Vazamento de Dados: Como Agir e o Que Exigir da Empresa
O vazamento de dados pessoais expõe o titular a riscos concretos de fraude, golpes e danos morais, mas a Lei Geral de Proteção de Dados e o Código de Defesa do Consumidor garantem instrumentos jurídicos robustos para responsabilizar a empresa controladora e exigir reparação integral.
O cenário jurídico do incidente de segurança no Brasil
A Lei 13.709/2018, conhecida como Lei Geral de Proteção de Dados, estruturou o regime de responsabilidade civil pelo tratamento inadequado de informações pessoais no país. Quando uma empresa que opera como controladora ou operadora sofre vazamento, sequestro de banco de dados ou exposição indevida de registros, configura-se incidente de segurança com repercussão imediata na esfera jurídica dos titulares.
A responsabilização opera em três frentes simultâneas. No plano administrativo, a Autoridade Nacional de Proteção de Dados detém competência sancionatória, podendo aplicar advertência, multa simples de até dois por cento do faturamento, multa diária, publicização da infração e bloqueio dos dados envolvidos. No plano civil, o titular pode exigir reparação por danos materiais e morais. No plano consumerista, quando há relação de consumo, soma-se o microssistema do Código de Defesa do Consumidor, com responsabilidade objetiva pelo fato do serviço.
O Superior Tribunal de Justiça consolidou entendimento de que a exposição não autorizada de dados pessoais sensíveis configura dano moral presumível, dispensando comprovação de prejuízo concreto pelo titular. A tese protege especialmente vazamentos envolvendo dados financeiros, biométricos, de saúde e cadastros completos com documentos pessoais.
O dever de comunicação e a janela crítica de resposta
A primeira obrigação da empresa após constatar o incidente é comunicar a Autoridade Nacional de Proteção de Dados e os titulares afetados em prazo razoável, na forma regulamentada pela Resolução CD/ANPD 15/2024. A comunicação deve descrever a natureza dos dados afetados, os titulares envolvidos, as medidas técnicas adotadas para proteção, os riscos relacionados ao incidente e as providências tomadas para reverter ou mitigar efeitos.
O silêncio da empresa após o vazamento agrava a responsabilidade e potencializa o dano indenizável.
O descumprimento desse dever de transparência costuma ser tratado pela jurisprudência como circunstância agravante na fixação da indenização. Empresas que demoram a comunicar, omitem a extensão real do incidente ou tentam minimizar publicamente a gravidade dos fatos tendem a ser condenadas em valores superiores, porque a omissão impede o titular de adotar medidas defensivas tempestivas, como bloqueio preventivo de cartões, troca de senhas, monitoramento de cadastros e registro de boletim de ocorrência.
Cabe ao titular guardar todos os elementos probatórios do incidente desde o primeiro momento: e-mails recebidos da empresa, prints de notícias, comunicados oficiais, notificações da Autoridade Nacional de Proteção de Dados, registros de tentativas de fraude que se seguiram ao vazamento, extratos bancários com movimentações suspeitas e protocolos de atendimento. O acervo probatório precoce sustenta a tese tanto na esfera administrativa quanto judicial.
O que exigir da empresa controladora
O titular afetado pode formular pedidos extrajudiciais antes de qualquer providência contenciosa, valendo-se dos direitos catalogados no artigo 18 da Lei Geral de Proteção de Dados. A confirmação da existência de tratamento, o acesso aos dados, a anonimização ou bloqueio das informações desnecessárias, a portabilidade e a eliminação dos dados tratados em desconformidade são direitos exercitáveis mediante requerimento dirigido ao encarregado pelo tratamento de dados pessoais, com resposta obrigatória em quinze dias.
Além desses direitos, três pedidos costumam compor a estratégia inicial. O primeiro é a oferta de monitoramento gratuito de crédito por período razoável, custeado pela empresa, abrangendo serviços de proteção contra fraude e alertas de movimentação em cadastros de inadimplentes. O segundo é a contratação, às expensas da controladora, de seguro contra fraude de identidade. O terceiro é a indenização pecuniária pelos danos morais decorrentes da exposição e pelos danos materiais já configurados, quando houver.
A recusa da empresa em atender a essas pretensões abre caminho para representação à Autoridade Nacional de Proteção de Dados, ação judicial individual e, em casos de vazamento massivo, ação coletiva por entidades legitimadas. A via individual costuma tramitar nos Juizados Especiais Cíveis quando o valor da indenização pretendida se enquadra no teto de quarenta salários mínimos, com vantagem da celeridade e da gratuidade.
A quantificação do dano e o roteiro probatório
A fixação do valor indenizatório considera a natureza dos dados expostos, a extensão da divulgação, o tempo de exposição, a postura da empresa após o incidente, as consequências concretas suportadas pelo titular e o porte econômico da controladora, segundo o critério bifásico consagrado pelo Superior Tribunal de Justiça. Vazamentos envolvendo dados sensíveis, biométricos ou financeiros tendem a gerar valores mais expressivos, na faixa entre cinco e quinze mil reais por titular, conforme jurisprudência majoritária dos tribunais estaduais e regionais.
Quando ao vazamento se segue fraude consumada, com abertura de contas, contratação de empréstimos, compras não autorizadas ou desvio patrimonial, soma-se à indenização moral a reparação material integral pelos prejuízos efetivamente sofridos. A responsabilidade da empresa pelo dano material independe de comprovação de culpa, bastando o nexo entre o vazamento e a fraude, presunção que se fortalece quando há proximidade temporal entre os eventos.
O titular não precisa esgotar a via administrativa antes de procurar o Judiciário. A representação à Autoridade Nacional de Proteção de Dados e a ação judicial podem tramitar paralelamente, sem prejuízo recíproco. Em paralelo, recomenda-se o registro de boletim de ocorrência, especialmente quando há fraudes em curso, e a notificação aos órgãos de proteção ao crédito para sinalização de prevenção a fraudes no cadastro.
Perguntas Frequentes
Qual o prazo para a empresa comunicar o vazamento ao titular dos dados?
A Lei Geral de Proteção de Dados exige comunicação em prazo razoável, regulamentado pela Autoridade Nacional de Proteção de Dados em três dias úteis a contar do conhecimento do incidente que envolva risco ou dano relevante. A demora ou a omissão na comunicação configura agravante autônoma e pode majorar a indenização eventualmente fixada em ação judicial, além de sujeitar a empresa às sanções administrativas previstas no artigo 52 da legislação.
O titular precisa comprovar prejuízo concreto para receber indenização?
Não. O Superior Tribunal de Justiça reconhece que a exposição não autorizada de dados pessoais sensíveis, financeiros ou de cadastro completo configura dano moral presumível, dispensando prova de prejuízo material. Basta demonstrar o vazamento e a vinculação dos dados expostos ao titular. Quando há fraude consumada após o incidente, soma-se a reparação por danos materiais, esta sim dependente de comprovação documental dos prejuízos efetivos.
Como o titular deve agir nas primeiras horas após descobrir o vazamento?
O primeiro passo é preservar provas: capturar telas, salvar e-mails, guardar comunicados oficiais e registrar protocolos de atendimento. Em seguida, recomenda-se bloquear preventivamente cartões expostos, alterar senhas reutilizadas em outros serviços, ativar autenticação em duas etapas e solicitar aos órgãos de proteção ao crédito a inclusão de alerta de prevenção a fraudes. Por fim, formalizar requerimento ao encarregado de dados da empresa exigindo informações detalhadas sobre o tratamento e as medidas de mitigação adotadas.
Receba novidades no WhatsApp e/ou e-mail
Cadastre-se gratuitamente para receber nossos novos artigos.
Seus dados estão protegidos conforme a LGPD.
Ficou com dúvidas? Fale com um advogado especialista.
📱 Falar pelo WhatsAppAs informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.
