Responsabilidade civil por vazamento de dados: como calcular o dano moral coletivo e individual

A quantificação do dano moral em vazamentos de dados tornou-se um dos pontos mais controvertidos da aplicação da Lei Geral de Proteção de Dados, com tribunais oscilando entre o reconhecimento do dano presumido e a exigência de prova de prejuízo concreto pela vítima.

Dano presumido ou dano que exige prova concreta

A primeira fratura na jurisprudência sobre incidentes de segurança está na própria existência do dano. De um lado, defende-se que a simples exposição indevida de dados pessoais configura lesão à personalidade, gerando indenização independentemente de comprovação de prejuízo. É a tese do dano presumido, também chamado de dano in re ipsa, que decorreria do próprio fato da violação.

De outro lado, consolidou-se entendimento mais restritivo nos tribunais superiores. Para essa corrente, o vazamento de dados cadastrais comuns, como nome, telefone ou endereço, não acarreta automaticamente dano moral indenizável. A vítima precisa demonstrar consequências concretas, como fraudes, abertura de contas falsas, golpes financeiros ou abalo psicológico efetivo.

A distinção é decisiva para o resultado da ação. Quando o magistrado adota a tese do dano presumido, basta provar o vazamento e a titularidade dos dados. Quando exige prova do prejuízo, o ônus probatório recai sobre quem foi exposto, e a ausência de demonstração de uso indevido frequentemente leva à improcedência do pedido reparatório individual.

Há um meio-termo que ganha espaço nos julgados mais recentes. Por essa leitura, a presunção de dano varia conforme a categoria da informação vazada. Dados cadastrais comuns exigiriam prova de prejuízo, enquanto dados sensíveis, pela maior aptidão para causar discriminação e abalo, autorizariam o reconhecimento da lesão com base no próprio fato da exposição, sem necessidade de demonstração adicional pelo titular.

O papel da ANPD e a diferença entre sanção e indenização

Há confusão recorrente entre duas esferas que não se comunicam diretamente. A Autoridade Nacional de Proteção de Dados atua no campo administrativo, fiscalizando o tratamento de dados e aplicando penalidades aos agentes que descumprem a legislação. A reparação civil, por sua vez, é decidida pelo Judiciário, em ação movida pelo titular lesado ou por legitimados coletivos.

No plano administrativo, a Lei 13.709 de 2018 prevê sanções que vão da advertência à multa de até dois por cento do faturamento da empresa, limitada a cinquenta milhões de reais por infração. Pode haver também publicização da penalidade, bloqueio e eliminação dos dados envolvidos. Essas medidas punem e desestimulam a conduta, mas não revertem valores diretamente à vítima.

A indenização por dano moral é outra coisa. Ela compensa o titular pela lesão sofrida e segue a lógica da responsabilidade civil. A atuação da autoridade administrativa pode, contudo, servir de elemento probatório relevante no processo judicial, ao reconhecer a falha de segurança e a responsabilidade do controlador pelo incidente.

Essa separação explica por que uma mesma empresa pode ser multada pela autoridade e, simultaneamente, responder a milhares de ações individuais ou a uma ação coletiva. As esferas administrativa, cível e até criminal podem incidir sobre o mesmo fato sem que uma exclua a outra.

A responsabilidade civil do controlador, vale lembrar, independe de culpa em boa parte das hipóteses. A lei impõe a quem trata dados o dever de adotar medidas de segurança adequadas, e a ocorrência do incidente já sugere falha desse dever. Cabe ao agente comprovar que não houve violação à legislação ou que o dano decorreu de fato exclusivo de terceiro ou da própria vítima.

Pode haver também publicização da penalidade, bloqueio e eliminação dos dados envolvidos.

Como o Judiciário fixa os valores

Fixado o dever de indenizar, surge o desafio de mensurar o valor. O arbitramento do dano moral não segue tabela legal e apoia-se em parâmetros consagrados pela doutrina e pela jurisprudência: a extensão do dano, a capacidade econômica do ofensor, a natureza dos dados expostos e o caráter pedagógico da condenação.

Nos casos individuais envolvendo dados cadastrais, quando reconhecido o dano, os valores tendem a ser contidos, situando-se na faixa de poucos milhares de reais. A lógica é evitar o enriquecimento sem causa do titular e a chamada indústria do dano moral, preocupação expressa com frequência nos julgados que tratam de exposição de informações de baixa sensibilidade.

O cenário muda nas ações coletivas. Quando o incidente atinge milhares ou milhões de titulares, o foco se desloca para o dano moral coletivo, voltado à reparação de uma lesão difusa à coletividade de pessoas afetadas. A metodologia considera o porte do agente, a gravidade da falha de segurança e o número de pessoas expostas.

Nesses processos, propostos por meio de ação civil pública pelo Ministério Público, pela Defensoria ou por associações, a condenação costuma destinar a verba a fundos de reparação de direitos difusos, e não ao bolso de cada titular. O modelo aproxima-se da reparação fluida prevista para a defesa coletiva do consumidor, com função preventiva e dissuasória.

A metodologia coletiva também valora a reincidência e a postura do agente. Empresas que já haviam sofrido incidentes anteriores, ou que negligenciaram alertas internos de vulnerabilidade, tendem a enfrentar arbitramento mais severo. O objetivo declarado é tornar a sanção economicamente sensível, de modo que investir em segurança da informação se mostre menos custoso do que arcar com a reparação coletiva.

Critérios de agravamento da indenização

Alguns elementos elevam de forma significativa o valor arbitrado. O primeiro é a natureza dos dados. O vazamento de dados sensíveis, categoria que abrange origem racial, convicção religiosa, opinião política, dados de saúde, vida sexual e informações biométricas, recebe tratamento mais rigoroso. A exposição dessas informações tem maior potencial de discriminação e de dano à dignidade.

O segundo fator é a vulnerabilidade do titular. Dados de crianças e adolescentes contam com proteção reforçada, orientada pelo princípio do melhor interesse do menor. A exposição de informações desse grupo costuma agravar a responsabilidade do agente de tratamento, pela maior gravidade atribuída à falha e pela impossibilidade de o próprio titular zelar por sua proteção.

O terceiro elemento é a finalidade do uso indevido. Quando os dados vazados alimentam fraudes, estelionatos, sequestros de identidade ou golpes financeiros, a indenização tende a subir, porque o prejuízo deixa de ser hipotético e se materializa em dano patrimonial e psicológico concreto. A comprovação do uso criminoso fortalece o pedido reparatório e afasta a tese de mero aborrecimento.

Pesa ainda a conduta do controlador após o incidente. A ausência de notificação tempestiva à autoridade e aos titulares, a tentativa de ocultar a falha e a inexistência de medidas de segurança razoáveis funcionam como agravantes. A transparência e a adoção de providências de contenção, ao contrário, podem ser consideradas em favor do agente no momento do arbitramento.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.