O cenário jurídico brasileiro experimentou avanços notáveis no que tange à proteção de dados e aos direitos digitais nos últimos anos. O que antes era uma construção jurisprudencial, iniciada com o reconhecimento do Supremo Tribunal Federal sobre a existência de um direito fundamental implícito à proteção de dados, consolidou-se formalmente em nosso ordenamento. Essa trajetória culminou na Emenda Constitucional 115, de 2022, que inseriu expressamente essa garantia no texto constitucional, somando-se à vigência da Lei Geral de Proteção de Dados (LGPD) e validando o intenso trabalho doutrinário desenvolvido sobre o tema.
Na sociedade contemporânea, é impossível dissociar os dados pessoais de seu valor estratégico e econômico. Eles se tornaram ativos centrais na era digital, utilizados para as mais diversas finalidades. Contudo, essa importância traz consigo riscos elevados. O tratamento dessas informações exige governança rigorosa, pois eventuais vazamentos não apenas violam a privacidade e a dignidade dos indivíduos, mas também podem gerar danos morais e patrimoniais significativos ao expor a identidade informacional dos titulares no ambiente virtual.
A atenção deve ser redobrada quando tratamos de dados pessoais sensíveis. Essas informações tocam o núcleo da subjetividade humana, envolvendo questões como origem étnica, convicções religiosas, saúde, opiniões políticas e orientação sexual. Justamente por refletirem condições identitárias intrínsecas, a legislação, especificamente no artigo 5º da LGPD, confere a eles uma tutela diferenciada. O paradigma atual estabelece que não existe dado pessoal insignificante; todos merecem proteção, mas a natureza da informação pode ditar a gravidade da violação.
Diante desse contexto, o Poder Judiciário tem desempenhado um papel determinante para balizar a aplicação da lei, especialmente no que tange à responsabilidade civil e à necessidade de comprovação de dano. A jurisprudência do Superior Tribunal de Justiça (STJ) vem desenhando contornos importantes para diferenciar incidentes envolvendo dados comuns daqueles que envolvem dados sensíveis ou falhas graves de segurança.
Em março de 2023, por exemplo, a Segunda Turma do STJ firmou o entendimento de que o vazamento isolado de dados pessoais não sensíveis — como nome, RG e dados cadastrais de consumo — não gera, por si só, o dever de indenizar. Para que haja condenação por danos morais nesses casos, o Tribunal entendeu ser indispensável que o titular comprove o prejuízo efetivo sofrido. A lógica aplicada foi a de que, embora esses dados mereçam proteção, sua exposição não presume automaticamente uma ofensa grave aos direitos de personalidade sem a demonstração de um dano concreto.
Por outro lado, a Corte Superior adotou postura mais rígida em relação à segurança da informação. No final de 2024, ao analisar um caso de ataque hacker contra uma concessionária de energia, a Terceira Turma afastou a alegação de “fortuito externo”. O Tribunal concluiu que, se a empresa não demonstrar a adoção de medidas de segurança adequadas e eficazes, o ataque cibernético configura “fortuito interno”, atraindo a responsabilidade do controlador. Essa decisão reforçou o princípio da accountability (artigo 6º, inciso X, da LGPD), estabelecendo que a isenção de responsabilidade só ocorre mediante prova de culpa exclusiva da vítima ou de terceiro, dentro de um contexto de governança robusta.
A jurisprudência evoluiu ainda mais em fevereiro de 2025, quando a mesma Terceira Turma reconheceu que o vazamento de dados sensíveis — especificamente aqueles ligados à saúde e informações bancárias — acarreta dano moral presumido (in reipsa). Diferentemente dos dados comuns, a simples exposição dessas informações íntimas foi considerada suficiente para violar a privacidade e a autodeterminação informativa, dispensando a necessidade de a vítima provar que sofreu prejuízo.
Essa linha de proteção à confiança e à privacidade foi reforçada em setembro de 2025. Em um julgamento emblemático, o STJ decidiu, por maioria, que o compartilhamento não autorizado de dados de consumidores, como renda e telefone, com terceiros, também enseja indenização por dano moral. O entendimento foi de que tal conduta quebra a legítima expectativa de privacidade do titular, ferindo seus direitos de personalidade, independentemente da prova de um prejuízo financeiro ou social imediato.
Conclui-se, portanto, que a atuação dos Tribunais Superiores tem sido essencial para a maturação do sistema de proteção de dados no Brasil. O conjunto de precedentes formados nos últimos anos demonstra que a responsabilidade civil na era digital é dinâmica e depende diretamente da natureza do dado violado e da postura de governança das empresas, cabendo à jurisprudência delimitar as fronteiras da reparação em uma sociedade cada vez mais movida pela informação.
Notícias
Artigos
Cases
E-books
Acontece
