O vazamento de dados pessoais e a configuração de dano moral presumido na jurisprudência do Superior Tribunal de Justiça

O crescimento da virtualização das atividades cotidianas por meio da implementação de ferramentas da tecnologia da informação tem levado os profissionais do Direito a concentrarem sua atenção em fatos sociais que, em um passado recente,  não demandavam a tutela da ordem jurídica normativa.

É neste cenário que a proteção dos dados pessoais surgiu como direito subjetivo dos cidadãos brasileiros, considerando a sua mercantilização diária realizada por big-techs, empresas como o facebook, instagram e telegram, e a ampliação do debate sobre a necessidade de compatibilização de direitos como a liberdade de informação e o respeito à privacidade.

A Lei Geral de Proteção de Dados, Lei n. 13.709/2018, foi promulgada objetivando a tutela de direitos fundamentais como a liberdade de expressão e de privacidade, ressaltando a livre formação da personalidade de cada indivíduo por meio da regulamentação do uso e da transferência dos dados pessoais.

Este marco legal trouxe maior segurança jurídica sobre o tema, vedando o tratamento de dados pessoais sem o fornecimento de consentimento expresso pelo titular, nos termos do art. 7º, I, da LGPD. A legislação ainda proibiu a possibilidade de utilização de autorizações genéricas para o tratamento de dados, conforme o §4º, do seu art. 8º, impondo o ônus da prova de que o consentimento do titular foi obtido de acordo com a lei ao controlador de dados pessoais.

Dessa forma, a tutela do direito à privacidade possui especial destaque na sociedade contemporânea em razão da rápida difusão de informações e utilização do meio virtual para a disseminação de discursos de ódio.

Em recente episódio, partindo em sentido contrário ao sistema legal de proteção da privacidade de seus cidadãos, a Prefeitura de Feira de Santana, segundo maior munícipio do Estado da Bahia, possibilitou o vazamento de dados de pessoas que convivem com doenças graves, como HIV, fibromialgia e anemia falciforme. A Secretaria Municipal de Mobilidade Urbana – SEMOB assumiu publicamente o erro que ocorreu durante o anúncio de suspensão do benefício de passe livre no transporte coletivo urbano.

A notícia veiculada em todo o país ganhou notoriedade na mídia ao expor a fraqueza e ausência de precaução na tutela de dados pessoais sensíveis, gerando exposição indevida especialmente a pessoas soropositivas que enfrentam a marginalização e estigmatização social decorrentes do seu diagnóstico de convivência com o vírus.

Houve efetiva demonstração de ilegalidade no tratamento dos dados pessoais na esfera municipal, contrariando expressamente disposições da Lei Geral de Proteção de Dados e da Lei nº 14.289/2022, que tornou obrigatória a preservação do sigilo sobre a condição de pessoas que vivem com certas infecções virais historicamente vítimas do preconceito e desinformação.

O vazamento de dados provocado pela Administração de Feira de Santana é uma hipótese de violação em que a gravidade do dano é inquestionável. Contudo, é necessário observar que a LGPD  prevê um modelo de conduta que perpassa por toda a administração dos dados pessoais, impondo procedimentos administrativos rigorosos em todo o período de tutela de dados, não limitando a responsabilização do controlador de dados à comprovação de dado ao titular.

O Superior Tribunal de Justiça, ao se pronunciar sobre a responsabilização civil do vazamento de dados, adotava entendimento em que a gravidade do dano e a natureza dos dados eram parâmetros para a fixação de eventuais indenizações morais por violação a direitos da personalidade.

Em fevereiro de 2025, a Terceira Turma do STJ entendeu que o vazamento de dados sensíveis do segurado em contrato de seguro de vida ensejaria a configuração de dano moral presumido no julgamento do REsp 2.121.904. Esta decisão referendou a aplicação do conceito de dados sensíveis para fins de indenização destacando, contudo, a hipótese de dano moral presumido.

Os recentes julgamentos demonstram a evolução do entendimento sobre a responsabilização do administrador de dados pessoais, ampliando a efetividade da LGPD no que se refere ao vazamento de dados sem o consentimento do titular, vedado pelo art. 7º, I, da referida lei.

A interpretação jurisprudencial se alinha à necessidade de proteção de direitos subjetivos previstos no ordenamento em um contexto marcado pela mercantilização de dados pessoais em âmbito global e pela difusão direcionada à propagação de discursos de ódio. Dados pessoais, não somente aqueles considerados sensíveis pela legislação, merecem proteção capaz de coibir o indevido compartilhamento para fins não autorizados pelo respectivo titular conforme a Lei n. 13.709/2018.

*Grauther Nascimento, advogado do escritório Mauro Menezes & Advogados