STJ reconhece dano moral presumido em vazamento de dados pessoais

A proteção de dados pessoais tornou-se um dos temas mais relevantes do Direito Contemporâneo, refletindo o avanço das tecnologias digitais e a necessidade de salvaguardar a privacidade dos indivíduos. A evolução desse direito acompanha o crescimento exponencial da economia da informação, na qual dados são considerados um ativo estratégico para empresas e governos.

Contextualizando

O debate sobre a proteção de dados pessoais remonta à segunda metade do século XX. O primeiro país a estabelecer um marco regulatório específico foi a Alemanha, que, em 1970, editou a Hessisches Datenschutzgesetz, lei que buscava regular a coleta e o uso de dados por órgãos públicos.

A partir dessa iniciativa pioneira, outros países europeus passaram a estruturar legislações semelhantes. O grande marco internacional ocorreu em 1981, com a Convenção 108 do Conselho da Europa, primeiro tratado internacional dedicado à proteção de dados. Posteriormente, a União Europeia fortaleceu esse arcabouço normativo com a diretiva 95/46/CE, que estabeleceu regras para o tratamento de dados pessoais dentro do bloco.

O avanço da digitalização e o surgimento de novas ameaças à privacidade levaram à substituição da referida diretiva pelo Regulamento Geral sobre a Proteção de Dados (GDPR - General Data Protection Regulation), em vigor desde 2018. O GDPR representa um modelo mais robusto de proteção de dados pessoais no mundo, inspirando legislações em diversos países, inclusive no Brasil.

O Brasil e a proteção de dados pessoais

O Brasil não ficou alheio ao movimento global de fortalecimento da privacidade, contudo, embora a CF/88 já previsse, em seu art. 5º, o direito à intimidade e ao sigilo das comunicações, a regulamentação específica da proteção de dados, demorou a se consolidar em nosso território. 

Antes da LGPD, algumas normas esparsas e não específicas tratavam do tema de maneira fragmentada, como o CDC (lei 8.078/1990), o marco civil da internet (lei 12.965/14) e normas setoriais sobre sigilo bancário e registros médicos. No entanto, a matéria se consolidou definitivamente com a edição da LGPD - Lei Geral de Proteção de Dados Pessoais (lei 13.709/18), sancionada em agosto de 2018 e em vigor desde setembro de 2020.

Apesar da regulamentação expressa da matéria, a controvérsia não foi totalmente dirimida, permanecendo a responsabilidade civil pelo vazamento de dados pessoais como o cerne das discussões. O principal ponto de debate reside na exigência, ou não, da comprovação de dano concreto do dano para a caracterização do dever de indenizar.

Eis o arcabouço legislativo. Pois bem, passo ao acórdão do STJ.

STJ e o reconhecimento do dano moral presumido

A jurisprudência nacional, embora de forma tímida, já vinha evoluindo no sentido de reconhecer o dano moral presumido em determinadas situações, mas ainda havia divergências sobre a extensão e os critérios para a fixação da indenização.

Entretanto, no dia 11/2/25, o STJ se posicionou sobre a controvérsia, proferindo uma decisão de grande relevância para o Direito Digital e a Proteção de Dados Pessoais no Brasil ao julgar o REsp 2.121.904. O caso concreto envolve uma seguradora e inaugura um entendimento relevante: a possibilidade de reconhecimento do dano moral presumido em hipóteses de vazamento de dados pessoais, dispensando a necessidade de comprovação de prejuízo concreto.

Importante ressaltar que a decisão do STJ pode não se limitar ao setor de seguros, possuindo um impacto transversal, podendo atingir todas as empresas que realizam o tratamento de dados pessoais, principalmente quando envolve dados sensíveis. O julgamento reforça a necessidade de observância rigorosa da LGPD - Lei Geral de Proteção de Dados e a adoção de medidas eficazes de segurança da informação, com programas de privacidade estruturados.

Nesse contexto, o STJ reconheceu que o simples vazamento de dados pode ser suficiente para caracterizar uma lesão à privacidade e à segurança do titular, tornando desnecessária a comprovação de danos materiais ou psicológicos. Esse entendimento amplia significativamente o alcance da responsabilidade civil em matéria de proteção de dados.

Para a relatora Nancy Andrighi, a responsabilidade do fornecedor pela proteção de dados pessoais do consumidor, especialmente quando se trata de dados sensíveis, é um dever incontestável no ordenamento jurídico brasileiro. Essa obrigação decorre tanto do CDC, que estabelece a inversão do ônus da prova em favor do consumidor em situações de vulnerabilidade (arts. 6º, VIII, e 14, caput e §3º), quanto da LGPD - Lei Geral de Proteção de Dados, que reforça a necessidade de adoção de medidas eficazes para garantir a segurança das informações pessoais (arts. 6º, X, 8º, §2º, 42, §2º e 48, §3º).

No que se refere aos dados pessoais sensíveis, há um regime jurídico ainda mais rigoroso, dada a possibilidade de que sua exposição indevida, gere discriminação ou prejuízos irreversíveis ao titular. A LGPD, em seu art. 5º, inciso II, define como dados sensíveis aqueles que revelam a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, informações sobre saúde, vida sexual, dados genéticos ou biométricos. Dada a sua natureza delicada, o tratamento dessas informações exige requisitos mais estritos, incluindo, geralmente, a obtenção de consentimento específico e destacado do titular (art. 11 da LGPD).

No âmbito dos contratos de seguro de vida, a necessidade de proteção dos dados pessoais se torna ainda mais evidente. Para a avaliação de riscos e a fixação das condições contratuais, as seguradoras coletam informações altamente sensíveis sobre a saúde, condição financeira e aspectos pessoais dos segurados. O dever de sigilo e proteção dessas informações é inerente à própria relação contratual e, portanto, sua violação impõe responsabilidade objetiva à seguradora.

Dessa forma, fixou-se o entendimento de que o vazamento de dados sensíveis fornecidos para a contratação do seguro de vida não exige prova de dano concreto, pois a simples exposição indevida dessas informações já submete o consumidor a riscos significativos relacionados à sua honra, imagem, intimidade, segurança patrimonial e integridade física.

Com base nesse entendimento, a jurisprudência do STJ consolidou a tese de que, em casos de vazamento de dados sensíveis, há a caracterização do dano moral presumido, independentemente da demonstração de prejuízo material específico. Nesse sentido, a revisão do valor da indenização por dano moral apenas se justifica se o montante fixado for considerado exorbitante ou ínfimo, o que não se verificava na hipótese em análise.

Portanto, no caso concreto, o acórdão recorrido manteve a responsabilidade da seguradora, reconhecendo que: a) houve vazamento de dados pessoais do segurado; b) os dados expostos eram sensíveis, abrangendo informações fiscais, bancárias e de saúde; c) havia nexo de causalidade entre a falha na prestação do serviço e o vazamento, configurando descumprimento do dever de proteção da seguradora.

Novos rumos na proteção de dados pessoais

Diante desses elementos, a decisão que impôs a responsabilização da seguradora se mostra plenamente justificada, uma vez que a falha na segurança da informação viola direitos fundamentais dos consumidores e impõe riscos que vão além do mero dissabor cotidiano. Assim, o reconhecimento da responsabilidade objetiva e do dano moral presumido nesses casos não apenas resguarda os direitos dos titulares de dados, mas também reforça a necessidade de adoção de medidas rigorosas de proteção de informações sensíveis, em conformidade com os princípios da LGPD e do CDC.

Dessa forma, a tese fixada pelo STJ pode influenciar uma série de litígios futuros sobre incidentes de segurança envolvendo dados pessoais, consolidando um cenário de maior responsabilização das empresas e ampliando as possibilidades de indenização.

Além das sanções administrativas que podem ser aplicadas pela ANPD - Autoridade Nacional de Proteção de Dados, as empresas envolvidas em vazamentos estarão expostas a um volume crescente de demandas judiciais, aumentando a necessidade de gerenciamento eficiente dos riscos regulatórios e jurídicos.

Diante desse novo paradigma jurisprudencial, organizações que tratam dados pessoais devem reforçar suas práticas de governança e segurança da informação com a adoção de sistemas de segurança mais seguros, treinamento contínuo de equipes internas e implementação de programas de privacidade mais efetivos.

O julgamento do STJ sinaliza uma mudança relevante na interpretação da responsabilidade civil por vazamento de dados no Brasil, impondo uma nova realidade para o tratamento de dados pessoais. O cenário atual exige um compromisso ainda maior com a segurança da informação, não apenas como uma exigência legal, mas como um fator estratégico essencial para a manutenção da confiança e a mitigação de riscos.

_____________

1 Brasil. (1988). Constituição da República Federativa do Brasil de 1988. Brasília, DF: Presidência da República. Disponível em: www.planalto.gov.br

2 Brasil. (1990). Lei nº 8.078, de 11 de setembro de 1990. Código de Defesa do Consumidor. Brasília, DF: Presidência da República. Disponível em: www.planalto.gov.br

3 Brasil. (2014). Lei nº 12.965, de 23 de abril de 2014. Marco Civil da Internet. Brasília, DF: Presidência da República. Disponível em: www.planalto.gov.br

4 Brasil. (2018). Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília, DF: Presidência da República. Disponível em: www.planalto.gov.br

5 Conselho da Europa. (1981). Convenção para a Proteção das Pessoas Singulares no que Diz Respeito ao Tratamento Automatizado de Dados de Caráter Pessoal (Convenção 108). Estrasburgo, França. Disponível em: https://rm.coe.int/cm-convention-108-portuguese-version-2756-1476-7367-1/1680aa72a2 

6 Brasil. Superior Tribunal de Justiça. (2024). Recurso Especial nº 2.121.904 - SP. Relatora: Ministra Nancy Andrighi. Brasília, DF. Disponível em: https://processo.stj.jus.br/processo/julgamento/eletronico/documento/mediado/?documento_tipo=integra&documento_sequencial=295578100®istro_numero=202400312927&peticao_numero=&publicacao_data=20250217&formato=PDF

7 União Europeia. (1995). Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=CELEX%3A31995L0046

8 União Europeia. (2016). Regulamento Geral sobre a Proteção de Dados (GDPR) - Regulamento (UE) 2016/679. Disponível em: https://eur-lex.europa.eu/eli/reg/2016/679/oj