Vazamento de Dados Pessoais: Direitos da Vítima segundo a LGPD
Vítimas de vazamento de dados pessoais contam com um conjunto de direitos previstos na Lei Geral de Proteção de Dados, que vão da informação imediata sobre o incidente até a possibilidade de reparação pelos prejuízos causados pela exposição indevida.
O que caracteriza um vazamento de dados pessoais
O vazamento de dados ocorre quando informações pessoais sob a guarda de uma empresa ou instituição são acessadas, divulgadas, alteradas ou perdidas sem autorização. A Lei nº 13.709/2018, conhecida como Lei Geral de Proteção de Dados (LGPD), classifica esse episódio como incidente de segurança e impõe obrigações específicas a quem trata os dados.
Os dados expostos podem incluir nome, número de documento, endereço, telefone, dados bancários e até informações sensíveis, como condição de saúde, biometria e convicções religiosas. Quanto mais sensível a informação, maior o potencial de dano à pessoa atingida e mais rigorosa a responsabilidade de quem deveria protegê-la.
A legislação parte de uma premissa clara: a empresa que coleta dados assume o dever de guardá-los com segurança. Falhar nessa proteção, seja por ataque externo, descuido interno ou ausência de medidas técnicas adequadas, pode gerar consequências administrativas e civis.
Os direitos garantidos pela LGPD à vítima
O titular dos dados, ou seja, a pessoa a quem as informações se referem, possui um catálogo de direitos descrito no artigo 18 da LGPD. Entre eles estão o direito de confirmar a existência do tratamento, de acessar os dados, de corrigir informações incompletas ou desatualizadas e de solicitar a eliminação daquilo que foi tratado de forma irregular.
A empresa que coleta dados assume o dever jurídico de protegê-los, e a falha nessa guarda pode gerar responsabilização civil e administrativa.
Há também o direito à informação sobre com quem a empresa compartilhou os dados e sobre as consequências de eventual recusa em fornecê-los. Quando ocorre um incidente, esse conjunto de prerrogativas ganha relevância prática, porque permite à vítima entender a extensão da exposição e cobrar providências.
Outro ponto central é o dever de comunicação. O artigo 48 da LGPD determina que o controlador informe à Autoridade Nacional de Proteção de Dados e ao titular a ocorrência de incidente que possa acarretar risco ou dano relevante. Essa comunicação deve indicar a natureza dos dados atingidos, os riscos envolvidos e as medidas adotadas para reduzir os efeitos.
Como agir após descobrir a exposição
O primeiro passo da vítima é reunir provas do vazamento. Capturas de tela de notificações, mensagens suspeitas, registros de acesso indevido a contas e comunicados da própria empresa servem como base para qualquer pedido futuro. A documentação ajuda a demonstrar tanto o incidente quanto eventuais prejuízos concretos.
Em seguida, é recomendável exercer formalmente os direitos previstos na lei, solicitando à empresa esclarecimentos sobre o ocorrido e a confirmação dos dados atingidos. O titular pode registrar reclamação diretamente na Autoridade Nacional de Proteção de Dados, que tem competência para fiscalizar e aplicar sanções.
Quando o vazamento gera danos efetivos, como uso indevido do nome em fraudes, abertura de contas falsas ou cobranças indevidas, abre-se a possibilidade de buscar reparação. Os artigos 42 a 45 da LGPD tratam da responsabilidade civil de quem causou o dano, prevendo o dever de indenizar quando comprovado o prejuízo decorrente do tratamento irregular.
Responsabilidade das empresas e o papel da ANPD
A responsabilidade pelo vazamento recai sobre o controlador, aquele que decide como e por que os dados são tratados, e também sobre o operador que atua em seu nome. A lei adota um regime que valoriza a demonstração de boas práticas: empresas que comprovam ter adotado medidas de segurança adequadas tendem a reduzir a extensão de sua responsabilização.
A Autoridade Nacional de Proteção de Dados ocupa posição estratégica nesse cenário. Cabe a ela orientar, fiscalizar e, quando necessário, aplicar sanções que variam de advertência a multas elevadas, calculadas sobre o faturamento da empresa infratora, conforme previsto no artigo 52 da legislação.
Para o cidadão, conhecer esses mecanismos significa transformar uma situação de vulnerabilidade em exercício efetivo de direitos. A LGPD oferece instrumentos concretos para que a vítima de vazamento não permaneça passiva diante da exposição de suas informações.
Perguntas Frequentes
Quem deve comunicar o vazamento de dados à vítima?
A obrigação recai sobre o controlador, que é a empresa ou instituição responsável por decidir como os dados serão tratados. O artigo 48 da LGPD determina que o titular e a Autoridade Nacional de Proteção de Dados sejam comunicados quando o incidente puder gerar risco ou dano relevante, com indicação da natureza dos dados atingidos e das medidas tomadas.
É possível pedir indenização por vazamento de dados pessoais?
Sim, desde que fique demonstrado o prejuízo decorrente do tratamento irregular. Os artigos 42 a 45 da LGPD preveem a responsabilidade civil de quem causou o dano, com o consequente dever de reparação. A vítima precisa reunir provas do incidente e dos efeitos concretos sofridos, como fraudes ou uso indevido de suas informações.
Qual o papel da ANPD diante de um vazamento?
A Autoridade Nacional de Proteção de Dados fiscaliza o cumprimento da legislação, recebe reclamações dos titulares e pode aplicar sanções às empresas infratoras. As penalidades vão de advertência a multas calculadas sobre o faturamento, nos termos do artigo 52. O órgão também orienta sobre boas práticas e medidas de segurança esperadas de quem trata dados.
Receba novidades no WhatsApp e/ou e-mail
Cadastre-se gratuitamente para receber nossos novos artigos.
Seus dados estão protegidos conforme a LGPD.
Ficou com dúvidas? Fale com um advogado especialista.
📱 Falar pelo WhatsAppAs informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.
