O vazamento de dados pessoais e a configuração de dano moral

29/10/2025 mindsecblog Notícias 0

O vazamento de dados pessoais e a configuração de dano moral presumido na jurisprudência do Superior Tribunal de Justiça

O crescimento da virtualização das atividades cotidianas por meio da implementação de ferramentas da tecnologia da informação tem levado os profissionais do Direito a concentrarem sua atenção em fatos sociais que, em um passado recente, não demandavam a tutela da ordem jurídica normativa.

É neste cenário que a proteção dos dados pessoais surgiu como direito subjetivo dos cidadãos brasileiros, considerando a sua mercantilização diária realizada por big-techs, empresas como o facebook, instagram e telegram, e a ampliação do debate sobre a necessidade de compatibilização de direitos como a liberdade de informação e o respeito à privacidade.

A Lei Geral de Proteção de Dados, Lei n. 13.709/2018, foi promulgada objetivando a tutela de direitos fundamentais como a liberdade de expressão e de privacidade, ressaltando a livre formação da personalidade de cada indivíduo por meio da regulamentação do uso e da transferência dos dados pessoais.

Este marco legal trouxe maior segurança jurídica sobre o tema, vedando o tratamento de dados pessoais sem o fornecimento de consentimento expresso pelo titular, nos termos do art. 7º, I, da LGPD. A legislação ainda proibiu a possibilidade de utilização de autorizações genéricas para o tratamento de dados, conforme o §4º, do seu art. 8º, impondo o ônus da prova de que o consentimento do titular foi obtido de acordo com a lei ao controlador de dados pessoais.

Dessa forma, a tutela do direito à privacidade possui especial destaque na sociedade contemporânea em razão da rápida difusão de informações e utilização do meio virtual para a disseminação de discursos de ódio.

Em recente episódio, partindo em sentido contrário ao sistema legal de proteção da privacidade de seus cidadãos, a Prefeitura de Feira de Santana, segundo maior munícipio do Estado da Bahia, possibilitou o vazamento de dados de pessoas que convivem com doenças graves, como HIV, fibromialgia e anemia falciforme. A Secretaria Municipal de Mobilidade Urbana – SEMOB assumiu publicamente o erro que ocorreu durante o anúncio de suspensão do benefício de passe livre no transporte coletivo urbano.

A notícia veiculada em todo o país ganhou notoriedade na mídia ao expor a fraqueza e ausência de precaução na tutela de dados pessoais sensíveis, gerando exposição indevida especialmente a pessoas soropositivas que enfrentam a marginalização e estigmatização social decorrentes do seu diagnóstico de convivência com o vírus.

Houve efetiva demonstração de ilegalidade no tratamento dos dados pessoais na esfera municipal, contrariando expressamente disposições da Lei Geral de Proteção de Dados e da Lei nº 14.289/2022, que tornou obrigatória a preservação do sigilo sobre a condição de pessoas que vivem com certas infecções virais historicamente vítimas do preconceito e desinformação.

O vazamento de dados provocado pela Administração de Feira de Santana é uma hipótese de violação em que a gravidade do dano é inquestionável. Contudo, é necessário observar que a LGPD prevê um modelo de conduta que perpassa por toda a administração dos dados pessoais, impondo procedimentos administrativos rigorosos em todo o período de tutela de dados, não limitando a responsabilização do controlador de dados à comprovação de dado ao titular.

O Superior Tribunal de Justiça, ao se pronunciar sobre a responsabilização civil do vazamento de dados, adotava entendimento em que a gravidade do dano e a natureza dos dados eram parâmetros para a fixação de eventuais indenizações morais por violação a direitos da personalidade.

Durante o julgamento do AREsp 2.130.619 realizado por sua Segunda Turma em 2023, o STJ destacou que o titular de dados vazados deveria comprovar dano efetivo quando requer indenização. Destacou o Ministro Relator Francisco Falcão que a legislação previu um rol taxativo dos dados pessoais sensíveis que exigiriam tratamento diferenciado. Não sendo presumida a sua configuração, a ocorrência de falha indesejável no tratamento de informações pessoais não teria a capacidade de gerar dano moral indenizável, se analisada isoladamente.

Em fevereiro de 2025, a Terceira Turma do STJ entendeu que o vazamento de dados sensíveis do segurado em contrato de seguro de vida ensejaria a configuração de dano moral presumido no julgamento do REsp 2.121.904. Esta decisão referendou a aplicação do conceito de dados sensíveis para fins de indenização destacando, contudo, a hipótese de dano moral presumido.

A Terceira Turma novamente, em agosto de 2025, avançou em sua interpretação de dispositivos da LGPD possibilitando a configuração de dano moral presumido quando o gestor do banco de dados disponibiliza, sem autorização específica, informações cadastrais ou de adimplemento do consumidor. Segundo a Ministra Relatora do REsp 2.201.694, a disponibilização indevida de dados pessoais pelos bancos de dados para terceiros caracteriza dano moral presumido ao cadastrado titular dos dados, diante, sobretudo, da forte sensação de insegurança provocada.

Os recentes julgamentos demonstram a evolução do entendimento sobre a responsabilização do administrador de dados pessoais, ampliando a efetividade da LGPD no que se refere ao vazamento de dados sem o consentimento do titular, vedado pelo art. 7º, I, da referida lei.

A interpretação jurisprudencial se alinha à necessidade de proteção de direitos subjetivos previstos no ordenamento em um contexto marcado pela mercantilização de dados pessoais em âmbito global e pela difusão direcionada à propagação de discursos de ódio. Dados pessoais, não somente aqueles considerados sensíveis pela legislação, merecem proteção capaz de coibir o indevido compartilhamento para fins não autorizados pelo respectivo titular conforme a Lei n. 13.709/2018.

Por: Grauther Nascimento, advogado do escritório Mauro Menezes & Advogados

Veja também: