Com o avanço da digitalização, o vazamento de dados pessoais tornou-se uma das maiores preocupações jurídicas do Brasil. A Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018) trouxe um marco regulatório robusto, e a jurisprudência do STJ tem evoluído significativamente para proteger os titulares de dados.

O Que é a LGPD e Como Ela Protege Você

A LGPD estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais. Seus principais princípios incluem:

• Finalidade: os dados só podem ser coletados para propósitos legítimos e específicos
• Necessidade: apenas os dados estritamente necessários devem ser tratados
• Transparência: o titular deve ser informado sobre o uso de seus dados
• Segurança: a empresa deve adotar medidas técnicas e administrativas para proteger os dados

Jurisprudência do STJ: Dados Comuns vs. Dados Sensíveis

Em fevereiro de 2025, a 3ª Turma do STJ, no julgamento do REsp 2.121.904/SP, consolidou uma distinção fundamental:

• Dados pessoais comuns (nome, CPF, endereço): o titular precisa comprovar o dano efetivo para obter indenização. O mero vazamento, por si só, não gera automaticamente direito à reparação
• Dados pessoais sensíveis (saúde, religião, orientação sexual, dados biométricos): o dano moral é presumido — não é necessário comprovar prejuízo concreto. O simples vazamento já configura o dano

Responsabilidade Objetiva das Empresas

O STJ firmou que a responsabilidade dos agentes de tratamento de dados é, como regra, objetiva: não importa se houve culpa da empresa. Basta a comprovação do vazamento e do dano resultante para ensejar o dever de indenizar (arts. 42 e 44 da LGPD).

As exceções são limitadas: a empresa só se exime quando comprova que o dano decorreu de culpa exclusiva do titular ou de terceiro, sem relação com a atividade de tratamento.

Valores das Indenizações

Os valores variam conforme a gravidade do caso:

• Dados comuns: valores geralmente entre R$ 1.000 e R$ 10.000, quando comprovado o dano
• Dados sensíveis: indenizações mais elevadas, podendo alcançar dezenas de milhares de reais, especialmente em vazamentos de larga escala
• Multas administrativas da ANPD: até 2% do faturamento, limitadas a R$ 50 milhões por infração

Como Agir em Caso de Vazamento

1. Documente tudo: notificações recebidas, e-mails, capturas de tela
2. Registre reclamação na ANPD (gov.br/anpd)
3. Notifique a empresa responsável pelo tratamento dos dados
4. Registre Boletim de Ocorrência se houver uso indevido dos dados
5. Procure orientação jurídica para avaliar o direito à indenização

Tendências para 2025

A tendência jurisprudencial é de maior rigor contra empresas, especialmente para compartilhamento indevido de dados sem consentimento. O STJ sinalizou que o dano moral presumido pode se expandir para outros tipos de dados em contextos específicos, reforçando a importância da conformidade com a LGPD.

Referências e Fontes

• Lei 13.709/2018 — LGPD (texto integral)
• STJ — Titular de dados vazados deve comprovar dano efetivo
• JOTA — Vazamento de dados pessoais, LGPD e a visão do STJ
• ConJur — STJ adota posição mais rigorosa sobre compartilhamento de dados (2025)
• Migalhas — Vazamento de dados e dano moral na jurisprudência do STJ