TCC- LGPD(LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS)-responsabilidade civil pelo vazamento de dadosDE

Prévia do material em texto

SÃO PAULO 
2022 
 
 
CENTRO UNIVERSITÁRIO DAS FACULDADES METROPOLITANAS UNIDAS 
CURSO DE DIREITO 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
TRABALHO DE CONCLUSÃO DE CURSO 
 SÃO PAULO 
2022 
 
 
 
DENISE CALHAU 
 
 
 
 
 
 
 
 
 
 
 
 
Lei geral de proteção de dados pessoais: responsabilidade civil pelo 
vazamento de dados 
 
 
 
 
 
Projeto de pesquisa apresentado no Centro 
Universitário das Faculdades Metropolitanas 
Unidas- FMU, como requisito parcial para a 
obtenção do grau de bacharel em Direito, sob a 
orientação da Professora MAIRA FELTRIN 
ALVES.
 
 
Lei geral de proteção de dados pessoais: responsabilidade civil pelo vazamento 
de dados 
 Denise Calhau 
 denisecalhau@hotmail.com.br 
 
RESUMO 
 
Ao longo dos anos é notável a influência cada vez maior do fluxo de informações e dados 
em nossa sociedade, o que torna o direito a proteção de dados algo de extrema importância. Com 
o avanço da tecnologia, uma das maiores preocupações de um cidadão é como continuar 
atualizado sem que seja vítima de redes sociais devido aos inúmeros casos de sequestro de 
dados que vêm ocorrendo, seja por uma conduta humana descuidada ou intencionada. 
A rotina da maioria dos brasileiros é de ficarem conectados 24 horas por dia nas redes 
sociais, trocando informações de forma muito veloz. E por conta disso a LGPD faz-se importante. 
A internet faz parte do dia-a-dia das pessoas e, no mundo atual, se proteger é uma escolha sábia 
para evitar conflitos. 
Esse trabalho tem como foco analisar a Lei Geral de Proteção de Dados Pessoais 
(LGPD), assim como trazer conceitos básicos importantes da Lei, estabelecendo como surgiu a 
ideia da LGPD e quais são seus princípios, além de explicar como funciona o sequestro de dados 
e como se prevenir, explanando também quem faz o tratamento de dados pessoais na LGPD. De 
igual forma será relatada a responsabilidade civil em casos de vazamentos de dados, 
demonstrando seu conceito, sua divisão e suas divergências. 
 
Palavras-chave: Lei Geral de Proteção de Dados Pessoais; LGPD; Lei nº 13.709/2018; 
Responsabilidade civil; Vazamento de dados. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Personal Data Protection General Law: responsibility civil for data leakage 
 
ABSTRACT 
 
Throughout the years is easy to see the growing influence of information and data 
flow in our society, which turns the right to data protection into an even greater matter. 
With the advancement of technology, one of the biggest concerns of a citizen is how to 
keep up with times without becoming a victim of social media due to the countless cases 
of data hijacking that are occurring, either for a careless or intentional human conduct. 
The routine of most Brazilians is to stay connected 24 hours a day on social 
networks, exchanging information very quickly. That is why the Personal Data Protection 
General Law (LGPD) is important. The internet is part of people's daily lives and, in today's 
world, protecting yourself is a wise choice to avoid conflicts. 
This work focuses on analyzing the LGPD, as well as bringing important basic 
concepts of the Law, establishing how the idea of LGPD came about and what its principles 
are, in addition to explaining how data theft and how one can protect themselves, also 
explaining who processes personal data in the LGPD. Likewise, civil liability in cases of 
data leakage will be reported, demonstrating its concept, division and divergences. 
 
Keywords: Personal Data Protection General Law; LGPD; Law No. 13.709/2018; 
Civil responsibility; Data leakage. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
LISTA DE ABREVIAÇÕES E SIGLAS 
 
ANPD- Autoridade Nacional de Proteção de Dados Pessoais 
CC- Código Civil 
CDC- Código de Defesa do Consumidor 
GDPR- General Data Protection Regulation 
LGPD- Lei Geral de Proteção de Dados 
STF- Supremo Tribunal Federal 
STJ- Superior Tribunal de Justiça 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
6 
 
Sumário 
1.INTRODUÇÃO............................................................................................................7 
1.1 Gerações das leis proteção de dados pessoais........................................................7 
1.2 Lei de Acesso à Informação......................................................................................8 
1.3 Lei Carolina Dieckmann............................................................................................9 
1.4 Marco Civil da Internet..............................................................................................9 
1.5 Princípios da LGPD..................................................................................................9 
2.AGENTES DE TRATAMENTO DE DADOS PESSOAIS NA LGPD.........................14 
2.1 Do controlador.........................................................................................................14 
2.2 Do operador............................................................................................................14 
2.3 Do encarregado.......................................................................................................15 
3. RESPONSABILIDADE CIVIL NA LGPD..................................................................15 
3.1 Responsabilidade subjetiva....................................................................................17 
3.2 Responsabilidade objetiva......................................................................................18 
4.VAZAMENTO DE DADOS E A RESPONSABILIDADE CIVIL.................................18 
4.1 O que é vazamento de dados?...............................................................................18 
4.2 Como fica a responsabilidade civil quando ocorre o vazamento de dados............24 
5.CONCLUSÃO............................................................................................................26 
BIBLIOGRAFIA............................................................................................................27 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
7 
 
 
 
1. INTRODUÇÃO 
A Lei Geral de Proteção de Dados Pessoais (LGPD) foi inspirada na General Data 
Protection Regulation (GDPR) da União Europeia, aprovada em meados de 2016, sendo 
esta um dos maiores parâmetros de lei de proteção de dados no mundo. A LGPD (Lei nº 
13.709, de 14 de agosto de 2018) foi aprovada em 2018 e entrou em vigor em 18 de 
setembro de 2021, sendo considerada um símbolo importante no Brasil, pois possui um 
alto nível de importância no meio atual, em toda sociedade civil pois assegura a proteção 
e privacidade dos dados no mundo digital. 
Nessa era digital, a tecnologia está presente em todas as interações sociais, por 
meio de coletas e armazenamentos em nuvem, endereços digitais e formas diversas de 
acervo de informação e dados de usuários, sendo estes, alguns dos mais ativos e valiosos 
que dispomos1, devido ao tráfego constante online, tornam-se vulneráveis a ataques de 
hackers, incluindo roubos de informação sigilosa, crimes de quebra de privacidade e 
exposição imprópria que corrompem barreiras de segurança, entre outros danos, fazendo 
com que a proteção de dados precise ser garantida na legislação, para que seja 
assegurada a proteção e privacidade dos dados no mundo digital. 
A lei em questão, possui o fito de proteger os dados pessoais, e, apesar da 
implementação de normas reguladoras, há constante ocorrência de vazamento de dados, 
seja por meio de um ato humano descuidado ou um ato humano intencional, incluindo 
ações realizadas por hackers. 
O objetivo desse trabalho é demostrar qual é a importância daLei Geral de 
Proteção de Dados Pessoais, partindo-se primeiramente pela linha histórica dele, com o 
intuito de levantar a causa de seu surgimento de forma breve e sucinta, demostrando os 
motivos do presente artigo com o foco na responsabilidade civil e no vazamento de dados. 
 
1.1 Gerações das leis de proteção de dados pessoais 
Segundo Doneda (2019, p.175-179), a lei sobre o tratamento de dados pessoais 
pode ser dividida em 4 gerações. A primeira geração tem início em 1970, no século XX, 
 
1 PINHEIRO, Patrícia Peck. RNP- Rede Nacional De Ensino De Pesquisa (RNP). Qual o impacto da LGPD 
em instituições de ensino e pesquisa? Disponível em: https: Qual o impacto da LGPD em instituições de 
ensino e pesquisa? (rnp.br). Acesso em: 21 abril.2022. 
 
8 
 
na Alemanha, onde existiam leis que propunham a regularização dos bancos de dados, 
neste cenário, não existia a tecnologia top de linha, logo, os legisladores tinham a 
preocupação centrada em sua expansão e não no processamento de dados e privacidade 
dos cidadãos. As primeiras gerações acabaram ficando obsoletas por não conseguirem 
acompanhar a nova era de tecnologia. A segunda geração avançou efetivamente devido 
ao fato que passou a se preocupar mais com a privacidade do indivíduo e no acesso das 
informações,porém, ainda com suas limitações. Já na terceira geração teve um foco maior 
no princípio da liberdade, pois nesta fase o fornecimento de dados já havia se tornado um 
dos requisitos indispensáveis para a efetivação da participação social. E por fim, a quarta 
geração, sendo ela o meio atual, mais eficaz que antes e, a cada passo, novas tecnologias 
iriam surgir, sendo grande aliadas para a defesa da proteção de dados pessoais. 
 
No contexto internacional, a importância da proteção de dados surgiu, como dito 
acima, em 1970, mas no contexto brasileiro apenas em 2010 passou-se a ter atenção às 
políticas públicas de proteção de dados pessoais. Em 2011 foi aprovada a Lei nº 
12.527(Lei de Aceso à Informação), regulamentando o direito constitucional de 
disponibilidade dos cidadãos às informações públicas, sendo aplicado aos três poderes 
(da União, dos Estados, do DF e dos Municípios), essa lei foi um grande passo para a 
consolidação de transparência pública. Em 2012 teve a Lei Carolina Dieckmann (Lei nº 
12.737/2012), que foi uma alteração no Código Penal Brasileiro com atenção aos crimes 
virtuais e delitos informáticos. Em 2014, veio a Lei nº 12.965 de 23 de abril de 2014 (o 
Marco Civil da Internet), garantindo uma segurança ainda mais forte para o direito à 
privacidade. Após essas leis, em 2015 surgiram novas discussões a respeito de proteção 
de dados e, em 2016, na General Data Protection Regulation (GDPR), da União Europeia 
a inspiração que o Brasil precisava para vir a LGPD (Lei de Proteção de Dados Pessoais). 
 
 1.2 Lei de Acesso à Informação 
Esta lei tem como principal foco a disponibilidade à informação como regra, e o 
sigilo como uma exceção, regulamentando o direito à informação presente no artigo 5º, 
XXXIII /Constituição Federal. Com base nessa lei, as informações de atividade do Estado 
são públicas, salvo aquelas expressas em legislação, dando facilidade e desenvolvendo 
uma cultura transparente, devido ao fato que a divulgação de informações pode ser de 
 
9 
 
interesse coletivo ou geral pelo setor público, independente de um requerimento. Por 
meio do artigo 9º da Lei, foi formado o e-SIC (Sistema do Serviço de Informação ao 
Cidadão), sendo este um sistema para centralizar as entradas e saídas de pedidos de 
acesso gerido pelo Poder Executivo Federal, organizando e facilitando os processos para 
a população e a Administração Pública. 
 
 1.3 Lei Carolina Dieckmann 
Em maio de 2011, a atriz Carolina Dieckmann teve seu computador pessoal 
invadido por um hacker, conseguindo acesso a 36 fotos íntimas pessoais da atriz. A atriz 
fez a denúncia, e o criminoso exigiu R$10 mil para não divulgar as fotos dela, ela se 
recusou a efetuar o pagamento, e devido a isso, teve suas fotos vazadas na internet. Em 
consequência, teve uma grande discussão popular sobre os crimes nas mídias sociais. 
Antes da lei já era considerada crime essa prática, mas não havia nenhuma legislação 
que falava sobre. A Carolina Dieckmann abraçou a causa e cedeu seu nome à lei. A Lei 
Carolina Dieckmann tem um impacto no Código Penal Brasileiro, acrescentando artigos, 
sendo eles o 154-A e 154-B, alterando os artigos 266 e 298/Código Penal, dando aos 
cidadãos uma segurança no ambiente virtual, prevendo crimes que decorrem da utilização 
ilegal de informações além do desrespeito à privacidade de uma pessoa na internet com 
fotos e vídeos. 
 
1.4 Marco Civil da Internet 
É considerada uma lei ordinária federal com iniciativa do Poder Executivo, 
consistindo como uma espécie de “Constituição da Internet”, estabelecendo princípios, 
garantindo direitos e deveres para a utilização da internet, tutelando os direitos 
fundamentais da Constituição Federal. A Lei nº 12.965/2014 (Marco Civil da Internet), tem 
como fundamento a liberdade de expressão, a neutralidade de rede e a privacidade. 
 
1.5 Princípios da LGPD 
A Lei Geral de Proteção de Dados Pessoais estabeleceu cuidadosamente os 
princípios que norteiam o tratamento de dados. Vale lembrar que quando ocorre o fato de 
uma norma ser denominada princípio, quer dizer que esta tem uma forma específica para 
ser interpretada. Alexy define, in verbis: 
 
10 
 
O ponto decisivo na distinção entre regras e princípios é que princípios são 
normas que ordenam que algo seja realizado na maior medida possível dentro 
das possibilidades jurídicas e fáticas existentes. Princípios são, por conseguinte, 
mandamentos de otimização, que são caracterizados por poderem ser satisfeitos 
em graus variados e pelo fato de que a medida devida de sua satisfação não 
depende somente das possibilidades fáticas, mas também das possibilidades 
jurídicas. O âmbito das possibilidades jurídicas é determinado pelos princípios e 
regras colidentes. (ALEXY, 2006, p. 90). 
 
Os princípios que norteiam o tratamento de dados têm previsão legal em seu 
artigo 6º desta Lei, sendo todos acompanhados pelo boa-fé, como o próprio caput 
estabelece. 
 
A) Princípio da finalidade (artigo 6º, I): é a “realização do tratamento para propósitos 
legítimos, específicos, explícitos e informados ao titular, sem possibilidade de 
tratamento posterior de forma incompatível com essas finalidades.” 
Conforme Doneda (2006): 
Este princípio possui grande relevância prática: com base nele fundamenta-se a 
restrição da transferência de dados pessoais a terceiros, além do que é possível 
a estipulação de um critério para valorar a razoabilidade da utilização de 
determinados dados para uma certa finalidade (fora da qual haveria abusividade). 
(DONEDA, 2006, p. 216). 
Já para Pestana2, ele entende por legítimo aquele propósito vinculado a uma 
finalidade que seja movida pela boa-fé, legalidade e bom senso, para que se afaste o ato 
ilícito e a má-fé. O propósito específico é colocado por ele como o objetivo determinado 
e relevante, para que seja vedada a finalidade genérica e indeterminada. Os propósitos 
explícitos ele vê como aqueles ligados à clareza de objetivos que posteriormente se 
tornarão determinados, não permitindo as ambiguidades para que não gerem dúvidas 
quanto à sua matéria. 
Devido a isso, o titular deve ser informado dos objetivos e deve ter o parecer 
positivo dele, afastando as alterações, salvo nos casos de concordância pelo titular. 
 
 
2 PESTANA, Marcio. Conjur. Os princípios no tratamento de dados na LGPD (Lei Geral de 
Proteção de Dados). Disponível em: https://www.conjur.com.br/dl/artigo-marcio-pestana-lgpd.pdf. Acesso 
em: 22.abr.2022 
 
11 
 
B) Princípio da adequação (artigo 6º, II): “compatibilidade do tratamento com as 
finalidades informadas ao titular, de acordo com o contextodo tratamento.” 
Este princípio determina que os dados pessoais têm de ser equivalentes com a 
finalidade que foi garantida pelo agente desde que seja de acordo com o tratamento. 
Portanto, o princípio da adequação é o nexo de conformidade entre o tratamento. 
 
C) Princípio da necessidade (artigo 6º, III): ‘’limitação do tratamento ao mínimo 
necessário para a realização de suas finalidades, com abrangência dos dados 
pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento 
de dados.” 
Segundo esse princípio, os agentes de tratamento de dados se utilizam das 
informações apenas com uma única finalidade objetiva, sendo ela previamente delimitada 
e aprovada pelo titular dos dados em questão, com os devidos limites imprescindíveis 
para tal realização de atividade. 
 
D) Princípio do livre acesso (artigo 6º, IV): ‘‘garantia, aos titulares, de consulta 
facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a 
integralidade de seus dados pessoais.” 
Com base nesse princípio, deve existir clareza e a garantia da exatidão, em 
relação ao titular dos dados sobre a forma e a duração do tratamento de suas 
informações. A clareza é o nexo entre o titular e o acesso dos dados que estão sob a 
proteção de suas informações, gerando um dever, uma obrigação ao agente. O agente 
tem a obrigação de deixar o titular avaliar o arquivo, sendo este ato gratuito. 
 
E) Princípio da qualidade de dados (artigo 6º, V): ‘‘qualidade dos dados: garantia, aos 
titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a 
necessidade e para o cumprimento da finalidade de seu tratamento.’’ 
A qualidade de dados é importante para que as informações coletadas estejam 
em plena exatidão. 
Devido a isso, o controlador deve sempre saber as melhores decisões, pois 
segundo Maldonado: 
Qualquer imprecisão, seja um dado pessoal equivocado, seja desatualizado, pode 
ser catastrófico ao titular, como ocasionar um erro de tratamento médico, recusa 
 
12 
 
de crédito, vedação de participação em concursos públicos, eliminação em 
processo seletivo, ou, até mesmo, uma prisão injusta. (Maldonado; BLUM, 2019, 
p. 149). 
Indo por essa linha de raciocínio, o titular, ao disponibilizar seus dados, espera 
que tenha tudo em seu perfeito estado, não possuindo nenhuma imprecisão. 
 
F) Princípio da transparência (art.6º, VI): ‘‘garantia, aos titulares, de informações 
claras, precisas e facilmente acessíveis sobre a realização do tratamento e os 
respectivos agentes de tratamento, observados os segredos comercial e industrial.” 
Em suma, determina que as empresas sejam honestas com os titulares, devendo 
informar quem está envolvido no tratamento de dados e o que irá ser feito, não podendo 
ter nada nas entrelinhas. 
 
G) Princípio da segurança (artigo 6º, VII): ‘‘utilização de medidas técnicas e 
administrativas aptas a proteger os dados pessoais de acessos não autorizados e de 
situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou 
difusão.’’ 
O princípio da segurança, de certo modo, atua com o princípio da prevenção pois 
ambos têm o objetivo de proteger os dados pessoais, deixando o ambiente seguro. 
Para Pestana, nos casos de incidentes, levando-se em conta esse princípio, se a 
perda é irrelevante, acesso, alteração ou difusão resultará uma conduta voluntária, logo, 
um resultado de negligência, imperícia ou imprudência, pois apenas o agente tem a 
obrigação de prever os riscos possíveis no tratamento de dados. Já para Oliveira (2019), 
a culpa não será presumida, mas oriunda de verificação técnica de determinada violação 
(OLIVEIRA, 2019, p. 22). 
H) Princípio da prevenção (artigo 6º, VIII): “adoção de medidas para prevenir a 
ocorrência de danos em virtude do tratamento de dados pessoais.” 
É o princípio companheiro do princípio da segurança, pois ambos são 
relacionados com a prevenção e proteção dos dados, sendo um exemplo de tamanha 
importância destes, pois surgiram com o mesmo intuito. Carecendo os agentes de 
tratamento de dados tomarem as melhores medidas para que ocorra o melhor tratamento 
de dados. 
 
13 
 
 
I) Princípio da não discriminação (artigo 6º, IX): “impossibilidade de realização do 
tratamento para fins discriminatórios ilícitos ou abusivos.” 
Com base no artigo acima, é vedada a utilização dos dados pessoais com a 
finalidade de discriminar, pois essa atitude será considerada ilícita ou abusiva. 
Conforme Mullholand (2018), existe a possibilidade de existir um tratamento de 
dados de forma diferente, continuando o respeito à boa-fé objetiva, nesse sentido: 
Isto é, aparentemente, seria legítimo ao operador de dados realizar tratamentos 
de segregação, no sentido de diferenciação, sem que, com isso leve a 
consequências excludentes que poderiam ser consideradas ilícitas. Assim, por 
exemplo, seria legítimo a um operador de dados que esteja realizando a 
precificação de um serviço de seguros de automóveis, tratar de maneira 
diferenciada os dados de mulheres entre 35 e 45 anos e mães, com a finalidade 
de oferecimento de um valor que reflita os riscos de danos usualmente 
ocasionados ou sofridos por esse grupo determinado de pessoas. 
(MULHOLLAND, 2018, p. 163-164). 
Com base nisso, não deve excluir nenhum dos dados pessoais dos titulares, tanto 
as informações de características determinantes, como por exemplo, de origem racial ou 
ética, em razão da boa-fé. 
 
J) Princípio da responsabilização e da prestação de contas (artigo 6º, X): 
“demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar 
a observância e o cumprimento das normas de proteção de dados pessoais e, 
inclusive, da eficácia dessas medidas”. 
Com base nesse princípio, aos agentes de tratamento de dados, têm a obrigação 
de responderem por seus atos, sejam elas nas suas ações ou omissões, cumprindo todos 
os requisitos legais para que tenha a comprovação da efetividade das medidas, logo, em 
caso de descumprimento, e este causar dano ao titular, haverá o dever de 
responsabilização. Segundo Maldonado: 
Prever a responsabilização e a prestação de contas como princípio demonstra a 
intenção da Lei em alertar os controladores e os operadores de que são eles os 
responsáveis pelo fiel cumprimento de todas as exigências legais para garantir 
todos os objetivos, fundamentos e demais princípios nela estabelecidos. E não 
basta somente pretender cumprir a Lei, é necessário que as medidas adotadas 
para tal finalidade sejam comprovadamente eficazes. Ou seja, os agentes 
 
14 
 
deverão, durante todo ciclo de vida de tratamento de dados sob sua 
responsabilidade, analisar a conformidade legal e implementar os procedimentos 
de proteção dos dados pessoais de acordo com a sua própria ponderação de 
riscos. (MALDONADO; BLUM, 2019, p. 166-167). 
Para Rosenvald (2017), a responsabilidade vai além muito mais além do que o 
dever de restauração, pois presta também, uma função preventiva, para que seja 
cumprido a função civilizatória. 
 
2. AGENTES DE TRATAMENTO DE DADOS PESSOAIS NA LGPD 
A LGPD para fiscalizar e aplicar penalidades, prevê existência da ANPD 
(Autoridade Nacional de Proteção de Dados Pessoais) e os agentes de tratamento de 
proteção de dados. 
A ANPD tem sua previsão legal no artigo 55-A da LGPD, sendo responsável pela 
fiscalização e pela regularização da Lei Geral de Proteção de Dados Pessoais, ficando 
vinculada à Presidência da República. Já os agentes de tratamento de dados são 
subordinados da ANPD. 
Nessa acepção, infere-se que os agentes de tratamento possuem diversas 
atribuições e precisam tomar muitas precauções durante todo o tratamento dos dados 
pessoais, para inibir eventuais danos às informações e, consequentemente, aos seus 
titulares. Afirma-se assim que a lei exige dos agentes uma postura ativa no exercício de 
suas atividades de tratamento. (SOUZA, 2020). 
 
2.1 Do controladorArtigo 5º, VI/LGPD- “pessoa natural ou jurídica, de direito público ou privado, a 
quem competem as decisões referentes ao tratamento de dados pessoais”. 
A título exemplificativo, o controlador que determina a finalidade e os motivos 
para o tratamento de dados pessoais (LIMA, 2015, p. 255). 
O controlador possui o dever de manter registrado as operações de tratamento 
de dados pessoais que realizarem, notadamente, quando se tratarem de legítimo 
interesse. 
Assim, a manutenção do registro de todo o procedimento realizado visa garantir 
o controle e a transparência do tratamento para que ele alcance seu propósito da forma 
estabelecida em Lei. (PINHEIRO, 2020). 
 
15 
 
 
2.2 Do operador 
Artigo 5º, VII/LGPD - “pessoa natural ou jurídica, de direito público ou privado, 
que realiza o tratamento de dados pessoais em nome do controlador”. 
Ele possui o domínio, seja de um comando ou de uma ferramenta, para que assim 
realize o tratamento de dados pessoais, seguindo restritamente as ordens do controlador. 
O operador, assim como o controlador, tem a obrigação de realizar o registro de 
todo o procedimento realizado, principalmente quando se tratarem de legítimo interesse. 
 
2.3 Do encarregado 
Artigo 5º, VIII/LGPD- “pessoa indicada pelo controlador e operador para atuar 
como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade 
Nacional de Proteção de Dados (ANPD).” 
Como manda o artigo 41/LGPD, o encarregado é indicado pelo controlador, ele 
possui uma imagem mais profissional, é o agente de tratamento de dados que utiliza mais 
o intelecto, com conhecimento jurídico e informático, logo, sua função é, em suma, de 
orientar funcionários, aceitar reclamações e receber comunicações, podendo também 
executar funções atribuídas pelo controlador ou aquelas estabelecidas em normas 
complementares. 
 
 3. RESPONSABILIDADE CIVIL NA LGPD 
Segundo Gonçalves (Gonçalves, 2016,.45), a responsabilidade civil pode ser 
igualada ao ramo do direito obrigacional, devido ao fato que a responsabilidade civil é um 
instituto decorrente do reconhecimento dos direitos pessoais, para que seja garantido que 
o prejudicado tenha sua reparação de dano. Logo, com o ato ilícito, gera o dever de 
reparação de dano, criando um vínculo jurídico outorgando a uma parte o dever de reparar 
o dano causado à outra, devendo adimplir com a prestação. 
Outro ponto é que também pode ser relacionado ao Código de Defesa do 
Consumidor, Lei nº 8.078 de 1990, pois a Constituição determina que o Estado, em seu 
artigo 5º, XXXII e artigo 170, V, promova a defesa do consumidor, reconhecendo que 
recai a responsabilidade civil pelos danos ocorridos em relação ao consumo, mesmo que 
não haja provas, com exceção da responsabilidade dos profissionais liberais. 
 
16 
 
Com base em Frazão (2019, p. 35), a LGPD estabelece uma série de conjuntos 
de princípios e preceitos para que exista uma responsabilidade proativa, de cunho 
preventivo, considerando uma ameaça iminente de ocorrência de lesão na coleta e 
tratamento de informações, especialmente um risco em potencial à uma associação de 
classificações. 
Carlos Roberto Gonçalves diz que “a responsabilidade civil é uma obrigação 
jurídica consecutiva que nasce para remanejar o dano decorrente do abuso de uma 
obrigação originária." (Comentários ao Código Civil, Volume XI, Editora Saraiva, São 
Paulo, 2003, p. 07). 
A responsabilidade civil deve ser relacionada como um fato humano, na 
necessidade de reparar um dano causado ao outro, segundo Cáio Mário Da Silva Pereira 
(1999, p.05): 
Como sentimento humano, além de social, à mesma ordem jurídica repugna que 
o agente reste incólume em face do prejuízo individual. O lesado não se contenta 
com a punição social do ofensor. Nasce daí a ideia de reparação, com estrutura 
de princípios de favorecimento à vítima e de instrumentos montados para 
ressarcir o mal sofrido. Na responsabilidade civil está presente uma finalidade 
punitiva ao infrator aliada a uma necessidade que eu designo de pedagógica, a 
que não é estranha a ideia de garantia para a vítima, e de solidariedade que a 
sociedade humana deve-lhe prestar. (Responsabilidade Civil, Editora Forense, 2ª 
Edição, Rio de Janeiro, 1990, p. 15) 
 
Portanto, a LGPD veio com o fito de proteger os dados pessoais, e, apesar da 
implementação de normas reguladoras, há constante ocorrência de vazamento de dados, 
seja por meio de um ato humano irrefletido, ou um ato humano propositado, incluindo 
ações realizadas por hackers. 
Em razão disso, a Lei nº 13.709/2018 estabelece entre os artigos 42 e 45. O artigo 
42 estabelece que a responsabilidade civil recaia sobre os agentes de tratamento de 
dados (o controlador, operador) se causarem dano ao titular dos dados, seja este, 
patrimonial ou extrapatrimonial. 
Essa penalidade é parecida com a do Código de Defesa do Consumidor- Lei nº 
8.078/90 (CDC), pois existe a solidariedade dos agentes de tratamentos de dados (o 
controlador e o operador), quando causarem danos, com base no artigo 42, §1º, I e 
II/LGPD e ainda, permitiu a inversão do ônus da prova, desde que passe por um critério 
 
17 
 
judicial, segundo o artigo 42, §2º/ LGPD, com o intuito de mitigar se há inconformidade 
entre os controladores de dados e os titulares dos dados pessoais. 
No artigo 43/LGPD, há as proposições de exceção da responsabilidade dos 
agentes de tratamento de dados, seja por provarem que não realizam o trabalho imposto, 
por não desobedecerem aos princípios e normas de tratamento de dados ou quando a 
dolo é exclusiva de terceiro e até mesmo pelo titular dos dados pessoais. 
O artigo 44 traz o conceito de tratamento de dados irregular, sendo ele quando 
os agentes não equiparem a segurança devida aos dados do titular, violarem a legislação, 
ao utilizar condutas errôneas ao modo de fazer, as técnicas empregadas e o resultado. 
Ainda neste artigo, em seu parágrafo único, traz a possibilidade de os agentes de 
tratamento de dados repararem o titular, pelos danos causados, por infringirem a 
segurança prevista no artigo 46/LGPD. 
E por fim, o artigo 45 da Lei, que estabelece as situações de violação do direito 
do titular em espaço de consumo que fiquem sujeitas às normas da responsabilidade 
previstas na legislação relacionada, logo, no caso, seria o Código de Defesa do 
Consumidor. 
 
3.1 Responsabilidade subjetiva 
A responsabilidade subjetiva ocorre quando há necessidade de se provar o dano, 
sendo o vínculo causal entre a conduta e a lesão, para ver se há culpa ou dolo. 
Conforme Carlos Roberto Gonçalves: 
Diz-se, pois, ser ‘subjetiva’ a responsabilidade quando se esteia na ideia de culpa. 
A prova da culpa do agente passa a ser pressuposto necessário do dano 
indenizável. Dentro dessa concepção, a responsabilidade do causador do dano 
somente se configura se agiu com dolo ou culpa. 
Levando-se em conta que a LGPD faz uma menção de relações civis e de 
consumo, no artigo 42 da mesma, tem aspecto de relação contratual, logo pode ser 
abrangida como uma responsabilidade subjetiva, podendo ser aplicada a regra geral do 
Código Civil, e se esse for o caso, falta na letra da lei uma escrita mais clara. 
Ao observar a LGPD e ao comparar com o Código Civil, é nítida uma relação, por 
haver a solidariedade entre o controlador e o operador (artigo 42, §1º, I e II/LGPD), a 
inversão do ônus de prova (artigo 42, §2º / LGPD), ação de reparação de danos (artigo 
42, §3º / LGPD) e direito de regressão (artigo 42, §4º / LGPD). 
 
18 
 
Conforme Tasso (2020), o artigo 42/LGPD não antecipa a culpa e nem a exclui 
pois “são utilizados apenas dois critérios objetivos para fundamentar a responsabilidade, 
quais sejam, o exercício da atividade de tratamento de dados e a violação da legislação 
de proteção de dados” (TASSO, 2020). 
 
 3.2 Responsabilidade objetiva 
Ocorre em regra, quando existe relação de consumo, pois nele, bastaapenas 
provar se existe prova do dano e o vínculo causal, porém, havendo culpa ou não, ocorrerá 
o dever de reparação de danos. 
Na responsabilidade objetiva ocorre por determinação legal, quando o legislador 
julga que existe vulnerabilidade estrutural de uma das partes da relação. 
Na LGPD, o artigo 45, deixa estabelecido apenas para âmbito de relações de 
consumo. O Código de Defesa do Consumidor é um meio de aplicabilidade de 
responsabilidade civil objetiva, pois no defeito de um produto ou serviço, gera dano ao 
consumidor. 
Raíssa Cristina de Moura Ferreira e Raphael Moraes Amaral de Freitas, por suas 
vezes, também partem da premissa de que o titular dos dados é “a parte mais frágil da 
relação de tratamento” a fim de chegar à conclusão da adoção de um modelo de 
responsabilidade objetiva pela LGPD. Com efeito, afirmam que a constatação é ainda 
mais cristalina “quando o processamento de dados é realizado por meio de tecnologias 
disruptivas que utilizam algoritmos inteligência artificial para tomar decisões”, cujos 
impactos nas vidas dos envolvidos podem vir acompanhados de “consequências 
drásticas irreversíveis. 
 
4. VAZAMENTO DE DADOS E A RESPONSABILIDADE CIVIL 
4.1 O que é vazamento de dados? 
Em suma, vazamento de dados é um incidente de segurança, quando ocorre 
exposição dos dados pessoais sigilosos sendo publicados por terceiros sem a anuência 
do titular, podendo esses dados serem acessados e vendidos. 
Vazamento de dados ocorre quando tem um acesso indevido aos dados, sendo 
coletados e divulgados na Internet, e até mesmo repassados a terceiros, podendo ocorrer 
 
19 
 
quando temos um caso de furto de identidade, invasão de contas online, e essas invasões 
podem gerar prejuízos financeiros às vítimas e pode ter tentativas de golpes. 
Pode ser definido também como uma invasão ou quebra de sigilo das 
informações confidenciais, que prejudicam as pessoas físicas e jurídicas, podendo 
comprometer a imagem da pessoa e/ou empresa. É uma exposição não autorizada de 
dados provenientes de uma organização, sendo que essas informações podem ser 
visualizadas, apanhadas, copiadas ou aproveitadas de quaisquer formas de uma maneira 
imprópria e ilegítima. 
Um dos maiores problemas da atualidade é o vazamento de dados, possuindo 
diversos exemplos de vazamentos de dados, como: 
 
a. Caso do Adobe (outubro de 2013): 
O ataque sofrido pela empresa de softwares Adobe causou um vazamento de 
dados, prejudicando mais de 152 milhões de usuários, ocasionando a exposição dos 
nomes e senhas daqueles que utilizavam o serviço da empresa, e os hackers ainda 
conseguiram apanhar por volta de 3 milhões de dados criptografados dos cartões de 
créditos dos usuários3. 
 
b. Caso do eBay (maio de 2014): 
Com o site de compras eBay, cerca de 145 milhões de usuários foram afetados, 
havendo exposição de nomes, endereços, datas de nascimento e senhas criptografadas. 
Nessa invasão, os hackers conseguiram acesso à rede por meio das credenciais de 3 
funcionários corporativos da empresa, facilitando o acesso completo por 229 dias3. 
 
c. Caso do LinkedIn (2012 e 2016): 
Em 2012, o site LinkedIn sofreu um ataque que ocasionou um vazamento de 
dados de 6 milhões de senhas, dados estes, que foram apanhados e postados no fórum 
de hackers da Rússia. A empresa só teve noção da gravidade do ocorrido relevada em 
 
3SWINHOE, Dan. ITforum. Os 15 maiores vazamentos de dados do século 21. Disponível em: 
https://itforum.com.br/noticias/os-15-maiores-vazamentos-violacoes-de-dados-do-seculo-21/. Acesso em: 
02 maio. 2022. 
 
 
20 
 
2016, quando foi descoberto que estavam disponibilizando os e-mails e senhas de 
aproximadamente 165 milhões de usuários da empresa pela quantia de 5 bitcoins, que 
na época chegava a ser o equivalente de US$ 2.0003. 
 
d. Caso do Canva (maio de 2019): 
Foi um caso que afetou o site Canva, alcançando cerca de 137 milhões de 
vítimas, com isso, o ataque expôs endereços de e-mail, nomes de usuários, cidades e 
residências dos que frequentavam o site. A empresa, para afastar um novo ataque, pediu 
para que os usuários trocassem suas senhas e redefinissem seus tokens para dar uma 
segurança maior a eles. Foi descoberto também, que cerca de 4 milhões de contas foram 
apanhadas e distribuídas de forma online. Por conta disso, a empresa invalidou senhas 
inalteradas e notificou os usuários3. 
 
e. Caso do STJ (novembro de 2020): 
O Superior Tribunal de Justiça foi vítima de ataque de hackers no ano de 2020, 
ocasionando a interrupção de vários julgamentos que eram executados por intermédio de 
videoconferência, e ainda teve o adiantamento dos prazos processuais, devido a isso, 
retirou o site do ar por conta do vírus, e esse software malicioso foi posto pelo hacker no 
sistema do tribunal4. 
 
f. Caso do Facebook (2021): 
Esta rede social passou por um mega vazamento de dados, por consequência de 
uma invasão de hackers, que exibiram aproximadamente 533 milhões de dados daqueles 
que utilizavam o Facebook, e essas pessoas afetadas, estão divididas em 106 países do 
mundo, e aproximadamente 8 milhões de pessoas do Brasil foram afetadas. Por causa 
desse ataque foram expostos dados de telefones celulares, nomes, datas de nascimento, 
biografias e e-mails. Sem contar que este vazamento só foi descoberto por intermédio de 
um fórum para hackers, onde estavam comercializando dados dos usuários que 
 
3 SWINHOE, Dan. ITforum. Os 15 maiores vazamentos de dados do século 21. Disponível em: 
https://itforum.com.br/noticias/os-15-maiores-vazamentos-violacoes-de-dados-do-seculo-21/. Acesso em: 
02 maio. 2022. 
4 CRUZ, Bruna. Tilt uol. Ataque hacker no STJ: peritos temem vazamento em massa de dados copiados. 
Disponível em: Ataque hacker no STJ: peritos temem vazamento em massa de dados copiados - 
09/11/2020 - UOL TILT. Acesso em: 20.abr.2022 
 
21 
 
frequentavam o site. É válido dizer que não é a primeira vez que acontece uma invasão 
de hackers nesta rede social, pois já havia ocorrido em 2013 e 20195. 
 
g. Caso de mega vazamento de dados pessoais (janeiro de 2021): 
O mega vazamento afetou por volta de 220 milhões de brasileiros, pois suas 
privacidades foram reveladas, sendo elas, seus CPFs, score de cartões, ocupação, 
escolaridade, título de eleitor, foto frontal, dentre outros. Conforme o Estadão, no meio 
desses afetados, estão presentes autoridades do Brasil que tiveram suas informações à 
venda na rede, sendo eles o presidente Jair Bolsonaro, Rodrigo Maia (ex-presidente da 
Câmara), Davi Alcolumbre (ex-presidente do Senado) e os 11 ministros do STF6. 
 
Logo, é nítido que os vazamentos não cessam e estão presentes no cotidiano, 
para isso não ocorrer com frequência, é necessário ter mais segurança e proteção para 
o tratamento de dados. A Lei Geral de Proteção de Dados Pessoais não trata de forma 
explícita os casos de vazamentos de dados, mas ela dá punições em casos de quebras 
na segurança no tratamento dos dados pessoais que o resultem. 
Segundo Fabiano Menke e Guilherme Damasio Goulart (2020, p.350): 
A essencialidade da segurança da informação nos dias atuais pode ser 
considerada evidência indiscutível. Numa sociedade em que as operações 
realizadas com dados pessoais não apenas crescem a cada dia, mas também se 
tornam mais necessárias, é fundamental que, além de se regular a atividade de 
tratamento de dados, sejam estabelecidos requisitos de segurança adequados a 
serem observados pelos agentes de tratamento, de modo a evitar que ocorram 
vazamentos e consequentes danos aos titulares. 
 
Indo nessa linha de pensamento, Daniel Donda (DONDA, 2020, p.33) diz que 
para a empresa estar em conformidade, deve ter os controles de segurança de proteção 
em dia, e que poucas empresas investem pesado na segurança da informação, sendo 
 
5 Facebook tem vazamento de mais de 500 milhões de telefones e dados pessoais de usuários; brasileiros 
inclusos. Olhar Digital.Disponível em: https://olhardigital.com.br/2021/04/03/seguranca/facebook-tem-
vazamento-de-mais-de-500-milhoes-de-telefones-e-dados-pessoais-de-usuarios-brasileiros-
inclusos/Acesso em: 02 maio. 2022. 
6 Mega vazamento: Dados de ministros do STF estão à venda na internet. Migalhas. Disponível 
em:https://www.migalhas.com.br/quentes/339790/megavazamento-dados-de-ministros-do-stf-estao-a-
venda-na-internet. Acesso em: 02 maio. 2022. 
 
22 
 
que ela corresponde e atinge todos os setores e recursos da empresa. E que a segurança 
da informação deve garantir: a confidencialidade, integridade, disponibilidade, 
autenticidade e legalidade. 
 Segundo ele, a confidencialidade é o que garante que somente as pessoas 
autorizadas possuam acesso à informação dos dados pessoais por meio de aplicações 
de controle, sendo elas, permissões de acesso ao banco de dados, criptografia e 
permissões de acesso aos recursos online. A integridade é definida por ele como a 
garantia de que a informação não será manipulada e nem alterada, sendo possível a 
confiança nela por ser íntegra, devendo ser levada em conta a integridade dos logs 
armazenados, a integridade das informações armazenadas e em trânsito (valendo-se 
para produção ou backups) e, por fim, a integridade dos mecanismos de proteção. A 
disponibilidade ele coloca como a garantia de que a informação estará sempre acessível 
quando for necessário conforme os requisitos de confidencialidade e integridade. A 
autencidade, para ele é como uma das mais importantes pois esta garante o não repúdio 
pela identidade, garantindo que aquelas envolvidas em certas ações dos tratamentos de 
dados sejam identificadas de maneira inquestionável mediante assinatura digital ou o uso 
de biometria. E por fim, a legalidade, significando que tudo relacionado ao tratamento de 
dados deve estar conforme as leis vigentes, como por exemplo, a LGPD. 
Como a troca de dados entre os usuários da Internet ocorre a todo instante, em 
vários sites, seja no ato de efetuar compras ou cadastros, nas interações das redes 
sociais e nas transações bancárias em sites, dentre outros, devido a esse alto fluxo de 
dados, ocorrem numerosos casos de violações, afetando milhões de usuários. 
Para afastar a invasão dados, os titulares devem estar a par de fatores que levam 
esta exposição de dados, sendo eles: 
Em primeiro lugar está o phishing, sendo um dos casos mais comuns de invasão 
de dados pessoais, estando em alta esta técnica pelos criminosos. Consiste em um crime 
cibernético de fraude, nele manipulam as vítimas para que possam efetuar o golpe. A 
conduta criminosa é realizada por meios eletrônicos, seja por via e-mail ou telefones, com 
o intuito de fingir ser outra pessoa ou organização, com o intuito de obter informações 
confidenciais da pessoa, incluindo dados de login, dados de cartão de crédito e débito, 
além de poder se aproveitar de links falsos para ter acesso aos dados confidenciais da 
vítima, dentre outros. 
 
23 
 
Em segundo lugar, vem a utilização de senhas fracas, sendo algo nada seguro 
para a vítima pois deixa o ambiente vulnerável, facilitando o acesso ao sistema sem 
autorização, promovendo o acesso de terceiros indesejados no sistema. De acordo com 
pesquisas, em 2019 foi relatado que 80% das violações de hackers estão relacionadas 
às senhas comprometidas e fracas. E em 2020, de acordo com as pesquisas da Verizon, 
os ataques estão evoluindo a cada ano, e 81% das invasões estão relacionadas às 
senhas fracas, comprometidas e reutilizadas. A senhas são as portas para alcançar 
acesso às informações únicas e exclusivas dos usuários, elas são a autenticação de cada 
utilizador e as políticas de complexidade das senhas servem para deixar as contas mais 
seguras, afastando as ações maliciosas de terceiros. 
O vazamento de dados ocorre também por conta de falhas humanas, devido ao 
mau uso das tecnologias e pelos danos causados por vírus. Todos podem ser submetidos 
a uma invasão, por isso a LGPD tem o intuito de proteger os usuários das violações e dar 
autonomia sobre as suas informações confidenciais pessoais, como o nome, documentos 
pessoais, endereço, e-mail, telefones, dentre outras informações, mas só isso não basta, 
além de saber as hipóteses, tem que saber como se manter protegido para afastar os 
possíveis dados futuros. Porém, é ilusório ainda o fato de estarmos 100% protegidos 
contra ameaças da internet, por isso devemos saber como nos proteger das armadilhas 
da internet. 
Para evitar vazamentos de dados, os usuários devem sempre ter meios que 
afastem as ameaças, sendo ela um meio de prevenção contras as ameaças, o antivírus 
por exemplo é uma ótima ferramenta para isso. Assim como manter sempre os aparelhos 
atualizados, sendo eles os sistemas e softwares. Além de possuir autenticação de dois 
fatores para fortalecer a segurança e afastar invasores, nessa hipótese, o usuário deverá, 
além da senha forte, adicionar a etapa de confirmação de tentativa de login, podendo ser 
por meio do SMS ou e-mail. 
Já para as pessoas jurídicas, é necessário incluir políticas e instrumentos de 
autenticação de controle e acesso, estabelecendo uma segurança ao acesso físico ao 
ambiente de TI, assim, começar a fazer análises dos fatos para que possam ser 
identificadas vulnerabilidades no sistema frequentemente. Além de fundar uma Política 
de Segurança de Informação para que colaboradores e parceiros sejam treinados, no 
intuito de que possam detectar e afastar de imediato uma ameaça e futuros riscos. 
 
24 
 
 
4.2 Como fica a responsabilidade civil quando ocorre o vazamento de dados 
Nesse tema em questão está em carência de previsão legal exclusiva, logo, é 
nítido que existem aparições doutrinárias, a doutrina está expondo os casos de 
vazamentos de dados, e qual a responsabilidade pode ser atribuída, ocorrendo divisão 
de ideias entre os defensores da responsabilidade civil subjetiva e objetiva. 
Por existirem muitas brechas referente à responsabilidade civil, como Anderson 
SCHREIBER (2020, p.333), pensa: 
 [..]a LGPD não foi extremamente feliz no desenho das normas atinentes à 
responsabilidade civil. Há falhas e omissões que podem e precisam ser sanadas 
pelo intérprete, em busca de um regime de responsabilidade civil que se afigure, 
a um só tempo, coerente e eficaz. As diferentes soluções interpretativas devem 
ser construídas a partir de elementos constantes não apenas da LGPD em si, mas 
também de outras normas que compõem o tecido normativo brasileiro, em 
especial as normas constitucionais. Como dito acima, a Lei de Proteção de Dados 
não deixa evidente de qual responsabilidade civil está falando, se é a objetiva 
(referente ao nexo de causalidade e a prova do dano, independentemente de 
culpa) ou a subjetiva (referente a conduta voluntária, o dolo, ou uma conduta 
negligente, imperita ou imprudente). 
 
Anderson Schreiber (2020, p.334), completa que: 
 Não é fácil identificar qual o regime de responsabilidade civil instituído pela 
LGPD. Por um lado, o art. 42 não alude, em sua literalidade, à culpa, o que poderia 
indicar a adoção de um regime de responsabilidade objetiva. Por outro lado, o art. 
42 não emprega a expressão “independentemente de culpa”, como fizeram o 
Código Civil (arts. 927, parágrafo único, e 931)15 e o Código de Defesa do 
Consumidor (arts. 12, caput, e 14, caput) 16, podendo--se extrair da omissão uma 
preferência pela responsabilidade subjetiva. 
Segundo o autor, pode-se dizer que por mais que a interpretação seja confusa, é 
nítido que a LGPD convive com os dois regimes distintos de responsabilidade civil, 
possuindo dentro dela, o CDC (Código de Defesa do Consumidor) e o CC (Código Civil), 
sendo elas, para responsabilidade objetiva (artigos 12 e 14/CDC ambos apenas o caput 
e artigo 927, §ú/CC) e para responsabilidade subjetiva (artigo 14, §4º/CDC e artigos 186 
e 927/CC). 
 
25 
 
Segundo Godoy (2019), as novas tecnologiassão os novos riscos à sociedade, 
portanto deve fazer uma releitura dos institutos tradicionais referentes à responsabilidade 
civil, para que essas novas regras possam combater essa nova era da tecnologia, 
devendo estabelecer obrigações para imputar os agentes às novas regras. 
Seguem abaixo casos que a jurisprudência entende que caiba a indenização de 
reparação de danos morais, por conta da quebra de segurança dos usuários, ou seja, 
sequestros de casos: 
 
EMENTA:RECURSO INOMINADO. AÇÃO INDENIZATÓRIA POR DANOS 
MORAIS.VAZAMENTO DE FOTOS ÍNTIMAS DA PARTE AUTORA NA 
INTERNET. INVIÁVEL AFERIR QUEM REALIZOU A PUBLICAÇÃO DOS 
DADOS DA AUTORA SEM REALIZAÇÃO DE PERÍCIA TÉCNICA A FIM DE 
AFERIR QUEM DEU CAUSA AO CADASTRO FALSO COM OS DADOS E 
FOTOS ÍNTIMAS DA AUTORA. REFORMA DA SENTENÇA PARA JULGAR 
EXTINTO O FEITO DE OFÍCIO, PELA COMPLEXIDADE. (Recurso Cível Nº 71 0 
0621 984 4, Quarta Turma Recursal Cível, Turmas Recursais, Relator: Gisele 
Anne Vieira de Azambuja, Julgado em 26/ 08/ 2016). 
 
EMENTA:AGRAVO DE INSTRUMENTO.SUBCLASSE RESPONSABILIDA DE 
CIVIL. AÇÃO DE INDENIZAÇÃO POR DANOS MORAIS DECO RRENTES DO 
VAZAMENTO, PELA UNIVERSIDADE, DE DADOS PESSOAIS DE SEUS 
ALUNOS. FATO ADMITIDO PELA RÉ. 
PROVA PERICIAL PARA APURAÇÃO DOS MOTIVOS DO OCORRIDO. 
DESNECESSIDADE, NO CASO. Considerando que o direito à prova não se 
mostra absoluto, cabe indeferir o pedido probatório formulado pelo autor, pois 
ausente a demonstração de sua relevância para a solução da causa, 
especialmente frente à admissão, pela própria ré, de que o fato apontado com o 
gerador do dano (vazamento de dados pessoais) ocorreu. Negado seguimento 
ao recurso. (Agravo de Instrumento Nº 700584 60 999, Nona Câmara Cível, 
Tribunal de Justiça do RS, Relator: Eugênio Facchini Neto, Julgado em 11 /02/ 
2014). 
 
EMENTA:DANO MORAL- VAZAMENTO DE DADOS- CÓDIGO DE DEFESA DO 
CONSUMIDOR- DEVER DE SEGURANÇA 
1- Reconhecida a falha no sistema, ante a invasão por terceiros, ocasionando o 
vazamento de dados pessoais do consumidor, perante o dever de indenizar 
pelos danos sofridos; 
2- Indenização por danos morais fixada no montante pleiteado, ou seja, em R$ 
10.000,00, corrigidos do arbitramento e acrescido de juros de mora de 1% ao 
mês, a partir da citação. RECURSO PROVIDO. (Tribunal de Justiça de São 
Paulo TJ-SP- Apelação Cível: AC 1000-144-71.2021.8.26.04.05 SP 1000-
144-71.2021.8.26.04.05). 
 
EMENTA: APELAÇÃO CÍVEL - AÇÃO ANULATÓRIA DE CONTRATO E 
INDENIZAÇÃO POR DANOS MORAIS - CONTRATAÇÃO DE EMPRÉSTIMOS - 
CAIXA ELETRÔNICO - CULPA EXCLUSIVA DA VÍTIMA - NÃO CONFIGURADA 
- DEFEITO NA PRESTAÇÃO DO SERVIÇO BANCÁRIO - VAZAMENTO DE 
DADOS PESSOAIS - DANOS MORAIS CARACTERIZADOS - QUANTUM 
INDENIZATÓRIO - ADEQUAÇÃO DEVIDA - SENTENÇA REFORMADA EM 
PARTE. 
- O fornecedor de serviços responde, independentemente da existência de culpa, 
pela reparação dos danos causados aos consumidores por defeitos relativos à 
 
26 
 
prestação dos serviços, nos termos do art. 14 do Código de Defesa do 
Consumidor. 
- Para que seja configurada a excludente de responsabilidade do fornecedor 
prevista art. 14, §3º, II do CDC deve ser comprovada a culpa exclusiva do 
consumidor. 
- Reveste-se de ilicitude a hipótese em que a instituição financeira permite ou não 
cuida para impedir o vazamento dos dados pessoais de seus clientes 
oportunizando, assim, a atuação ilícita de terceiros fraudadores. 
- A fixação da indenização por danos morais pauta-se pela aplicação dos 
princípios da razoabilidade e da proporcionalidade. (TJMG - Apelação Cível 
1.0471.16.012594-7/001, Relator(a): Des.(a) Juliana Campos Horta, 12ª 
CÂMARA CÍVEL, julgamento em 31/7/19, publicação da súmula em 8/8/19). 
 
5. CONCLUSÃO 
Vivemos em uma coletividade onde a informação é o centro da nova maneira de 
organização social e econômica, e nessa Era da Informação são utilizados dados sobre 
experiências humanas. O tema ainda é bem recente, porém de extrema importância para 
a sociedade, devendo ganhar mais relevância conforme o tempo for passando. 
A Lei Geral de Proteção de Dados Pessoais era necessária no Brasil, e como 
prova da sua importância e sua influência na atualidade, o STF aprovou a existência 
legítima de direito fundamental à proteção de dados pessoais, como um direito à 
autodeterminação infraconstitucional como um contraponto a algum contexto concreto de 
coleta, processamento ou comunicação de dados passíveis de conformar situação de 
ameaça, com base no voto do Ministro Gilmar Mendes no julgamento ADI 6.387/37. 
O trabalho demonstrou como o vazamento de dados ocorre frequentemente, que 
todos estão sujeitos a terem seus dados sequestrados, portanto foi mostrado como se 
proteger, para que afastemos a possibilidade de sermos vítimas de sequestros de dados. 
Foi definido o que é a responsabilidade civil, relatando as divisões de opiniões 
dos doutrinadores, daqueles que vão para o lado da responsabilidade civil objetiva e 
outros, subjetiva. 
Devido às diferentes interpretações, cabe uma atualização na LGPD para que 
possa ficar mais clara qual a responsabilidade nos casos de vazamento de dados, pois 
precisamos de uma legislação sólida e capacitada para sanar as dúvidas, para que sejam 
assegurados os direitos fundamentais em questão, apontando todos os direitos, deveres 
e consequências das condutas ilegais. 
Com base no que foi relatado nesse trabalho, é possível observar que a lei pode 
gerar muitas interpretações, acarretando dificuldades de entendimento, porém, ao ler este 
presente artigo, o leitor poderá ter a básica noção de como funciona a LGPD. 
 
27 
 
 
BIBLIOGRAFIA 
 
ADVOCATTA. HISTÓRICO DA LEI GERAL DE PROTEÇÃO DE DADOS (LGPD). 
Disponível em: Histórico da Lei Geral de Proteção de Dados (LGPD) – Advocatta. 
Acesso em 21 de abril de 2022. 
 
ALEXY, Robert. Teoria dos Direitos Fundamentais. São Paulo: Malheiros Editores, 
2006. 
 
ARRUDA, Wellington. Olhar Digital. Facebook tem vazamento de mais de 500 milhões 
de telefones e dados pessoais de usuários; brasileiros inclusos. Disponível em: 
https://olhardigital.com.br/2021/04/03/seguranca/facebook-tem-vazamento-de-mais-de-
500-milhoes-de-telefones-e-dados-pessoais-de-usuarios-brasileiros-inclusos/. Acesso 
em: 02.mai.2022. 
 
BELCIC, Ivan. Avast Academy. O guia essencial sobre phishing: Como funciona e como 
se proteger. Disponível em: https://www.avast.com/pt-br/c-phishing#gref. Acesso em: 
20.abr. 2022. 
 
BIONI, Bruno et al (Coords.). Tratado de Proteção de Dados Pessoais: Grupo 
GEN, 2020. 9788530992200.(Págs.333-350). Disponível 
em:https://integrada.minhabiblioteca.com.br/#/books/9788530992200/. Acesso 
em: 28.abr. 2022. 
 
BRASIL, Lei nº 13.709, de 14 de agosto de 2016. Institui a Lei de Proteção de 
Dados Pessoais. Brasília, DF: Presidente da República. Disponível em: 
L13709compilado (planalto.gov.br). Acesso em: 04 maio. 2022. 
 
BRASIL. Senado Federal. Proposta de Emenda à Constituição n° 17, de 2019. Altera 
a Constituição Federal para incluir a proteção de dados pessoais entre os direitos e 
garantias fundamentais e para fixar a competência privativa da União para legislar sobre 
proteção e tratamento de dados pessoais. Brasília, DF: Câmara dos Deputados, 2019. 
Disponível em: https://www25.senado.leg.br/web/atividade/materias/-/materia/135594. 
Acesso em 04 maio. 2022. 
 
BRASIL. STJ. Lei Geral de Proteção de Dados (LGPD). Disponível em: 
https://www.stj.jus.br/sites/portalp/Leis-e-normas/lei-geral-de-protecao-de-
dadospessoais-lgpd, Acesso em 20 de abril de 2022. 
 
Câmara dos Deputados. Lei de acesso à informação na Câmara. Disponível em: 
https://www2.camara.leg.br/transparencia/acesso-a-informacao.Acesso em 21 de abril 
de 2022. 
 
Certificavix, Certificação digital. Vazamento de dados: o que é, quais as consequências 
e como preveni. Disponível em: Vazamento de dados: o que é, quais as consequências 
 
28 
 
e como prevenir – Certifica Vix. Acesso em 20.abr.2022. 
 
Compugraf. Com a Lei em vigor, quais as diferenças entre a LGPD e GDPR?Disponível 
em: https://www.compugraf.com.br/diferencas-entre-lgpd-e-gdpr/. Acesso em 20 de abril 
de 2022. 
 
Consultor Jurídico. Após megavazamento, dados de ministros do Supremo são postos à 
venda. Disponível em: ConJur - Após megavazamento, dados de ministros do STF são 
postos à venda. Acesso em: 02. maio.2022. 
 
CRUZ, Bruna. Tilt uol. Ataque hacker no STJ: peritos temem vazamento em massa de 
dados copiados. Disponível em: Ataque hacker no STJ: peritos temem vazamento em 
massa de dados copiados - 09/11/2020 - UOL TILT. Acesso em: 20.abr.2022. 
 
DIAS, Marcelo. Tecnocop. Com a LGPD se tornou ainda mais importante as empresas 
terem uma política de senhas. Disponível em: Com a LGPD se tornou ainda mais 
importante as empresas terem uma política de senhas (tecnocorp.com.br). Acesso em: 
20.abr.2022. 
 
DONEDA, Danilo. Da privacidade à proteção de dados pessoais: elementos da 
formação da Lei geral de proteção de dados. 2.ed. São Paulo: Thomson Reuters Brasil, 
2019. 
 
FERREIRA, Raíssa Cristina de Moura. FREITAS, Raphael Moraes Amaral de. 
Responsabilidade civil na LGPD: subjetiva ou objetiva? In: PALHARES, Felipe (coord.). 
Temas atuais de proteção de dados. São Paulo: Thomson Reuters Brasil, 2020. p. 321-
344. p. 340. 
 
FRAZÃO, Ana. Fundamentos da proteção de dados pessoais. Noções introdutórias para 
a compreensão da importância da Lei Geral de Proteção de Dados. In: TEPEDINO, 
Gustavo; FRAZÃO, Ana; OLIVA, Milena D. (coord.). Lei Geral de Proteção de Dados 
Pessoais e suas repercussões no Direito Brasileiro. São Paulo: Thomson Reuters Brasil, 
2019. p. 23-52. 
 
Fundação Escola Superior Do Ministério Público (FMP). LEI CAROLINA DIECKMANN: 
VOCÊ SABE O QUE ESSA LEI REPRESENTA? Disponível em: Lei Carolina 
Dieckmann: você sabe o que essa lei representa? - FMP - Fundação Escola Superior do 
Ministério Público. Acesso em 21 de abril de 2022. 
 
Gêneses IT Consulting. Políticas de senha pode deter ataques virtuais. Disponível em: 
https://geneses.com.br/politicas-de-senha-pode-deter-ataques-virtuais/. Acesso em: 
20.abr.2022. 
 
Get Privacy. 10 perguntas e respostas sobre vazamento de dados e LGPD. Disponível 
em: 10 perguntas e respostas sobre vazamento de dados e LGPD – Get Privacy. 
Acesso em: 20.abr.2022. 
 
 
29 
 
GODOY, Cláudio Luiz Bueno. A responsabilidade civil na era digital. In: Congresso 
internacional de responsabilidade civil do IBERC, São Paulo [S. l.]: 2019. 
 
GONÇALVES, Carlos Roberto. Responsabilidade Civil. 17. ed. São Paulo: Saraiva, 
2016. 
 
Gov.br. Aspectos Gerais - Lei de Acesso à Informação. Disponível em: Aspectos Gerais 
- Lei de Acesso à Informação — Português (Brasil) (www.gov.br). Acesso em 21 de 
abril de 2022. 
 
Gov.br. Sobre a Lei de Acesso à Informação. Disponível em: 
https://www.gov.br/capes/pt-br/acesso-a-informacao/servico-de-informacao-ao-
cidadao/sobre-a-lei-de-acesso-a-informacao-. Acesso em 21 de abril de 2022. 
 
JULIO, Clara. Backup Garantido. Disponível em: Vazamento de dados: causas, 
exemplos e medidas de proteção | Backup Garantido. Acesso em 19.abr.2022. 
 
MALDONADO, Viviane Nóbrega; BLUM, Renato Opice. LGPD: Lei Geral de Proteção de 
Dados comentada. São Paulo: Revista dos Tribunais, 2019. 
 
MULHOLLAND, Caitlin Sampaio. Dados pessoais sensíveis e a tutela de direitos 
fundamentais: uma análise à luz da lei geral de proteção de dados (Lei 13.709/18). 
Revista de Direitos e Garantias Fundamentais, Vitória, v. 19, n. 3, p. 159-180, set./dez. 
2018. 
 
ORTIZ, Elaine. CPF vazado: quais os riscos e como prevenir o vazamento de dados? 
Disponível em: https://www.serasa.com.br/premium/blog/vazamento-de-dados-como-
prevenir. Acesso em: 20.abr.2022. 
 
PECK, PINHEIRO, P. Segurança Digital - Proteção de Dados nas Empresas [S.1. 
Atlas]:Grupo GEN, 2020. 9788597026405. Pág.79. Disponível em: 
<https://integrada.minhabiblioteca.com.br/#/books/9788597026405/>. Acesso em: 
22.abr 2022. 
 
PESTANA, Marcio. Conjur. Os princípios no tratamento de dados na LGPD (Lei Geral 
da Proteção de Dados Pessoais). Disponível em: https://www.conjur.com.br/dl/artigo-
marcio-pestana-lgpd.pdf. Acesso em: 22.abr.2022. 
 
PINHEIRO, Patrícia Peck. RNP- Rede Nacional De Ensino De Pesquisa (RNP). 
Qual o impacto da LGPD em instituições de ensino e pesquisa? Disponível em: 
https: Qual o impacto da LGPD em instituições de ensino e pesquisa? (rnp.br). 
Acesso em: 19.abr. 2022. 
 
ROCHA, Marina. Migalhas. Com a entrada em vigor da LGPD, em caso de 
vazamento de dados, os consumidores afetados, terão direito à indenização? 
Disponível em: https://www.migalhas.com.br/depeso/340916/em-caso-de-
vazamento-de-dados-consumidores-terao-direito-a-indenizacao. Acesso em: 01. 
maio. 2022. 
 
30 
 
 
ROSENVALD, Nelson. As funções da responsabilidade civil: a reparação e a pena 
civil. 3. ed. São Paulo: Saraiva, 2017. 
 
SANTOS, Rahellen. Politize. O que é o Marco Civil da Internet? Disponível em: 
https://www.politize.com.br/marco-civil-da-internet/ - O que é o Marco Civil da 
Internet? - Acesso 21 de abril de 2022. 
Sebrae. Conheça a LGPD. Disponível em: Conheça LGPD - Sebrae. Acesso em 20 
de abril de 2022. 
 
SWINHOE, Dan. ITforum. Os 15 maiores vazamentos de dados do século 21. 
Disponível em: https://itforum.com.br/noticias/os-15-maiores-vazamentos-violacoes-
de-dados-do-seculo-21/. Acesso em: 02 maio. 2022. 
 
TASSO, Fernando Antonio. A responsabilidade civil na Lei Geral de Proteção de 
Dados e sua interface com o Código Civil e o Código de Defesa do Consumidor. 
Cadernos Jurídicos, São Paulo, ano 21, n. 53, p. 97-115, jan./mar. 2020.