A cada novo incidente de dados, o país parece assistir a uma revelação incômoda sobre a fragilidade das relações informacionais. Assim como observou Hannah Arendt ao refletir sobre a exposição humana no espaço público, o ato de tornar visível o que deveria permanecer resguardado altera a própria condição do indivíduo. No ambiente digital, essa exposição ocorre em segundos, mas produz efeitos duradouros, especialmente quando chega ao Judiciário.
A expansão da vida em rede, descrita por Manuel Castells, explica parte desse fenômeno. Vivemos imersos em fluxos incessantes de informação, nos quais dados pessoais se convertem em engrenagens essenciais da economia contemporânea. A erosão de fronteiras entre o íntimo e o público impõe ao Direito novos deveres, e é nesse ponto que a jurisprudência do STJ ganha relevância ao definir parâmetros de responsabilização compatíveis com essa realidade.
Os julgados recentes mostram que o Tribunal tem refinado a distinção entre dados comuns e sensíveis, reconhecendo que certas informações carregam uma dimensão identitária que merece atenção especial. No REsp 2.201.694/SP, DJe de 5/8/25, Processo 2025/0081134-2, a 3ª turma entendeu que a simples divulgação de renda, endereço e contatos é suficiente para gerar dano moral, sem exigir demonstração de prejuízo adicional. A decisão dialoga com a lógica de proteção integral presente na LGPD.
Em outro caso, o REsp 2.121.904/SP, DJe de 11/2/25, Processo 2024/0031292-7, a mesma turma tratou de dados ligados à saúde e à vida financeira e reafirmou a presunção de abalo moral, aproximando a interpretação brasileira das diretrizes europeias, especialmente do GDPR, que inspirou a LGPD na diferenciação entre categorias de dados e no princípio da responsabilização.
O Tribunal também enfrentou situações envolvendo ataques cibernéticos. No REsp 2.147.374/SP, DJe de 4/12/24, Processo 2022/0220922-8, relativo à invasão hacker à Eletropaulo, concluiu que a ausência de medidas eficazes de segurança caracteriza fortuito interno. O controlador assumiu o risco da atividade e precisava demonstrar precauções adequadas, o que não ocorreu. Essa exigência de justificativa clara aproxima o Direito das expectativas sociais descritas por Castells, em que sistemas complexos devem responder proporcionalmente ao impacto que causam.
No Agravo em REsp 2.130.619/SP, DJe de 7/3/23, Processo 2022/0152262-2, o STJ adotou entendimento distinto ao analisar vazamento de dados comuns. A Corte afirmou que não basta a simples divulgação para configurar dano moral, exigindo demonstração efetiva de prejuízo. A racionalidade de tratamento diferenciado se harmoniza com a própria LGPD, que prevê salvaguardas reforçadas para informações sensíveis.
Esse conjunto de decisões se apoia em fundamentos constitucionais sólidos. O STF reconheceu a proteção de dados como direito fundamental implícito na ADI 6.387, DJe de 11/11/20, relatoria da ministra Rosa Weber. A EC 115/22, promulgada em 10/2/22, positivou expressamente o art. 5º, LXXIX, consolidando a privacidade informacional como elemento estruturante da cidadania digital. A transformação observada remete ao pensamento de Norberto Bobbio sobre a contínua expansão dos direitos fundamentais em resposta às exigências históricas.
A responsabilidade civil digital prevista na LGPD adota natureza objetiva, em consonância com seu desenho normativo e com a lógica de tutela preventiva que orienta a proteção de dados no Brasil. O legislador reconhece que a simples ocorrência do vazamento, da divulgação indevida ou do tratamento irregular já constitui violação suficiente para gerar responsabilização, independentemente de a informação ser classificada como sensível ou comum.
A análise de eventual nexo causal e de danos adicionais ao titular possui caráter secundário, pois o foco central da legislação é evitar o incidente e impedir que agentes de tratamento se beneficiem da própria falha ao alegar ausência de prejuízo. O dano jurídico relevante se manifesta no momento da exposição não autorizada, que rompe a expectativa legítima de confidencialidade e compromete a integridade informacional do indivíduo, tornando desnecessária a demonstração de consequências posteriores para configurar a responsabilidade.
A centralidade desse regime de responsabilidade objetiva encontra fundamento direto na ordem constitucional, especialmente após a positivação expressa do direito à proteção de dados pessoais no art. 5º, inciso LXXIX (EC 115/22), integrando o catálogo de direitos fundamentais.
Ao ingressar nessa esfera, a tutela dos dados assume caráter inalienável, irrenunciável e imprescritível, incompatível com qualquer tentativa de relativização mediante negociação ou renúncia. O constituinte derivado, ao inserir esse direito entre as garantias fundamentais, reconheceu que sua violação atinge a própria dignidade da pessoa, razão pela qual não há espaço para flexibilizações legislativas que esvaziem sua eficácia.
A Constituição estabelece que o conteúdo do art. 5º constitui cláusula pétrea, o que impede o Congresso Nacional de suprimir ou restringir o núcleo essencial desse direito, preservando sua força protetiva mesmo diante de pressões econômicas, tecnológicas ou políticas.
A jurisprudência, portanto, não atua isoladamente. Ela dialoga com valores constitucionais, com as práticas tecnológicas que redefinem a vida social e com as expectativas de segurança do titular. Nesse ambiente de transição, cada decisão do STJ funciona como sinalização regulatória, estimulando organizações a reavaliarem a forma como tratam dados e estruturam sua governança digital.
A sociedade em rede descrita por Castells, a reflexão de Arendt sobre a condição humana e a evolução dos direitos fundamentais estudada por Bobbio ajudam a compreender por que os tribunais passaram a exigir responsabilidade mais criteriosa. Não se trata apenas de sancionar falhas, mas de incentivar práticas que preservem a dignidade em um cenário marcado pela exposição constante.
O percurso que se desenha no Brasil combina amadurecimento jurisprudencial, amadurecimento constitucional e influência internacional. A partir desse conjunto, o STJ consolida um entendimento que reforça a necessidade de prudência, transparência e cuidado no tratamento de dados pessoais. A proteção de dados se afirma como espaço de defesa da pessoa e como compromisso social em uma era que já não admite descuidos informacionais.
___________
ARENDT, HANNAH. A condição humana. Tradução de Roberto Raposo. 10. ed. Rio de Janeiro: Forense Universitária, 2007.
BOBBIO, NORBERTO. A era dos direitos. Tradução de Carlos Nelson Coutinho. 13. ed. Rio de Janeiro: Elsevier, 2004.
CASTELLS, MANUEL. A sociedade em rede. Tradução de Roneide Venâncio Majer. 7. ed. São Paulo: Paz e Terra, 2016.
BRASIL. Constituição da República Federativa do Brasil de 1988.
BRASIL. Emenda Constitucional nº 115, de 10 de fevereiro de 2022.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais.
BRASIL. Lei nº 12.965, de 23 de abril de 2014. Marco Civil da Internet.
UNIÃO EUROPEIA. Regulamento (UE) 2016/679 (GDPR).