Com o avanço da tecnologia e o aumento das interações digitais, o tratamento de dados pessoais tornou-se parte essencial da vida moderna. No entanto, falhas na segurança de sistemas informatizados e vazamentos de informações têm gerado preocupações quanto à responsabilidade civil das empresas que armazenam dados de consumidores.
Em recente decisão, o Superior Tribunal de Justiça (STJ) firmou entendimento no sentido de que o mero vazamento de dados pessoais não gera, por si só, dano moral presumido, sendo necessária a comprovação efetiva do prejuízo sofrido pelo titular dos dados.
A tese foi fixada no julgamento relatado pelo Ministro Francisco Falcão, em 7 de março de 2023 (Informativo 766 do STJ).
1. O caso concreto: invasão hacker e dados pessoais comuns
No caso analisado, um hacker invadiu o sistema informatizado de uma concessionária de energia elétrica e copiou dados pessoais de diversos consumidores.
Entre as vítimas estava Regina, que teve expostos dados como nome completo, endereço, RG, data de nascimento e número de telefone, posteriormente vendidos a uma empresa de marketing.
Inconformada, Regina ajuizou ação de indenização por danos morais, alegando que o vazamento de seus dados pessoais configuraria dano moral in re ipsa — isto é, presumido, dispensando prova do prejuízo.
O STJ, entretanto, afastou essa tese.
2. Dados pessoais comuns x dados pessoais sensíveis
A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) distingue os dados pessoais comuns dos dados pessoais sensíveis.
O art. 5º, II, da LGPD define como dados sensíveis aqueles que revelam:
“Origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.”
Essas informações exigem tratamento especial e reforço nas medidas de segurança, em razão de seu potencial de causar discriminação ou violar a intimidade do titular.
No caso julgado, o STJ destacou que os dados vazados eram dados pessoais comuns, semelhantes aos que se fornecem em cadastros de rotina, como em sites de compras ou serviços públicos.
Assim, o simples acesso indevido a tais informações não configura, por si só, violação a direito de personalidade.
3. A necessidade de comprovação do dano
O tribunal ressaltou que, embora o vazamento de dados seja indesejável e evidencie falha no dever de segurança, ele não implica automaticamente dano moral.
Para que haja indenização, o titular dos dados deve demonstrar concretamente o prejuízo experimentado — como constrangimento, fraude, violação de intimidade ou uso indevido das informações para fins ilícitos.
Desse modo, o dano moral não é presumido, devendo ser comprovado caso a caso, conforme o princípio da necessidade de prova do dano (art. 186 do Código Civil).
4. A posição do STJ e o equilíbrio da LGPD
A decisão representa uma aplicação ponderada da Lei Geral de Proteção de Dados, que busca equilibrar a proteção da privacidade com a razoabilidade da responsabilização das empresas.
Se, de um lado, o controlador tem o dever de adotar medidas técnicas e administrativas de segurança (art. 46 da LGPD), de outro, a lei não impõe responsabilidade objetiva automática por qualquer incidente, exigindo nexo causal e dano efetivo.
O STJ, ao negar o pedido de indenização, reforçou que o sistema jurídico brasileiro não admite a presunção de dano moral em hipóteses genéricas de vazamento, especialmente quando não há demonstração de uso indevido das informações ou abalo à dignidade da pessoa.
5. Conclusão
O entendimento firmado pelo Superior Tribunal de Justiça consolida um importante precedente no âmbito do Direito Digital e da Proteção de Dados:
O vazamento de dados pessoais comuns, por si só, não gera dano moral presumido.
Para que haja indenização, é necessário provar o prejuízo concreto, garantindo-se, assim, a proporcionalidade e a segurança jurídica nas relações entre titulares de dados e controladores.
A decisão contribui para amadurecer a aplicação da LGPD, evitando tanto a banalização das ações indenizatórias quanto o enfraquecimento da proteção de dados pessoais.
Referências:
- BRASIL. Lei nº 13.709/2018 (Lei Geral de Proteção de Dados – LGPD).
- BRASIL. Código Civil, arts. 186 e 927.
- STJ. Informativo nº 766, Recurso Especial, Rel. Min. Francisco Falcão, julgado em 07/03/2023.