LGPD e a Responsabilidade Civil por Vazamento de Dados
O vazamento de dados pessoais pode gerar responsabilidade civil objetiva para empresas e órgãos públicos, independentemente de culpa, obrigando à reparação integral dos danos materiais e morais sofridos pelos titulares afetados.
O Que Diz a LGPD Sobre Vazamento de Dados
A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), conhecida pela sigla LGPD, representa o principal marco regulatório brasileiro sobre o tratamento de informações de pessoas naturais. Promulgada em agosto de 2018 e com vigência plena a partir de setembro de 2020, a norma estabelece obrigações detalhadas para qualquer pessoa física ou jurídica que colete, processe, armazene, transmita ou compartilhe dados pessoais no território nacional.
Quando falamos em vazamento de dados, referimo-nos a incidentes de segurança que resultam no acesso não autorizado a informações pessoais, seja por falha técnica, negligência operacional, ataque cibernético ou até mesmo conduta dolosa de empregados. A LGPD não define “vazamento” de maneira expressa, porém o artigo 48 faz menção a “incidente de segurança que possa acarretar risco ou dano relevante aos titulares”, exigindo comunicação imediata à Autoridade Nacional de Proteção de Dados (ANPD) e aos próprios titulares afetados.
Analisamos que o legislador optou por um modelo abrangente: a lei alcança quem quer que trate dados no Brasil, independentemente de onde esteja sediado o agente de tratamento. Assim, empresas estrangeiras que processam informações de brasileiros também se submetem às suas disposições.
Dados Pessoais Sensíveis e o Risco Ampliado
A LGPD distingue duas categorias principais: dados pessoais comuns (nome, CPF, endereço, e-mail) e dados pessoais sensíveis, que abrangem origem racial ou étnica, convicção religiosa, opinião política, saúde, vida sexual, dado genético ou biométrico. O vazamento de dados sensíveis atrai um grau de proteção reforçado e tende a gerar danos de maior gravidade, o que influencia diretamente o montante indenizatório em eventual ação judicial.
O vazamento de dados sensíveis não é apenas uma falha técnica: é uma violação à dignidade da pessoa humana, com consequências que podem perdurar por anos na vida do titular afetado.
Responsabilidade Civil na LGPD: Objetiva ou Subjetiva?
Este é o ponto mais debatido pela doutrina e pelos tribunais brasileiros desde a entrada em vigor da lei. O artigo 42 da LGPD determina que o controlador ou o operador que causar dano patrimonial, moral, individual ou coletivo ao titular fica obrigado a repará-lo. A questão central é: essa responsabilidade exige comprovação de culpa (responsabilidade subjetiva) ou prescinde dela (responsabilidade objetiva)?
Verificamos que a redação do artigo 43 da própria lei elenca hipóteses de exclusão da responsabilidade: quando o agente demonstrar que não realizou o tratamento que lhe é atribuído, que não houve violação à legislação de proteção de dados, ou que o dano decorreu de culpa exclusiva do titular ou de terceiro. Esse modelo de eximentes, estruturado de forma similar ao Código de Defesa do Consumidor, aproxima a LGPD da responsabilidade objetiva com causas excludentes, afastando o requisito de demonstração de culpa pelo titular lesado.
A posição majoritária na doutrina especializada aponta para a responsabilidade objetiva do controlador, sobretudo quando o tratamento de dados é realizado em contexto de consumo ou quando envolve dados sensíveis. Nos demais casos, parte da doutrina sustenta a responsabilidade subjetiva com inversão do ônus da prova, o que na prática produz efeito semelhante.
Controlador e Operador: Quem Responde?
A LGPD diferencia duas figuras centrais no tratamento de dados. O controlador é quem decide sobre o tratamento: finalidade, meios e duração. O operador é quem realiza o tratamento em nome do controlador, por exemplo, uma empresa de tecnologia contratada para hospedar um banco de dados.
Em regra, o controlador responde perante o titular pelos danos causados. O operador responde solidariamente quando descumprir a legislação de proteção de dados ou as instruções lícitas do controlador. Portanto, a cadeia de responsabilidade pode alcançar múltiplos agentes, inclusive fornecedores terceirizados que integram o fluxo de tratamento de dados.
Convém destacar que, havendo mais de um controlador ou operador envolvido no incidente, a responsabilidade é solidária, podendo o titular exigir a reparação integral de qualquer um dos responsáveis, que depois poderão regressar entre si.
Danos Indenizáveis e Como Comprová-los
O artigo 42 da LGPD admite a reparação de danos patrimoniais, morais, individuais e coletivos. Na prática, os titulares que tiveram seus dados expostos podem pleitear:
- Dano material: prejuízos econômicos concretos decorrentes do vazamento, como uso indevido de dados bancários, fraudes em nome do titular, custos com serviços de monitoramento de crédito e despesas com assessoria jurídica.
- Dano moral: violação à privacidade, à imagem e à honra do titular, angústia gerada pela exposição de informações íntimas, risco à reputação e abalo psicológico documentado.
- Dano coletivo: quando o incidente afeta um número indeterminado de titulares, abre-se espaço para ações coletivas, ajuizadas por associações de defesa do consumidor, Ministério Público ou Defensoria Pública.
A prova do dano moral em casos de vazamento de dados ainda é objeto de controvérsia nos tribunais. Parte dos julgadores entende que a simples exposição dos dados configura o chamado “dano moral in re ipsa”, ou seja, presumido pela própria natureza da violação, dispensando prova específica do abalo sofrido. Outra corrente exige que o titular demonstre os reflexos concretos do incidente em sua vida. Recomendamos que toda vítima reúna o máximo de documentação possível: prints, comunicados da empresa, registros de tentativas de fraude e qualquer evidência do uso indevido dos dados expostos.
A Questão da Quantificação do Dano Moral
Não existe tabela legal para fixar o valor da indenização por dano moral em casos de vazamento de dados. Os tribunais brasileiros costumam considerar a extensão do dano, a gravidade da conduta do agente, o caráter pedagógico da condenação, a capacidade econômica das partes e se o vazamento envolveu dados sensíveis. Incidentes envolvendo dados de saúde ou dados biométricos, por exemplo, tendem a gerar condenações mais expressivas do que vazamentos de simples dados cadastrais.
Obrigações das Empresas Para Prevenir o Vazamento
A prevenção é, sob todos os aspectos, mais vantajosa do que remediar. A LGPD impõe aos controladores e operadores a adoção de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas. Entre as principais obrigações preventivas, destacamos:
Política de segurança da informação: documentação formal dos procedimentos adotados para proteção dos dados, incluindo controle de acesso, criptografia, anonimização e protocolos de resposta a incidentes.
Relatório de Impacto à Proteção de Dados Pessoais (RIPD): documento obrigatório em determinadas hipóteses de tratamento de risco elevado, que mapeia os dados tratados, os riscos identificados e as medidas adotadas para mitigá-los.
Encarregado de proteção de dados (DPO): pessoa indicada pelo controlador para atuar como canal de comunicação com a ANPD e com os titulares, além de orientar internamente sobre boas práticas de proteção de dados.
Treinamento de equipes: empregados que lidam com dados pessoais devem ser capacitados periodicamente, pois grande parte dos incidentes decorre de erro humano, phishing ou descuido no manuseio de informações.
Comunicação de incidentes: em caso de vazamento, o controlador deve comunicar a ANPD e os titulares afetados em prazo razoável, informando a natureza dos dados afetados, as consequências prováveis e as medidas adotadas para controlar o incidente. A comunicação tempestiva e transparente pode atenuar a gravidade das sanções administrativas aplicadas pela ANPD.
Verificamos que empresas que adotam programas robustos de conformidade (compliance) de proteção de dados conseguem, além de reduzir o risco de incidentes, demonstrar em juízo a diligência empregada, o que pode influenciar a graduação das sanções e, em alguns casos, afastar a responsabilidade civil quando comprovada a culpa exclusiva de terceiro.
Perguntas Frequentes
Posso ser indenizado se meus dados vazaram de uma empresa?
Sim. A LGPD assegura ao titular o direito de ser indenizado pelos danos patrimoniais e morais decorrentes do vazamento de seus dados pessoais. Para tanto, é necessário demonstrar que houve o incidente, que seus dados foram afetados e que você sofreu algum tipo de dano em razão da exposição. Em determinadas situações, os tribunais têm reconhecido o dano moral presumido, dispensando a prova detalhada do abalo sofrido.
A empresa é obrigada a me avisar se meus dados vazaram?
Sim. O artigo 48 da LGPD obriga o controlador a comunicar a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados sempre que ocorrer incidente de segurança que possa gerar risco ou dano relevante. A comunicação deve ser feita em prazo razoável e deve informar a natureza dos dados expostos, os possíveis impactos e as medidas adotadas para controlar a situação.
Quais são as sanções que a ANPD pode aplicar em caso de vazamento?
A LGPD prevê sanções administrativas que vão desde advertência, com indicação de prazo para adoção de medidas corretivas, até multa simples de até 2% do faturamento da empresa no Brasil no último exercício, limitada a R$ 50 milhões por infração. Também são previstas multa diária, publicização da infração, bloqueio dos dados pessoais e até suspensão ou proibição parcial ou total das atividades de tratamento. As sanções não excluem a responsabilidade civil perante os titulares prejudicados.
Fornecedores terceirizados que acessam dados da minha empresa também precisam cumprir a LGPD?
Sim. Qualquer empresa ou profissional que trate dados pessoais em nome de outra organização é considerado operador pela LGPD e deve cumprir as obrigações legais cabíveis. Além disso, o controlador é responsável por escolher operadores que ofereçam garantias suficientes de conformidade. Por isso, recomenda-se incluir cláusulas específicas de proteção de dados nos contratos com fornecedores que tenham acesso a informações pessoais dos clientes ou empregados da empresa.
As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.
Receba novidades no WhatsApp e/ou e-mail
Cadastre-se gratuitamente para receber nossos novos artigos.
Seus dados estão protegidos conforme a LGPD.
Ficou com dúvidas? Fale com um advogado especialista.
📱 Falar pelo WhatsAppAs informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.