RESUMO: O presente artigo abordará o dilema da aplicação da responsabilidade civil relacionado ao vazamento de dados pessoais e dados pessoais sensíveis a partir do tratamento previsto na Lei Geral de Proteção de Dados (LGPD), em decorrência de eventuais vazamentos de tais dados, buscando traçar uma relação entre a responsabilidade civil dos agentes que realizam tratamentos de dados, do próprio Estado, e os direitos fundamentais a liberdade e a privacidade dos usuários. Desse modo, empregou-se o método dedutivo para a solução do referido questionamento com base em análise de fontes bibliográficas, legislativas e jurisprudenciais. Como resultado foi constatado que o ordenamento jurídico brasileiro possui proteção para o vazamento de dados, com a tendência jurisprudencial de entender que o dano moral é presumível nos casos de vazamento de dados pessoais sensíveis e não presumível no caso de vazamento de dados pessoais.

PALAVRAS-CHAVE: Responsabilidade Civil do Estado. Vazamento de dados pessoais. Dados pessoais sensíveis. Lei Geral de Proteção de Dados.

 

INTRODUÇÃO

A responsabilidade civil é uma temática que teve uma grande evolução devido às mudanças ocorridas na sociedade, sendo definida como o dever jurídico de reparação aos danos sofridos que sobrevieram de um ato ilícito praticado por outrem, que pode ser, por exemplo, um empregado de uma empresa ou um agente público.

No contexto de vazamento de dados, com o avanço da tecnologia surge a necessidade de haver uma regulação no ordenamento jurídico para que o titular de dados pessoais e dados pessoais sejam protegidos. A Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018), estabeleceu fundamentos e princípios para a proteção de dados, resguardando o direito fundamental à liberdade e privacidade previstos na Constituição da República Federativa do Brasil de 1988.

Desse modo, houve a regulamentação sobre o tratamento de dados de pessoas naturais, tanto por meio físico, quanto por meio digital, reconhecendo a necessidade da tutela dos direitos fundamentais à liberdade e à privacidade. No presente cenário, o uso indevido de dados pessoais pode resultar em diversos danos, como a violação aos direitos constitucionalmente garantidos, desencadeando assim diversos abusos.

 

1 ASPECTOS RELEVANTES DA LEI GERAL DE PROTEÇÃO DE DADOS

 A Lei Geral de Proteção de Dados estabelece princípios e objetivos fundamentais à regulação do tratamento de dados, como os direitos fundamentais de liberdade e privacidade, bem como promove a proteção de dados de pessoa física ou jurídica dentro do território brasileiro. O art. 1º estabelece:

Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Ressalta-se que a proteção de dados pessoais é mencionada na Constituição da República Federativa do Brasil de 1988, em seu artigo 5º, LXXIX, sendo um direito imprescindível. Na ADI n. 6.387/DF, o Supremo Tribunal Federal reconheceu o direito fundamental à proteção de dados pessoais, o que resultou na promulgação da Emenda Constitucional n. 115/2022.

LXXIX – é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais. (Incluído pela Emenda Constitucional nº 115, de 2022)

Apesar de haver leis anteriores à LGPD que tratavam sobre o tema, como o Código de Defesa do Consumidor (Lei n. 8.708/1990) e o Marco Civil da Internet (Lei n. 12.965/2014), entre outras, com o advento da promulgação da Lei nº 13.709/2018 criou-se uma regulamentação específica no ordenamento jurídico brasileiro de uma legislação que objetiva proteger dados pessoais e dados pessoais sensíveis.

A definição de dado pessoal está disposta em seu artigo 5º, I, sendo a “informação relacionada a pessoa natural identificada ou identificável”. Já dados pessoais sensíveis, segundo Bioni (2018, p. 84), conceituam-se como “uma espécie de dados pessoais que compreendem uma tipologia diferente em razão de o seu conteúdo oferecer uma especial vulnerabilidade, discriminação”, como informações de caráter religioso, racial, político, conforme o artigo 5º:

II – Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Dada a sua vulnerabilidade, o legislador prevê uma tutela específica sobre o tratamento de dados pessoais e dados pessoais sensíveis, podendo ser realizada apenas em determinadas hipóteses. Para Doneda:

Ao vincular todo tratamento de dados ao mencionado princípio da finalidade que, por sua vez, somente é legítimo se conhecido do titular, além de restringir o tratamento para finalidades secundárias, a LGPD impõe aos dados pessoais algo que, mal comparando, poderia ser assemelhado a uma “afetação”, especificando que não existe um bem jurídico com ampla possibilidade de utilização e fruição como os dados pessoais, posto que o tratamento destes é impassível de ser autorizado de forma genérica, somente se justificando em vista de finalidades específicas, para cuja avaliação é preponderante considerar os interesses jurídicos da pessoa titular dos dados (2022, p. 139).

Ademais, o tratamento de dados exige o consentimento do titular, manifestado de forma livre, inequívoca e informada, autorizando o uso de seus dados para um propósito específico. Esse tratamento deve estar em conformidade com os requisitos estabelecidos na LGPD e sua finalidade deve ser claramente informada ao titular, conforme dispõe o artigo 44:

Art.  44. O tratamento de dados pessoais será irregular quando deixar de observar a legislação  ou  quando  não  fornecer  a  segurança  que  o  titular  dele  pode  esperar, consideradas  as  circunstâncias  relevantes,  entre  as  quais:  I- o  modo  pelo  qual  é realizado;  II – o  resultado  e  os  riscos  que  razoavelmente  dele  se  esperam;  III – as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.

Desse modo, seguindo o princípio da finalidade, para Teixeira:

Isso significa que nas empresas e entidades que  lidam  com  dados  pessoais  devem  coletar  apenas  as  informações necessárias para as finalidades previamente determinadas e informadas aos titulares dos dados, evitando a utilização excessiva ou inadequada das informações (2021, p. 750).

Outrossim, os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas para proteger os dados pessoais de acessos que não são autorizados ou qualquer forma de tratamento ilícito, a saber:

Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. § 1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei. § 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.

Diante do exposto, depreende-se que o tratamento de dados deve ser feito com finalidades legítimas e explícitas, seguindo princípios previstos na LGPD e, acima de tudo, exigindo o consentimento do titular dos dados, para que seja informado sobre como se dará o tratamento dos mesmos, podendo revogar seu consentimento a qualquer momento.

 

2 RESPONSABILIDADE CIVIL DO ESTADO NO CONTEXTO DE DANOS E VAZAMENTO DE DADOS

Apesar dos avanços proporcionados pela Lei Geral de Proteção de Dados no que se refere aos dados de caráter pessoal, a ocorrência de eventuais vazamentos de dados pessoais e dados pessoais sensíveis pode ensejar a responsabilidade civil de quem faz o tratamento, incluindo o próprio Estado.

Para Patrícia Peck (2021, p. 958) “a responsabilidade civil é um instituto em transformação no contexto da sociedade digital”, dessa maneira, o legislador dedicou a seção III do capítulo VI da LGPD para tratar sobre a responsabilidade civil dos agentes no âmbito dos danos causados pelo tratamento de dados pessoais.

Dessa maneira, surge na legislação a figura dos agentes de tratamento de dados. O controlador é aquele a quem compete as decisões referentes ao tratamento de dados pessoais e o operador é aquele que realiza o tratamento de dados pessoais em nome do controlador, conforme estabelece o art. 37:

VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

O controlador e o operador assumem obrigações por serem agentes de tratamento de dados pessoais, como manter registro das operações de tratamento de dados que realizarem e, portanto, têm o dever de garantir a segurança da informação em qualquer fase do tratamento de dados.

O artigo 42 aborda a respeito da obrigação do controlador, ou do operador, de indenizar o titular dos dados pessoais no caso de ocorrer o tratamento irregular bem como, acerca da responsabilidade solidária entre eles:

Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. § 1º A fim de assegurar a efetiva indenização ao titular dos dados: I – o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei; II – os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta Lei.

Ademais, os agentes de tratamento só deixarão de ser responsabilizados civilmente, de acordo com o artigo 43 da LGPD, se comprovarem que não realizaram o tratamento de dados, que o dano foi causado exclusivamente pelo titular ou por terceiros, ou que não houve violação da Lei Geral de Proteção de Dados.

Art. 43. Os agentes de tratamento só não serão responsabilizados quando provarem: I – que não realizaram o tratamento de dados pessoais que lhes é atribuído; II – que, embora  tenham  realizado  o  tratamento  de  dados  pessoais  que  lhes  é  atribuído,  não houve violação à legislação de proteção de dados; ou III – que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.

É importante ressaltar que, havendo relação de consumo incidirá o Código de Defesa do Consumidor em complementação à LGPD, como previsto no artigo 45: “as hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente”.

Acerca das teorias da responsabilidade dos agentes de tratamento de dados, para Gisela Sampaio e Rose Meireles (2019), a responsabilidade civil da LGPD é adepta a teoria subjetiva, onde é necessária a comprovação culposa ou dolosa do agente de tratamento em caso de dano ao titular dos dados. O fundamento é de que o agente deve ser responsabilizado quando não adotar as medidas adequadas de segurança e quando não cumprir as obrigações impostas pela lei. Porém, no que diz respeito a responsabilidade da pessoa jurídica, a mesma se configura como objetiva.

Já Danilo Doneda considera que a atividade de dados envolve um risco intrínseco devido à potencialidade em caso de violação dos direitos, associando-se assim, a responsabilidade civil à teoria objetiva baseada no risco. Assevera Doneda:

A mera atuação do indivíduo para a proteção de seus interesses o controle individual, como ocorre em algumas das concepções de proteção de dados pessoais que nós verificamos não é capaz de projetar uma situação na qual o direito fundamental em questão receba a tutela adequada e acaba por espelhar uma determinada concepção ideológica dos interesses em questão que, amenizada por uma aparente concessão de poder ao indivíduo, não acarreta na tutela efetiva de seus interesses (2022, p. 399).

Acerca desse embate doutrinário entre a responsabilidade objetiva ou subjetiva dos agentes de tratamento, Tasso assevera que:

Deve-se o fato à aparente imprecisão normativa quanto ao sistema de responsabilidade civil adotado pela lei protetiva. O embate doutrinário é travado entre posições que afirmam ter a lei estabelecido um sistema baseado na responsabilidade objetiva ou subjetiva, sendo respeitáveis os posicionamentos em ambos os sentidos (2020, p. 104).

Desse modo, em relação à responsabilidade civil dos agentes de tratamento não há uniformidade na doutrina atualmente sobre qual a espécie de responsabilidade civil aplicada, havendo tendência a aplicação da responsabilidade subjetiva quando se tratar de pessoa natural. Porém, em relação a pessoa jurídica a responsabilidade será objetiva em decorrência da teoria do risco (Art. 927, parágrafo único, CC), podendo a mesma ajuizar ação de regresso em relação aos seus funcionários, com a comprovação de dolo ou culpa.

Outrossim, acerca da responsabilidade civil do Estado, os órgãos públicos integrantes da administração direta e indireta dos Poderes Executivo, Legislativo, Cortes de Contas, Judiciário, Ministério Público, autarquias, fundações públicas e demais entidades controladas direta ou indiretamente pela União, Estados-Membros, Distrito Federal e Municípios estão sujeitos aos ditames previstos na LGPD, bem como a responsabilidade objetiva nas hipóteses do art.37, §6º, da Constituição Federal.

Desse modo, o tratamento de dados pessoais e dados pessoais sensíveis por essas pessoas jurídicas de direito público devem atender à finalidade pública tendo como objetivo principal o interesse público. Em casos em que seja necessário a apuração da responsabilidade civil do Estado envolvendo o vazamento de dados pessoais e dados pessoais sensíveis, evidencia-se que é adotado pelo ordenamento jurídico brasileiro a tese da teoria do risco administrativo (responsabilidade objetiva, que independe de culpa).

Depreende-se, que a lei define as situações que excluem essa responsabilidade, afirmando que esses agentes têm responsabilidade objetiva pelos danos causados, pois a LGPD não exige a comprovação de culpa ou dolo para estabelecer a obrigação de reparação. O mesmo se dá nas hipóteses do art. 37, §6º, da Constituição Federal. A responsabilidade subjetiva apenas vige para o agente público (pessoa natural), restando as pessoas jurídicas o direito de regresso mediante comprovação de dolo ou culpa.

A decisão da AREsp 2.130.619 assinala que a responsabilidade civil baseada na teoria do risco administrativo, possui um rol taxativo dos dados pessoais sensíveis, em que não é necessário a comprovação da culpa, caso ocorra o vazamento, então haverá a obrigação de reparar, com dano moral presumível.

O vazamento de dados pessoais e dados pessoais sensíveis resulta em diversos prejuízos às pessoas afetadas, atualmente, há recorrentes potenciais violações do direito à privacidade e a liberdade dos titulares dos dados, especialmente em decorrência das notícias envolvendo o vazamento de dados pessoais e dados pessoais sensíveis.

Conforme aponta Danilo Doneda (2022, p. 67-68), a proteção da  privacidade  é  um  dos  temas  mais  sensíveis  no  âmbito  dos  direitos  da personalidade devido ao aumento significativo do potencial de violações à personalidade decorrente do avanço tecnológico e à dificuldade dos mecanismos tradicionais de tutela do ordenamento jurídico em garantir efetivamente essa proteção.

Conforme leciona Souza e Padrão:

Antes mesmo da aprovação da LGPD, não raro se verificou a ocorrência de uma série de incidentes de segurança, que resultaram no comprometimento de milhares de informações de cunho pessoal, proporcionando prejuízos tanto patrimoniais quanto extrapatrimoniais para seus titulares. Ainda que naturalmente negativos, tais eventos auxiliaram na construção de uma cultura de proteção de dados no Brasil, haja vista que explicitam que empresas, governos e entidades da sociedade civil ainda têm muito o que fazer em termos de segurança e sigilo de dados e, por outro lado, possibilitam uma intensa divulgação do tema por meio das mídias tradicionais (2019).

A justiça federal determinou, no segundo semestre de 2022, a indenização no valor de R$ 15 mil reais a cerca de 4 milhões de pessoas, por serem vítimas de um vazamento de dados (no contexto do Auxílio Brasil), no qual bancos de dados mantidos pela Caixa, União e Dataprev expôs ilegalmente dados pessoais das vítimas, por ser evidente que as mesmas se tornaram vulneráveis para correspondentes bancários que utilizaram ilegalmente as informações pessoais, com o intuito de oferecimento de empréstimos e produtos financeiros, bem como a atividades fraudulentas (MPF, 2023).

Em fevereiro de 2025 o STJ julgou o RE 2.121.904, no qual reconheceu o dano presumível no vazamento de dados pessoais sensíveis no contexto de contrato de seguro de vida, com responsabilização objetiva da seguradora.

Por outro lado, foi decidido pela 2ª Turma do Superior Tribunal de Justiça, em 07 de março de 2023, que o vazamento de dados pessoais não gera dano moral presumido (in re ipsa), sendo a decisão proferida nos autos do Agravo de Recurso Especial nº 2.130.619/SP. O presente caso, se tratava de ação indenizatória por danos morais ajuizada em face de uma concessionária de energia elétrica de São Paulo (SP), no qual a consumidora alega o vazamento e compartilhamento de seus dados pessoais pela empresa.

Em sede de primeiro grau, os pedidos formulados pela autora foram julgados improcedentes, o juiz destacou que os dados vazados não estariam acobertados por sigilo e não era devido o dano moral pelo “simples fato” de ter ocorrido o vazamento de dados pessoais. Entretanto, a sentença foi reformulada pelo Tribunal de Justiça de São Paulo, que acolheu os argumentos da autora e condenou a concessionária ao pagamento de R$ 5 mil reais a título de indenização, frisando que por se tratar de dados pessoais sensíveis deveriam ter sua privacidade garantida.

Na decisão de relatoria do Ministro Francisco Galvão, relator do recurso da empresa de energia elétrica, foi ressaltado que, desacompanhado da efetiva comprovação de dano, o vazamento de dados pessoais não enseja a possibilidade de indenização e por si só não tem condão de gerar dano moral indenizável, de maneira que, “diferente seria, se, de fato, estivéssemos diante do vazamento de dados pessoais sensíveis,  que  dizem  a  respeito  à  intimidade da  pessoa natural”.

A decisão também considerou a taxatividade do artigo 5º, II, da LGPD, do que são considerados dados pessoais sensíveis apenas aqueles elencados de maneira exaustiva na lei e exigem tratamento diferenciado. Portanto, conforme o voto do relator, o dano moral não deve ser presumido no caso de vazamento de dados pessoais, havendo a necessidade do titular dos dados demonstrar o efetivo dano com o vazamento.

Assim, no momento a tendência na jurisprudência é encarar o vazamento de dados pessoais sensíveis como presumível de dano moral, enquanto que no vazamento de dados pessoais o dano deve ser comprovado.

Por fim, em casos envolvendo o eventual uso inadequado dos dados pessoais e dados pessoais sensíveis que resultem em riscos ou danos aos titulares, a LGPD prevê a figura da Agência Nacional de Proteção de Dados (ANPD), que é responsável pela fiscalização de incidentes de segurança, atuando com o intuito de resguardar os direitos dos titulares e determinar a adoção de providências como a ampla divulgação do fato em meios de comunicação e medidas para mitigar ou reverter os efeitos do incidente.

 

CONCLUSÃO

 A Lei Geral de Proteção de Dados lida com as consequências do vazamento de dados na sociedade e busca proteger os direitos fundamentais de liberdade e privacidade, responsabilizando os agentes de tratamento (controladores e operadores) frente a incidentes de vazamento de dados pessoais e dados pessoais sensíveis.

A respeito da responsabilidade civil dos agentes de tratamento como pessoas naturais não há uniformidade na doutrina, já em relação à responsabilidade civil de pessoas jurídicas e do Estado em decorrência do vazamento de dados pessoais e dados pessoais sensíveis, a teoria aplicada é a objetiva, baseada na teoria do risco administrativo, onde não é necessário a comprovação de culpa para a indenização no vazamento de dados pessoais sensíveis.

Por fim, há uma tendência na jurisprudência em considerar o vazamento de dados pessoais sensíveis presumível de dano moral, havendo de comprovar o dano no vazamento de dados pessoais (não sendo presumível nesta hipótese o dano moral).

 

Referências

____________________

BRASIL. Lei  n°  13.709,  de  14  de  agosto  de  2018.  Lei  Geral  de Proteção de Dados Pessoais. Brasília, DF: Presidência da República  2018.  Disponível  em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm>. Acesso em: 20 jul. 2024.

BRASIL. Superior Tribunal de Justiça. Agravo em Recurso Especial nº 2.130.619/SP. Agravante: Eletropaulo Metropolitana Eletricidade de São Paulo S.A. Agravada: Maria Edite de Souza. Relator: Ministro Francisco Falcão, 07 mar. 2023.

DI PIETRO, M. S. Z. Direito Administrativo. 36 ed. Rio de Janeiro: Forense, 2023.

DONEDA, D.; SARLET, I. W.; MENDES, L. S. Estudos sobre Proteção de Dados Pessoais. São Paulo: Saraiva, 2022. E-book.

DONEDA, D. Os direitos da personalidade no Código Civil [arts. 11-21]. TEPEDINO, Gustavo (coord.).O Código Civil em perspectiva civil-constitucional. Rio de Janeiro: Renovar, 2022.

FILHO, S. Cavalieri. Programa de Responsabilidade Civil. 16ª ed. Grupo Gen, 2023.

GONÇALVES, C. R. Responsabilidade Civil. 23. ed. São Paulo: Saraiva, 2024. E-book.

GUEDES, GISELA SAMPAIO DA CRUZ; MEIRELES, ROSE MELO VENCELAU. Término do tratamento de dados. In: TEPEDINO, G.; FRAZÃO, A.; OLIVA, M. D. Lei Geral de Proteção de Dados Pessoais. 1. ed. São Paulo: Editora RT.

LENZA, P.; SPITZCOVSKY, C. Direito Administrativo Esquematizado. 7. ed. São Paulo: Saraiva, 2024. E-book.

MINISTÉRIO PÚBLICO FEDERAL. Justiça determina indenização de R$ 15 mil a cidadãos que tiveram dados pessoais vazados em 2022: Ação judicial com parecer favorável do MPF questionou violação de bancos de dados da Caixa e de órgãos públicos. Brasília, 2023. Disponível em: https://www.mpf.mp.br/sp/sala-de-imprensa/noticias-sp/justica-determina-indenizacao-de-r-15-mil-a-cidadaos-que-tiveram-dados-pessoais-vazados-em-2022. Acesso em: 01 out. 2024.

OLIVEIRA, Carlos E. Elias de; COSTA-NETO, João. Direito civil: volume único. 2. ed. dig. Rio de Janeiro: Método, 2023.

PINHEIRO, P. P. Direito digital. 7. ed. São Paulo: Saraiva, 2021. E-book.

TEIXEIRA,  Tarcísio.  A  LGPD  e  o  e-commerce.  2.  ed.  São  Paulo:  Saraiva,  2021.

 

Qualificação

____________________

Isabella Leon Ferreira

Graduada em Direito pela Universidade Federal de Mato Grosso do Sul (UFMS).

Bruno Marini

Doutorando em Saúde (UFMS) e professor de Direito Público, Direito Digital, Bioética e Biodireito (UFMS).