Focused investigator reviewing evidence in a dimly lit office setting.

Meus dados pessoais vazaram: direitos diante da exposição indevida

Quando uma empresa expõe ou utiliza dados pessoais sem autorização, o titular não fica desamparado. A Lei Geral de Proteção de Dados assegura o direito de saber como as informações são tratadas, de corrigir registros errados, de exigir a exclusão do que não deveria estar ali e de ser avisado sobre vazamentos. Em muitos casos, cabe ainda indenização pelos prejuízos sofridos.

A proteção de dados como direito do titular

A Lei 13.709/2018, conhecida como Lei Geral de Proteção de Dados, organizou o tratamento de informações pessoais no país. Ela vale para empresas de qualquer porte, órgãos públicos e profissionais que coletam dados de clientes, usuários ou funcionários. O texto define quem controla os dados, quem apenas os opera e quais deveres cada um assume perante a pessoa a quem as informações se referem.

Em 2022, a Emenda Constitucional 115 inseriu a proteção de dados pessoais entre os direitos fundamentais, no artigo 5º da Constituição. Com isso, o tema deixou de ser apenas uma preocupação regulatória e ganhou estatura constitucional. O titular, ou seja, a pessoa identificada pelos dados, passou a contar com um rol claro de faculdades que pode exigir diretamente de quem trata suas informações.

A lei distingue dois papéis centrais. O controlador é quem decide sobre o tratamento, define finalidades e responde pelas escolhas feitas. O operador realiza o tratamento em nome do controlador, seguindo suas instruções. Essa separação importa porque orienta a quem o titular deve dirigir seus pedidos e quem responde por eventuais falhas na guarda das informações.

O que o titular pode exigir: informação, correção e exclusão

O artigo 18 da Lei Geral de Proteção de Dados lista o que o titular pode requerer. O primeiro direito é o de confirmação: saber se determinada empresa trata seus dados. Em seguida vem o acesso, que permite conhecer exatamente quais informações estão registradas e com que finalidade foram coletadas.

Quando o registro está incompleto, desatualizado ou incorreto, o titular pode pedir a correção. Se os dados foram tratados de forma excessiva ou sem base legal, cabe exigir a anonimização, o bloqueio ou a eliminação. Há ainda o direito de revogar um consentimento antes concedido e de solicitar a portabilidade das informações para outro fornecedor.

O pedido é feito diretamente ao controlador, que deve responder em prazo razoável e sem cobrar por isso. A recusa injustificada ou o simples silêncio abrem caminho para reclamação perante a Autoridade Nacional de Proteção de Dados e também para a via judicial.

Na prática, muitos controladores mantêm canais próprios para atender essas solicitações, como um encarregado de proteção de dados, responsável por receber e responder às demandas dos titulares. Identificar esse canal é o primeiro passo. O pedido pode ser escrito, com descrição clara do que se deseja, e convém guardar o protocolo ou o comprovante de envio para comprovação posterior.

O texto define quem controla os dados, quem apenas os opera e quais deveres cada um assume perante a pessoa a quem as informações se referem.

Comunicação de incidentes e o dever de transparência

Vazamentos, invasões e acessos indevidos são chamados de incidentes de segurança. O artigo 48 da lei impõe ao controlador o dever de comunicar tanto a Autoridade Nacional de Proteção de Dados quanto os titulares afetados sempre que o episódio possa gerar risco ou dano relevante. A omissão nesse aviso é, por si só, uma infração.

A comunicação precisa descrever a natureza dos dados atingidos, os riscos envolvidos e as medidas adotadas para conter o problema. Não basta um comunicado genérico. O titular tem o direito de entender o que aconteceu com suas informações para decidir como se proteger, seja trocando senhas, seja monitorando cobranças e tentativas de fraude em seu nome.

Saber o que aconteceu com os próprios dados não é favor da empresa, é dever imposto por lei.

A transparência também alcança o momento da coleta. Antes de obter qualquer informação, o controlador deve informar a finalidade, a forma do tratamento e com quem os dados serão compartilhados. Cláusulas escondidas em contratos extensos ou consentimentos genéricos não satisfazem essa exigência e podem ser questionados pelo titular.

Reparação e sanções pelo uso indevido

Os artigos 42 a 45 da Lei Geral de Proteção de Dados tratam da responsabilidade. Quem causa dano patrimonial, moral, individual ou coletivo pela violação das regras fica obrigado a reparar o prejuízo. Essa responsabilidade alcança tanto o controlador quanto o operador que descumpre as instruções recebidas ou a própria lei.

Os tribunais superiores têm diferenciado as situações. O vazamento de dados considerados sensíveis, como informações de saúde, biometria ou convicções pessoais, tende a caracterizar o dano com mais facilidade. Já a exposição de dados comuns, como nome e telefone, costuma exigir a demonstração de um prejuízo concreto, e não a mera presunção do abalo.

Além da esfera judicial, a Autoridade Nacional de Proteção de Dados pode aplicar sanções administrativas. As penalidades vão da advertência à multa de até 2% do faturamento da empresa, limitada a 50 milhões de reais por infração. A punição administrativa é independente da indenização que o titular venha a buscar na Justiça.

Como reunir provas e acionar seus direitos

O exercício efetivo desses direitos depende de organização. Diante de um uso indevido, o titular deve guardar tudo que documente o ocorrido: mensagens da empresa, avisos de vazamento, capturas de tela de cobranças estranhas, extratos e o registro de cada contato feito com o controlador. Esse conjunto forma a base de qualquer reclamação.

O caminho administrativo começa com o pedido direto ao controlador. Sem resposta satisfatória, a reclamação segue para a Autoridade Nacional de Proteção de Dados, que pode fiscalizar, orientar e sancionar. Esse órgão concentra a competência para aplicar as penalidades previstas na lei e recebe denúncias de titulares em todo o país.

A via judicial permanece disponível em paralelo, sobretudo quando há dano a reparar. O titular pode ajuizar ação para exigir a correção, a exclusão ou a indenização, de forma individual ou por meio de ações coletivas conduzidas por entidades legitimadas. A escolha entre os caminhos depende do objetivo e da urgência de cada caso.

Perguntas Frequentes

A empresa pode se recusar a excluir meus dados?

A exclusão é um direito, mas comporta exceções. O controlador pode reter informações quando houver obrigação legal de guarda, como registros fiscais, ou quando os dados forem necessários ao exercício de direitos em processo. Fora dessas hipóteses, a recusa é indevida e pode ser levada à Autoridade Nacional de Proteção de Dados.

Quanto tempo a empresa tem para avisar sobre um vazamento?

A lei exige comunicação em prazo razoável, e a orientação da Autoridade Nacional de Proteção de Dados é que o aviso ocorra o quanto antes após a constatação do incidente. A demora injustificada agrava a situação do controlador e reforça o pedido de reparação, porque impede o titular de tomar medidas de proteção a tempo.

Todo vazamento de dados gera direito a indenização?

Não de forma automática. É preciso demonstrar o dano sofrido, salvo quando a própria natureza dos dados expostos torna o prejuízo evidente. A exposição de informações sensíveis facilita o reconhecimento do dano moral, enquanto dados comuns costumam exigir a prova de que a falha causou transtorno concreto ao titular.

As informações deste artigo são de caráter informativo e não substituem a consulta a um advogado especializado. Cada caso possui particularidades que exigem análise individualizada.

Base legal citada

Leia o texto integral e atualizado no CM Legis:

Ficou com dúvidas? Fale com um advogado especialista.

📱 Falar pelo WhatsApp

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.

Posts Similares