Vazamento de dados: o que o cidadao pode exigir e como buscar reparacao
Quando uma empresa perde o controle sobre dados pessoais que estavam sob sua guarda, o titular exposto não fica desamparado. A legislação brasileira de proteção de dados impõe deveres claros a quem coleta e armazena informações, garante o direito de ser informado sobre o ocorrido e abre caminho para a responsabilização de quem falhou na segurança, inclusive com reparação financeira pelos prejuízos sofridos.
O que caracteriza um incidente de segurança com dados pessoais
Um incidente de segurança ocorre sempre que dados pessoais sob a responsabilidade de uma organização são acessados, divulgados, alterados ou perdidos sem autorização. Isso abrange desde a invasão de um banco de dados por criminosos até o envio equivocado de uma planilha com informações de clientes para o destinatário errado. O ponto central não é a intenção, mas o fato de a informação ter escapado ao controle de quem deveria protegê-la.
A Lei Geral de Proteção de Dados, a Lei 13.709 de 2018, define dado pessoal como qualquer informação relacionada a pessoa natural identificada ou identificável. Nome, número de documento, endereço, dados bancários, histórico de compras e até o endereço de correio eletrônico entram nessa categoria. Alguns dados recebem proteção reforçada, como os de saúde, origem racial, convicção religiosa e vida sexual, classificados como dados sensíveis.
A gravidade do incidente varia conforme o tipo de dado exposto e o risco que ele representa para o titular. O vazamento de uma senha bancária ou de um laudo médico tem potencial lesivo muito maior do que a simples divulgação de um nome. Essa distinção é decisiva para medir os deveres da empresa e a extensão dos direitos de quem foi atingido.
O dever de comunicar o titular e a autoridade competente
O artigo 48 da Lei Geral de Proteção de Dados estabelece que o responsável pelo tratamento deve comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante. A comunicação precisa ser feita em prazo razoável e conter informações mínimas que permitam ao titular compreender o que aconteceu e adotar medidas de proteção.
Essa notificação não é uma cortesia, e sim uma obrigação legal. Ela deve descrever a natureza dos dados afetados, indicar os riscos envolvidos, informar as medidas técnicas de segurança que estavam em uso e apontar o que a empresa fará para reduzir os efeitos do vazamento. O silêncio da organização, quando havia dever de comunicar, agrava a sua situação e reforça a caracterização da falha.
Para o titular, receber essa informação é o que torna possível agir a tempo. Saber que uma senha foi comprometida permite trocá-la antes que seja usada. Saber que dados financeiros circulam permite monitorar movimentações suspeitas e alertar instituições bancárias. A omissão priva a pessoa dessa chance de defesa e desloca para ela um risco que a empresa deveria ter administrado.
A comunicação do vazamento não é gentileza da empresa, é dever legal que devolve ao titular o poder de se proteger.
Vale registrar que a responsabilidade recai sobre quem decide como e por que os dados são tratados, figura que a lei chama de controlador. Quando uma empresa contrata terceiros para processar informações, permanece responsável perante o titular, sem prejuízo de buscar depois o ressarcimento junto ao prestador que deu causa à falha.
O papel da Autoridade Nacional de Proteção de Dados
A Autoridade Nacional de Proteção de Dados é o órgão federal encarregado de fiscalizar o cumprimento da legislação e de zelar pela proteção dos dados pessoais no país. Ela recebe as comunicações de incidentes, avalia a gravidade da situação e pode determinar providências para resguardar os direitos dos titulares afetados, além de orientar as organizações sobre boas práticas de segurança.
Diante de um incidente relevante, a autoridade pode exigir que a empresa dê ampla divulgação do fato em meios de comunicação e adote medidas para reverter ou reduzir os efeitos do vazamento. O objetivo é evitar que a informação sobre o risco fique restrita, deixando pessoas expostas sem saber que precisam se proteger.
A autoridade também detém competência para aplicar sanções administrativas quando constata descumprimento da lei. As penalidades vão de advertência a multas de valor expressivo, calculadas sobre o faturamento da organização, passando pela publicização da infração e pela suspensão parcial do funcionamento do banco de dados. Essa atuação administrativa é independente da esfera judicial e da eventual reparação devida a cada titular.
A responsabilização civil e o direito à indenização
Além da fiscalização administrativa, o titular pode buscar reparação pelos danos que o vazamento lhe causou. Os artigos 42 a 45 da Lei Geral de Proteção de Dados tratam da responsabilidade de quem, no exercício do tratamento de dados, provoca prejuízo a outra pessoa. A regra impõe a obrigação de reparar o dano, seja ele patrimonial, moral, individual ou coletivo.
O dano patrimonial corresponde a prejuízos financeiros concretos, como valores subtraídos de contas ou despesas para conter uma fraude. Já o dano moral independe de perda econômica e se relaciona à angústia, à insegurança e à exposição indevida da intimidade que o vazamento provoca. Os tribunais têm reconhecido que a divulgação não autorizada de dados sensíveis, pela sua própria natureza, é capaz de gerar abalo indenizável.
Para pleitear a reparação, é importante reunir provas do incidente e do dano. A comunicação enviada pela empresa, capturas de tela, protocolos de atendimento, extratos que demonstrem movimentações indevidas e qualquer registro que ligue o prejuízo ao vazamento fortalecem o pedido. A depender do caso, a demonstração da falha no dever de segurança já basta para deslocar à empresa o ônus de provar que agiu corretamente.
O titular que se vê nessa situação pode combinar frentes de atuação. É possível registrar reclamação junto à autoridade competente, notificar a empresa exigindo esclarecimentos e correção, e, quando houver dano, ingressar com ação para obter a reparação. Cada caminho tem função própria e um não exclui o outro, de modo que a estratégia deve ser desenhada conforme a gravidade e as provas disponíveis.
Perguntas Frequentes
O que devo fazer ao descobrir que meus dados foram expostos?
O primeiro passo é conter o risco imediato: trocar senhas comprometidas, ativar verificação em duas etapas e monitorar contas bancárias e cadastros em seu nome. Em seguida, guarde todas as provas do ocorrido, incluindo mensagens da empresa, capturas de tela e protocolos. Esse material será essencial para eventual reclamação à autoridade competente ou para uma ação de reparação.
A empresa é obrigada a me avisar sobre o vazamento?
Sim, quando o incidente puder acarretar risco ou dano relevante ao titular. A Lei Geral de Proteção de Dados determina que o responsável comunique tanto a autoridade nacional quanto a pessoa atingida, informando a natureza dos dados, os riscos e as medidas adotadas. A omissão desse dever agrava a responsabilidade da organização e pode ser considerada na fixação de sanções e da reparação.
Tenho direito a indenização se meus dados vazaram?
É possível, desde que reste demonstrado que o vazamento decorreu de falha no dever de proteção e que dele resultou dano. A reparação pode abranger prejuízos financeiros concretos e também o abalo moral, especialmente quando os dados expostos são sensíveis. A análise depende das circunstâncias, do tipo de informação atingida e das provas reunidas, o que recomenda avaliação técnica de cada situação.
Base legal citada
Leia o texto integral e atualizado no CM Legis:
Receba novidades no WhatsApp e/ou e-mail
Cadastre-se gratuitamente para receber nossos novos artigos.
Seus dados estão protegidos conforme a LGPD.
Ficou com dúvidas? Fale com um advogado especialista.
📱 Falar pelo WhatsAppAs informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.






