Vazamento de Dados Pessoais: Como Reagir e Cobrar Reparacao
A exposição não autorizada de informações pessoais gera obrigações imediatas para as organizações responsáveis pelo tratamento e assegura ao titular afetado o direito à indenização por danos materiais e morais, à eliminação dos dados comprometidos e à responsabilização administrativa perante a Autoridade Nacional de Proteção de Dados.
O que configura um incidente de segurança e quais direitos são ativados
O vazamento de dados pessoais é caracterizado pela Lei 13.709/2018 como qualquer incidente de segurança capaz de acarretar risco ou dano relevante aos titulares, abrangendo acesso não autorizado, destruição acidental, alteração indevida, comunicação ou difusão de informações protegidas. A norma alcança tanto exposições causadas por ataques externos quanto falhas internas de controle de acesso pelos próprios agentes de tratamento.
Confirmado o incidente, o titular vê ativados de imediato os direitos previstos no artigo 18 da mesma lei: acesso ao conteúdo dos dados tratados, correção de registros incompletos ou desatualizados, eliminação das informações expostas quando o tratamento for desnecessário, portabilidade para outro fornecedor e revogação do consentimento anteriormente concedido. Esses direitos são autoaplicáveis e independem de ação judicial para serem exigidos diretamente ao controlador.
Quando a relação entre o titular e a organização for de consumo, aplicam-se cumulativamente as disposições do Código de Defesa do Consumidor, que asseguram, entre outros direitos básicos, a efetiva prevenção e reparação de danos e o acesso à informação adequada e transparente. A cumulação das normas amplia o leque de instrumentos de defesa disponíveis ao cidadão prejudicado.
Medidas imediatas que o titular deve adotar após a confirmação do incidente
A primeira providência é documentar todas as comunicações recebidas: e-mails de notificação, mensagens no aplicativo, informes no site da empresa e qualquer protocolo de atendimento. Esses registros constituem prova essencial em eventual ação judicial ou procedimento administrativo, razão pela qual capturas de tela com data e hora visíveis são indispensáveis desde o primeiro momento.
Na sequência, o titular deve monitorar os sistemas de proteção ao crédito, verificar extratos bancários e comunicar imediatamente às instituições financeiras a possível exposição de dados sensíveis como senhas, números de cartão ou chaves de pagamento. Caso o vazamento inclua documentos de identificação como CPF ou RG, o registro de boletim de ocorrência é recomendável para prevenir uso fraudulento do nome em operações de crédito ou abertura de contas.
A responsabilidade civil pelo vazamento de dados independe de culpa do controlador quando o tratamento representa atividade de risco elevado, invertendo o ônus da prova em favor do titular prejudicado.
Paralelamente, o titular deve formalizar junto ao controlador uma solicitação escrita descrevendo o dano sofrido e requerendo esclarecimentos sobre a extensão do incidente, as categorias de dados comprometidos e as medidas corretivas adotadas. A resposta obtida (ou sua ausência em prazo razoável) integra o conjunto probatório da demanda reparatória e demonstra a conduta omissiva da empresa.
Como exigir reparação pelas vias administrativa e judicial
No plano administrativo, o titular pode registrar reclamação perante a Autoridade Nacional de Proteção de Dados pelo portal gov.br, descrevendo o incidente e anexando os documentos coletados. A ANPD tem competência para impor ao controlador sanções que vão do aviso à multa de até 2% do faturamento no Brasil, limitada a cinquenta milhões de reais por infração, além de determinar a publicização do incidente e a eliminação dos dados afetados.
Quando a relação for de consumo, o PROCON estadual e os Juizados Especiais Cíveis representam caminhos complementares e de baixo custo. Nos Juizados, o rito é mais simples e, dentro dos limites legais, admite que a própria parte ajuíze a ação em primeiro grau, o que facilita o acesso para casos de dano moral individual. A ação judicial pode ser proposta simultaneamente ao procedimento administrativo, sem qualquer impedimento legal entre as instâncias.
Para fins de reparação civil, o artigo 42 da Lei 13.709/2018 estabelece a responsabilidade objetiva do controlador quando o tratamento violou a norma e causou dano ao titular. O dano material exige demonstração do prejuízo econômico concreto (cobranças indevidas, fraudes bancárias, custos com bloqueio de cartão), enquanto o dano moral pode ser reconhecido pela simples exposição não autorizada de dados íntimos ou sensíveis, sem necessidade de comprovação de consequência específica, conforme orientação majoritária dos tribunais superiores.
Perguntas Frequentes
É necessário comprovar um prejuízo financeiro concreto para ter direito à indenização?
Não necessariamente. Tribunais têm reconhecido o dano moral pela simples exposição indevida de dados pessoais sensíveis, como informações de saúde, dados bancários e documentos de identificação, sem exigir prova de prejuízo econômico direto. O fundamento está na violação da privacidade como bem jurídico autônomo, cuja lesão gera constrangimento e insegurança objetivamente verificáveis. Para o dano material, contudo, é imprescindível demonstrar a perda patrimonial efetiva, como saques fraudulentos, contratações em nome do titular sem sua anuência ou gastos diretos decorrentes do incidente.
A empresa tem prazo legal para comunicar o vazamento ao titular afetado?
Sim. O artigo 48 da Lei 13.709/2018 determina que o controlador comunique à ANPD e aos titulares afetados a ocorrência de incidente de segurança em prazo razoável, fixado pela autoridade regulatória em até setenta e duas horas a partir da ciência do evento. A notificação deve descrever a natureza dos dados afetados, as medidas de segurança adotadas, os riscos relacionados ao incidente e os dados de contato do encarregado pelo tratamento de dados. O descumprimento desse prazo agrava a responsabilidade administrativa da empresa e pode ser utilizado como evidência de má-fé na ação indenizatória.
É possível acionar o PROCON e ingressar com ação judicial ao mesmo tempo?
Sim. Os procedimentos tramitam em esferas distintas e não são excludentes entre si. A reclamação no PROCON tem natureza administrativa e pode resultar em acordo extrajudicial ou na aplicação de sanções pela autoridade de defesa do consumidor. A ação judicial busca a reparação civil do dano individualmente sofrido perante o Poder Judiciário. A reclamação à ANPD, por sua vez, visa à sanção do controlador no âmbito da legislação de proteção de dados pessoais. As três vias podem tramitar em paralelo, e os documentos produzidos em uma esfera podem ser aproveitados como prova nas demais, desde que devidamente autenticados.
Receba novidades no WhatsApp e/ou e-mail
Cadastre-se gratuitamente para receber nossos novos artigos.
Seus dados estão protegidos conforme a LGPD.
Ficou com dúvidas? Fale com um advogado especialista.
📱 Falar pelo WhatsAppAs informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.
