619, 2024.
BRASIL. Superior Tribunal de Justiça. REsp 2.201.694/SP, 3ª Turma, 2025.
BRASIL. Supremo Tribunal Federal. RMS 55.819/2022.
BRASIL. Agência Nacional de Proteção de Dados. Resolução ANPD nº 15, de 23 de fevereiro de 2024.