Dano moral presumido e proteção de dados pessoais: análise da jurisprudência do STJ e a função do compliance
Luiz Carlos Nacif Lagrotta
Resumo
Este artigo analisa a evolução jurisprudencial recente sobre a responsabilidade civil decorrente do compartilhamento indevido ou vazamento de dados pessoais e sensíveis, com ênfase na decisão da 3ª Turma do Superior Tribunal de Justiça no Recurso Especial nº 2.201.694/SP. Examina-se o reconhecimento do dano moral presumido, a partir da violação da privacidade e da autodeterminação informativa, independentemente da comprovação de prejuízo concreto. Destacam-se também outros precedentes relevantes do STJ e de Tribunais estaduais que consolidam a proteção intensificada dos dados sensíveis, os quais, quando expostos, geram riscos de discriminação, fraude e insegurança. O estudo conclui pela necessidade de implementação de programas de compliance em proteção de dados, como mecanismo essencial de prevenção de riscos jurídicos, financeiros e reputacionais.
Palavras-chave: LGPD; STJ; dano moral presumido; dados sensíveis; compliance.
Abstract
This article analyzes recent case law developments regarding civil liability arising from the improper sharing or leakage of personal and sensitive data, with emphasis on the decision of the 3rd Panel of the Brazilian Superior Court of Justice (STJ) in Special Appeal No. 2.201.694/SP. It examines the recognition of presumed moral damages based on the violation of privacy and informational self-determination, regardless of proof of concrete harm. Other relevant precedents from the STJ and state courts are also highlighted, consolidating the enhanced protection of sensitive data, which, when exposed, generates risks of discrimination, fraud, and insecurity. The study concludes by stressing the necessity of implementing data protection compliance programs as an essential mechanism for preventing legal, financial, and reputational risks.
Keywords: LGPD; STJ; presumed moral damages; sensitive data; compliance.
Sumário: 1. Introdução. 2. A decisão do STJ no REsp nº 2.201.694/SP e a consolidação do dano moral presumido.3. A tutela dos dados sensíveis na LGPD e a jurisprudência recente. 3.1. Vazamento de dados e fraude bancária. 3.2. Dados sensíveis em contratos de seguro. 3.3. Golpes eletrônicos e fortuito interno nos serviços bancários. 4. O papel do compliance em proteção de dados como exigência de governança. 5. Conclusão. Referências
1. Introdução
O tratamento de dados pessoais é hoje uma das questões centrais do Direito contemporâneo.
No Brasil, a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) estabeleceu bases legais e limites rigorosos ao uso de informações pessoais, sendo de se anotar que já se consagrou o entendimento de que a autodeterminação informativa é um direito fundamental.
No plano jurisprudencial, o Superior Tribunal de Justiça tem desempenhado papel crucial na concretização desses princípios, em especial a partir de julgados que reconhecem que a violação à privacidade e o vazamento de dados geram dano moral presumido, dispensando a prova de efetivo prejuízo.
O precedente mais recente e paradigmático é o Recurso Especial nº 2.201.694/SP, relatado pela Ministra Nancy Andrighi, que firmou a responsabilidade civil de gestores de bancos de dados em caso de compartilhamento indevido de informações.
2. A decisão do STJ no REsp nº 2.201.694/SP e a consolidação do dano moral presumido
No REsp nº 2.201.694/SP, a 3ª Turma do STJ reconheceu que o compartilhamento de dados sem base legal enseja a reparação por dano moral presumido, bastando a comprovação do ato ilícito.
Trata-se de avanço em relação a entendimentos anteriores que, em hipóteses de meros vazamentos acidentais, ainda exigiam prova do abalo.
A Corte sinalizou que a violação da privacidade, em si, já compromete a esfera de dignidade do titular dos dados.
A decisão assume relevo ainda maior quando se trata de dados sensíveis, cujo tratamento irregular potencializa riscos de discriminação, exclusão e fraudes.
3. A tutela dos dados sensíveis na LGPD e a jurisprudência recente
A LGPD, em seu art. 5º, II, define como sensíveis os dados relativos à origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, saúde, vida sexual, dados genéticos e biométricos. O art. 11 estabelece requisitos mais rigorosos para o seu tratamento, exigindo, em regra, consentimento específico e destacado do titular.
A jurisprudência vem aplicando tais disposições de maneira progressivamente rigorosa, consolidando a ideia de que o vazamento de dados sensíveis, por si só, caracteriza dano moral e enseja responsabilidade objetiva.
3.1. Vazamento de dados e fraude bancária
Em precedente marcante, a 3ª Turma do STJ reconheceu que o vazamento prévio de dados pessoais, que possibilitou a ocorrência de fraude bancária, configurou dano moral indenizável. A Corte destacou que:
“Embora a fraude bancária, por si só, não configure o dano moral indenizável, quando o ilícito estiver associado ao prévio vazamento de dados pessoais – que possibilitaram aos falsários o conhecimento de informações privilegiadas sobre o titular da conta –, caracteriza-se o dano extrapatrimonial, com o consequente dever de compensá-lo. A configuração do dano moral decorre do evidente sentimento de insegurança experimentado pela parte ao perceber que seus dados foram disponibilizados indevidamente para terceiros.” (STJ – REsp nº 2.187.854/SP, Rel. Min. Nancy Andrighi, 3ª Turma, j. 06/05/2025, DJe 13/05/2025).
3.2. Dados sensíveis em contratos de seguro
O STJ também enfrentou a questão em contratos de seguro de vida, nos quais o vazamento de dados sensíveis do segurado foi considerado suficiente para caracterizar a responsabilidade objetiva da seguradora e o dano moral presumido. Conforme trecho da ementa:
“O vazamento de dados pessoais sensíveis fornecidos para a contratação de seguro de vida, por si só, submete o consumidor a riscos em diversos aspectos de sua vida, como em sua honra, imagem, intimidade, patrimônio, integridade física e segurança pessoal. (...) Em seguro de vida, na hipótese de vazamento de dados sensíveis do segurado, verifica-se a responsabilização objetiva da seguradora e a caracterização de dano moral presumido.” (STJ – REsp nº 2.121.904/SP, Rel. Min. Nancy Andrighi, 3ª Turma, j. 11/02/2025, DJe 17/02/2025).
3.3. Golpes eletrônicos e fortuito interno nos serviços bancários
No âmbito dos Tribunais estaduais, tem prevalecido a responsabilização objetiva de instituições financeiras em casos de golpes decorrentes de vazamento de dados sensíveis. O TJSP, por exemplo, em decisão relativa ao “golpe da falsa central telefônica”, afirmou:
“Fraude bancária (‘golpe da falsa central telefônica’). Responsabilidade objetiva da instituição financeira. Fortuito interno. Falha na prestação do serviço caracterizada pela ausência de medidas eficazes de segurança e falta de bloqueio da transação suspeita. Vazamento de dados sensíveis. (...) Dano moral configurado in re ipsa. Quantum indenizatório de R$ 5.000,00 fixado com base nos critérios de razoabilidade e proporcionalidade.”(TJSP – Recurso Inominado Cível nº 1000355-17.2024.8.26.0595, Rel. Juíza Claudia Marina Maimone Spagnuolo, 7ª Turma Recursal Cível, j. 03/06/2025).
Em outro julgado, relativo ao “golpe do falso boleto”, o mesmo Tribunal decidiu:
“Apelação – Direito do Consumidor – Contrato de financiamento de veículo – Golpe do falso boleto. Responsabilidade objetiva do fornecedor. Vazamento de dados sensíveis do contrato. Fortuito interno caracterizado. (...) Apesar de o consumidor não ter adotado todas as cautelas possíveis, é certo que houve falha no sistema de segurança do banco, que emitiu o boleto e deixou vazar informações sensíveis do contrato, utilizadas no golpe. Dano moral configurado. Indenização mantida.” (TJSP – Apelação Cível nº 1002831-70.2023.8.26.0269, Rel. Des. Alexandre Coelho, Núcleo de Justiça 4.0 – Turma I (Direito Privado 2), j. 26/11/2024).
4. O papel do compliance em proteção de dados como exigência de governança
O conjunto desses precedentes evidencia um movimento claro: a jurisprudência brasileira está consolidando um regime de responsabilidade civil mais rigoroso em matéria de proteção de dados, em linha com o que a LGPD estabelece.
Nesse cenário, as empresas devem adotar programas efetivos de compliance em proteção de dados, sob pena de suportar não apenas sanções da ANPD, mas também condenações judiciais de natureza civil.
Um programa de compliance deve contemplar:
mapeamento e classificação de dados, com atenção especial aos sensíveis;
gestão do consentimento dos titulares e controles internos de segurança;
treinamento de colaboradores;
auditorias regulares e mecanismos de reporte;
planos de resposta a incidentes, com comunicação imediata à ANPD e aos titulares, conforme exige o art. 48 da LGPD.
A ausência dessas práticas já não se traduz apenas em risco de imagem: a jurisprudência indica que as falhas no compliance em dados tendem a ensejar presunção de dano e responsabilidade objetiva.
4.1. Governança corporativa e accountability
A proteção de dados deve ser integrada ao sistema mais amplo de governança corporativa. O princípio da accountability, previsto no art. 6º, X, da LGPD, exige que o agente de tratamento demonstre a efetividade de suas práticas.
Isso alinha a proteção de dados ao conceito de governança como “sistema pelo qual as empresas são dirigidas, monitoradas e incentivadas” (IBGC, 2015).
Assim, a falha em adotar mecanismos adequados não representa apenas descumprimento normativo, mas quebra de dever fiduciário dos administradores, sujeitando-os a responsabilização civil e até mesmo a sanções administrativas, por omissão no dever de diligência e supervisão.
4.2. Responsabilidade do controlador, operador e encarregado (DPO)
A LGPD (arts. 37 a 41) atribui funções específicas aos agentes de tratamento. O controlador deve manter registros das operações de tratamento e assegurar que haja base legal para cada atividade; o operador deve observar rigorosamente as instruções do controlador; e o encarregado (DPO) funciona como elo entre empresa, titulares e a ANPD.
A jurisprudência que reconhece o dano moral presumido reforça a necessidade de atuação concreta e contínua desses agentes: relatórios de impacto, protocolos de resposta a incidentes e monitoramento permanente.
A inércia ou a atuação meramente formal do encarregado pode ensejar não só responsabilização da empresa, mas também a imputação de responsabilidade individual, à luz do art. 42 da LGPD combinado com o art. 932, III, do Código Civil.
5. Conclusão
A evolução jurisprudencial recente do Superior Tribunal de Justiça, em especial no REsp nº 2.201.694/SP, confirma a consolidação de um novo paradigma no Direito brasileiro: a violação da privacidade e o vazamento de dados pessoais — sobretudo os classificados como sensíveis pela LGPD — configuram, por si só, dano moral presumido, independentemente da comprovação de prejuízo material concreto. Tal orientação rompe com a tradição de exigir demonstração do abalo e fortalece a tutela da autodeterminação informativa como direito fundamental.
Os precedentes analisados revelam que tanto o STJ quanto os Tribunais estaduais vêm reconhecendo a responsabilidade civil objetiva de instituições financeiras, seguradoras e demais fornecedores de serviços quando o ilícito decorre de falhas na proteção de dados.
A noção de fortuito interno tem sido aplicada de maneira consistente, afastando a tentativa de excludente de responsabilidade por parte das empresas e reforçando a necessidade de segurança robusta nas operações digitais.
Nesse contexto, a implementação de programas de compliance em proteção de dados não pode mais ser vista como mera formalidade ou exigência regulatória, mas sim como elemento estruturante da governança corporativa e do dever fiduciário dos administradores.
O princípio da accountability, consagrado na LGPD, exige demonstração concreta de diligência, sob pena de responsabilização não apenas da pessoa jurídica, mas também de seus agentes internos — controladores, operadores e encarregados (DPO).
O cenário que se descortina é de progressiva judicialização de incidentes de vazamento de dados, em que a ausência de medidas de governança e de compliance poderá ensejar condenações expressivas, com impactos jurídicos, financeiros e reputacionais de difícil reversão.
Assim, a conjugação entre jurisprudência, legislação e práticas corporativas aponta para uma diretriz inequívoca: a proteção de dados deve ser incorporada ao núcleo da estratégia empresarial, sob pena de se converter em um dos principais passivos do século XXI.
Referências
BRASIL. Constituição da República Federativa do Brasil de 1988. Disponível em: http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm. Acesso em: 9 set. 2025.
BRASIL. Lei nº 10.406, de 10 de janeiro de 2002. Institui o Código Civil. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/2002/l10406.htm. Acesso em: 9 set. 2025.
BRASIL. Lei nº 8.078, de 11 de setembro de 1990. Dispõe sobre a proteção do consumidor e dá outras providências (Código de Defesa do Consumidor). Disponível em: http://www.planalto.gov.br/ccivil_03/leis/l8078.htm. Acesso em: 9 set. 2025.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 9 set. 2025.
BRASIL. Superior Tribunal de Justiça. Recurso Especial nº 2.201.694/SP. Relatora: Ministra Nancy Andrighi. 3ª Turma. Julgado em 06 set. 2025. Disponível em: https://www.conjur.com.br/2025-set-06/compartilhar-informacoes-sensiveis-em-banco-de-dados-gera-dano-moral-presumido-diz-stj/. Acesso em: 9 set. 2025.
BRASIL. Superior Tribunal de Justiça. Recurso Especial nº 2.187.854/SP. Relatora: Ministra Nancy Andrighi. 3ª Turma. Julgado em 06 maio 2025. DJe 13 maio 2025.
BRASIL. Superior Tribunal de Justiça. Recurso Especial nº 2.121.904/SP. Relatora: Ministra Nancy Andrighi. 3ª Turma. Julgado em 11 fev. 2025. DJe 17 fev. 2025.
SÃO PAULO (Estado). Tribunal de Justiça. Recurso Inominado Cível nº 1000355-17.2024.8.26.0595, Serra Negra. Relatora: Juíza Claudia Marina Maimone Spagnuolo. 7ª Turma Recursal Cível. Julgado em 03 jun. 2025.
SÃO PAULO (Estado). Tribunal de Justiça. Apelação Cível nº 1002831-70.2023.8.26.0269, Itapetininga. Relator: Des. Alexandre Coelho. Núcleo de Justiça 4.0 em Segundo Grau – Turma I (Direito Privado 2). Julgado em 26 nov. 2024.
INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA (IBGC). Código das melhores práticas de governança corporativa. 5. ed. São Paulo: IBGC, 2015.
