Vazamento de dados e falhas tecnológicas: A nova fronteira do contencioso empresarial no Brasil

Não é novidade que a vigência da LGPD - Lei Geral de Proteção de Dados (lei 13.709/18), que foi gradativamente inserida no ordenamento jurídico brasileiro especialmente a partir de agosto 2020, operou uma transformação no modo como as empresas passaram a tratar os dados sob sua gestão. 

Na atualidade, o incremento do uso da inteligência artificial adiciona a este panorama uma complexidade ímpar. A IA, embora prometa uma melhoria no bem-estar social e um aumento de eficiência em diversos ramos da economia, também gera uma menor previsibilidade dos tipos de erros e suas possíveis repercussões práticas. Quanto menos controle o ser humano detém da IA aplicada (em especial nos sistemas semiautônomos), mais complexa se torna a medida de atribuição de responsabilidade entre fornecedor e usuário e, automaticamente, mais relevantes se tornam as medidas regulatórias (estatais ou organizacionais).

Fato é que o amplo acesso à informação, o volume de dados e a forma de tratamento a eles dada, tudo isso associado ao crescente (e irreversível) uso da IA ao cotidiano empresarial, gerou uma teia de fatores que precisam ser levados em consideração quando da ocorrência de uma "falha sistêmica". As decisões cada vez mais frequentes dos Tribunais nacionais acerca da responsabilidade de controladores e proprietários de plataformas têm feito com que o contencioso civil relacionado a incidentes de segurança da informação e a vazamentos de dados se consolide como um ponto de atenção relevante na gestão empresarial. 

Pelo que se observa nas rotinas empresariais, os serviços de infraestrutura de TI - tecnologia da informação, os sistemas, as plataformas e o tratamento de dados deixaram de ser meros suportes operacionais para se tornarem parte essencial do produto/serviço oferecido pelas empresas. Como consequência, as falhas sistêmicas, as interrupções não programadas, os bugs e, em especial, o vazamento de dados têm ultrapassado o limite do risco operacional para se tornarem verdadeira vulnerabilidade jurídica a ser considerada nos processos decisórios das lideranças organizacionais e instâncias de governança. 

Surge, assim, um novo ramo do contencioso empresarial, que exigirá dos gestores das empresas uma revisão completa dos contratos firmados, das políticas de governança e, em especial, do planejamento jurídico preventivo para mitigação destes riscos.  

Mas não só dos gestores. No plano normativo, vê-se que o setor tem buscado já há algum tempo a promoção de regulamentos que orientem as melhores práticas e estabeleçam processos de trabalho hábeis a auxiliar as tomadas de decisões. 

E essa regulação pode ser observada, no plano internacional, em documentos como o GDPR - General Data Protection Regulation da União Europeia, o APPI - Act on the Protection of Personal Information do Japão, o CCPA - California Consumer Privacy Act of 2018 dos Estados Unidos da América e o Cybersecurity Act, um regulamento do Parlamento europeu e da ENISA - Agência da União Europeia para segurança cibernética que estabelece um parâmetro para concessão de certificações europeias em cibersegurança para produtos, serviços e processos em ICTs - tecnologia da informação e comunicação. O NIST Cybersecurity Framework, criado pelo Instituto Nacional de Padrões e Tecnologia em 2014 também prevê uma gama de ações que devem ser consideradas para estabelecer um gerenciamento efetivo de segurança da informação e cibersegurança no setor privado. 

No Brasil, além das normas de padrão internacional, como a do NIST, a da ENISA e a ISO/IEC 27.001, existem as normas reguladoras internas para a responsabilidade pelo tratamento dos dados pessoais dos usuários, como a LGPD, associada ao CC e ao CDC. Ainda internamente, a ANPD - Agência Nacional de Proteção de Dados, na Agenda Regulatória do biênio 2025-2026, estabeleceu como metas de discussões para regulamentação temas tais como os parâmetros interpretativos para revisões de decisões automatizadas (por IA) e a fixação de padrões técnicos mínimos de segurança para proteção de dados pessoais. 

No plano judicial, o REsp 2.147.374/SP estabeleceu no STJ um marco teórico relevante. O recurso, julgado pela 3ª turma do STJ, sob a relatoria do ministro Ricardo Villas Bôas Cueva em dezembro de 2024, ao fixar o conceito de "expectativa de legítima proteção" aos dados do titular, reafirma a natureza constitucional dos dados pessoais (art. 5º, LXXIX, CRFB) e reforça as obrigações de transparência e acesso estabelecidas aos agentes de tratamento dos dados.  

Por fim, espera-se de todos os agentes integrantes da cadeia de tratamento de dados uma postura proativa, alinhada às melhores práticas de mercado e em conformidade com as normas regulatórias aplicáveis. As empresas que se estruturam, administrativa e juridicamente, para lidar preventivamente com essas questões, por meio da revisão contratual, do estabelecimento de SLAs concretos e exequíveis, da definição de métricas claras, da adoção de mecanismos de redundância, da implementação de programas de compliance com a LGPD e, quando possível, da previsão de cláusulas de limitação de responsabilidade (liability cap), tendem a apresentar risco significativamente menor de judicialização. 

____________________

1 Miriam Buiten, Alexandre de Streel, Martin Peitz. The law and economics of AI liability. Computer Law & Security Review. Volume 48, 2023, 105794, ISSN 2212-473X. Disponível em: https://www.sciencedirect.com/science/article/pii/S0267364923000055?utm_source=chatgpt.com. Acesso em: 11 dez 2025.   

2 Disponível em: https://lgpdbrasil.com.br/conheca-as-leis-de-protecao-de-dados-ao-redor-do-mundo/. Acesso em: 11 dez 2025. 

3 Disponível em: https://eur-lex.europa.eu/eli/reg/2019/881/oj. Acesso em: 11 dez 2025.  

4 NIST: agência estadunidense não regulatória que "promove a inovação por meio do avanço da ciência, das normas e da tecnologia de medição". Disponível em: https://www.ibm.com/br-pt/think/topics/nist. Acesso em: 12 dez 2025. 

5 Disponível em: https://www.gov.br/anpd/pt-br/acesso-a-informacao/acoes-e-programas/governanca/governanca-estrategica/resolucao-no-23-de-9-12-2024-agenda-regulatoria-2025-2026.pdf REsp 2.147.374. Acesso em: 12 dez 2025.