Megavazamentos, LGPD e a virada do STJ sobre o dano moral in re ipsa
Resumo:
O artigo examina a responsabilidade civil por incidentes de segurança de dados pessoais à luz da LGPD e da evolução jurisprudencial do Superior Tribunal de Justiça, que distingue o “mero vazamento” da exposição qualificada em repositórios acessíveis a terceiros — hipótese em que a violação ao núcleo da privacidade pode configurar dano moral presumido (in re ipsa). Tomando os megavazamentos recentes como contexto empírico, propõe-se uma gramática probatória centrada na qualificação do estado de exposição (tempo, alcance, combinabilidade, indexação, circulação) e na diligência demonstrável do agente de tratamento. Sustenta-se que compliance de dados efetivo — mensurável por desempenho e evidenciado por logs íntegros, gestão de vulnerabilidades, autenticação forte, governança de terceiros e resposta a incidentes ensaiada — reduz assimetrias, informa a imputação e impacta a quantificação. Convergem, assim, tutela da personalidade, segurança jurídica e incentivos à melhoria contínua, com lugar para tutelas não patrimoniais voltadas à cessação, correção e não repetição.
Palavras-chave: LGPD; megavazamentos; dano moral; in re ipsa; STJ; exposição qualificada; responsabilidade civil; compliance de dados; tutela inibitória.
Abstract
This article analyzes civil liability for personal data breaches under Brazil’s LGPD and the Superior Court of Justice (STJ)’s recent approach, which distinguishes mere “leaks” from qualified exposure in repositories accessible to third parties—situations in which the infringement of privacy may ground presumed moral damages (in re ipsa). Using recent mega-breaches as empirical context, it advances an evidence framework centered on qualifying the exposure state (duration, reach, combinability, indexing, circulation) and on the controller’s demonstrable diligence. It argues that effective data compliance—measurable by performance and evidenced by reliable audit trails, vulnerability management, strong authentication, third-party governance, and rehearsed incident response—reduces information asymmetries, informs attribution, and shapes damages. The result is a convergence of personality rights, legal certainty, and incentives for continuous improvement, with room for non-pecuniary remedies targeting cessation, correction, and non-recurrence.
Keywords: LGPD; mega-data breaches; moral damages; in re ipsa; STJ; qualified exposure; civil liability; data compliance; injunctive relief.
Sumário: 1. Introdução — 2. Megavazamentos como contexto empírico — 3. Deveres de segurança e de comunicação (LGPD) — 4. A trajetória do STJ: do dano provado ao dano presumido — 5. Imputação, nexo e excludentes — 6. Quantificação e tutelas — 7. Conclusão
1. Introdução
Este artigo parte de um experimento mental: suponha-se um incidente em que nenhuma fraude se concretize — não há compras indevidas, negativações ou golpes. Ainda assim, por meses, um repositório com credenciais e metadados de milhões de titulares permanece acessível a terceiros, indexado e replicado em múltiplos ambientes. A cada consulta, o indivíduo converte-se em objeto de inferência: probabilidade de reuso de senha, redes de contato, padrões de login.
O que a dogmática chama de in re ipsa não é, nesse quadro, um atalho probatório, mas a designação jurídica de uma experiência social: viver sob exposição não consentida. Se a responsabilidade civil não capta essa experiência, torna-se anacrônica diante da economia informacional contemporânea.
O primeiro “fora da caixa”, porém, é institucional: compliance de dados não é um apêndice documental nem um biombo defensivo; é arquitetura organizacional verificável.
Programas que existem apenas em políticas genéricas — sem inventário de dados atualizado, sem avaliação de riscos por processo, sem logs íntegros, sem ensaios de resposta a incidentes, sem segregação de ambientes, sem governança contratual da cadeia de operadores e suboperadores — não reduzem exposição, apenas produzem aparência de conformidade e, por isso, agravam a imputação quando o evento ocorre.
Em termos econômicos, o custo do “paper compliance” é regressivo: transfere risco para titulares e para o sistema de justiça, enquanto gera falsa sensação de segurança na direção da empresa.
Daí o segundo “fora da caixa”: efetividade é mensurável. O que interessa ao Direito — e que deve ocupar o centro do debate probatório — não é o número de políticas aprovadas, mas a capacidade operacional de prevenir, detectar, conter e remediar.
Métricas como tempo médio de detecção e de resposta, taxa de correção de vulnerabilidades dentro do prazo de risco, cobertura de autenticação forte, qualidade e completude das trilhas de auditoria, evidências de exercícios de crise, relatórios de lições aprendidas e minutas de comitês de risco com decisões efetivamente implementadas valem mais, para fins de diligência, do que manuais prolixos jamais testados.
Em organizações intensivas em terceiros, due diligence de operadores, cláusulas técnicas verificáveis, direito de auditoria e provas de execução contratual são tão centrais quanto firewalls ou criptografia.
Esse enquadramento dialoga diretamente com a arquitetura normativa da LGPD. O art. 46 institui deveres objetivos de segurança proporcionais ao risco; o art. 48 exige comunicação tempestiva de incidentes; o art. 42 consagra a reparabilidade de danos patrimoniais e morais decorrentes de tratamento em desconformidade.
Lidos à luz de um programa de compliance operacionalizado, tais dispositivos deslocam o debate da retórica para a evidência: registros de acesso e de alterações, documentação de criptografia e de gestão de chaves, segmentação de ambientes, gestão de vulnerabilidades, avaliações de impacto, governança de ciclo de vida de dados e planos de remediação auditáveis. A técnica do ônus dinâmico da prova deixa de ser exceção para tornar-se instrumento de accountability: quem controla o processo deve produzir a prova de sua própria diligência.
Nesse contexto, a evolução jurisprudencial do Superior Tribunal de Justiça evita dois abismos: a banalização do dano moral, por um lado, e a frustração da tutela da personalidade em cenários de exposição massiva, por outro. O vetor hoje dominante distingue o “mero vazamento” — que reclama demonstração de consequências — das hipóteses em que se comprova a exposição qualificada do acervo em repositórios acessíveis a terceiros, caso em que se reconhece a aptidão lesiva in re ipsa.
O ponto de conexão com o compliance efetivo é inequívoco: quanto mais demonstrável a maturidade operacional — com resposta pronta, comunicação completa e medidas de mitigação oferecidas aos titulares —, menor o espaço para a presunção; quanto mais opaca a organização e mais qualificada a exposição, mais justificada a tutela presumida.
Por fim, o “fora da caixa” também é proporcionalidade aplicada. Empresas de menor porte não estão dispensadas da diligência; estão convocadas a provas proporcionais ao seu perfil de risco, com controles simples, porém eficazes e auditáveis. Seguros cibernéticos, por sua vez, não substituem compliance: repartem risco financeiro, mas não provam diligência técnica.
É sob essas premissas — experiência social da exposição, efetividade mensurável do compliance e incentivos regulatórios bem desenhados — que, nas seções seguintes, se examinam os deveres da LGPD (segurança e comunicação), a trajetória do STJ, os critérios de imputação, nexo e excludentes e, por fim, os parâmetros de quantificação e as tutelas inibitórias e obrigacionais aplicáveis.
2. Megavazamentos como contexto empírico
Os megavazamentos, especialmente aqueles que combinam credenciais, metadados e identificadores correlacionáveis, operam como um “teste de estresse” para a dogmática de responsabilidade civil em proteção de dados. A sua magnitude não é meramente quantitativa: ela altera qualitativamente o ecossistema de risco, pois habilita vetores de ataque de baixo custo e alta escala, com uso de automação para credential stuffing, password spraying e smishing segmentado.
A persistência, por sua vez, robustece a ideia de lesão contínua: uma vez disseminado, o acervo comprometido tende a permanecer replicado em múltiplos repositórios, inclusive na borda obscura da internet, de modo que a janela de exposição se prolonga mesmo após correções no ambiente de origem.
A combinabilidade revela um terceiro traço característico: bases heterogêneas, quando agregadas, elevam a densidade informacional e a previsibilidade comportamental, convertendo dados apenas “funcionais” em insumo de perfilização. Nesse cenário, a distinção entre “mero vazamento” e “exposição qualificada” não é retórica, mas descritiva: qualificar a exposição (tempo, alcance, indexação, repositórios de circulação, contexto técnico) é o que permite aferir se a ofensa à privacidade se autonomiza como lesão in re ipsa.
Do ponto de vista institucional, megavazamentos expõem defeitos de organização em cadeias de tratamento complexas. Organizações que operam com múltiplos operadores e suboperadores, em topologias distribuídas, precisam comprovar que a sua arquitetura de segurança é proporcional ao risco agregado — inventário vivo de dados, segmentação de ambientes, segregação de funções, controle de acessos baseado em papéis, registro íntegro de eventos, gestão de vulnerabilidades com SLA definido e criptografia adequada às classes de informação.
A ausência dessa prova não é um detalhe probatório; é sinal de inconformidade estrutural. Em termos econômicos, megavazamentos deslocam parte do custo da negligência para o sistema (consumidores, judiciário, regulador), justificando a ênfase normativa em accountability e resposta a incidentes tempestiva e completa.
Por fim, megavazamentos reordenam o debate sobre causalidade. Em vez de uma busca linear por um nexo único, impõe-se a leitura de causalidade por composição: a ofensa decorre de um estado de acessibilidade indevida, e não apenas de um golpe específico que venha a ocorrer.
A prova, portanto, concentra-se em demonstrar como o acervo se tornou acessível a terceiros, por quanto tempo ficou disponível, em quais ambientes circulou e quais controles estavam ou não implementados. Essa gramática de prova é compatível com a técnica do ônus dinâmico e com a assimetria informacional própria do tema, contribuindo para decisões mais coerentes e menos vulneráveis à retórica de “acidente inevitável”.
3. Deveres de segurança e de comunicação (LGPD)
O art. 46 da LGPD positivou um dever objetivo de segurança que não se confunde com listas estáticas de controles; trata-se de um padrão móvel, calibrado por risco, contexto e estado da técnica.
A sua efetividade só se demonstra por evidências operacionais: inventários e mapas de dados atualizados; avaliações de impacto para tratamentos de risco elevado; políticas de retenção e descarte com aplicação monitorada; criptografia em repouso e em trânsito com gestão de chaves auditável; hardening de sistemas; segmentação de redes; autenticação forte em ativos críticos; e logging com trilhas de auditoria íntegras.
A isso se somam práticas de governança: comitês de risco que se reúnem, deliberam e geram implementações rastreáveis; runbooks de incidentes testados em exercícios de mesa e simulações; métricas de desempenho (tempo médio de detecção e resposta, taxas de correção de patches, cobertura de MFA, índice de falhas repetidas). Sem essas provas, o discurso de conformidade perde densidade.
O art. 48 agrega a dimensão procedimental dos incidentes. Comunicação tempestiva e completa não é mera formalidade: é mecanismo de proteção dos titulares e de supervisão pelo regulador. O conteúdo mínimo — natureza e categorias dos dados afetados, número de titulares, medidas técnicas e administrativas adotadas, riscos envolvidos, planos de remediação — integra o conjunto probatório.
A experiência comparada e os regulamentos da autoridade brasileira reforçam que atrasos injustificados, opacidade informacional e relatórios inconclusivos agravam a imputação e repercutem na dosimetria das sanções e na quantificação civil.
Por simetria, organizações que comunicam com precisão, preservam evidências, contêm o incidente e ofertam medidas mitigatórias (p.ex., MFA, monitoramento de credenciais/identidade) demonstram diligência e reduzem assimetria.
No eixo da responsabilidade civil (art. 42), o que se exige é a demonstração de dano decorrente de tratamento em desconformidade — e, como vem reconhecendo a jurisprudência, a própria disponibilização indevida em ambientes acessíveis a terceiros, quando comprovada, é bastante para caracterizar a violação da privacidade como lesão autônoma.
A distinção entre controlador e operador estrutura a análise de imputação: quem decide finalidades e meios assume deveres mais intensos de governança e prova; quem executa operações responde pela conformidade técnico-operacional, sem prejuízo de corresponsabilidade onde houver convergência decisória. A cadeia de suboperadores exige contratos com cláusulas técnicas verificáveis, direito de auditoria e evidências de execução — compliance “de papel” não prova diligência real.
4. A trajetória do STJ: do dano provado ao dano presumido
A jurisprudência brasileira vem construindo, com maior precisão, uma distinção que evita os extremos da irresponsabilidade e da banalização do dano moral. Num primeiro momento, consolidou-se o entendimento de que o “mero vazamento” de dados não sensíveis não enseja, por si, indenização por dano moral, exigindo demonstração de prejuízos concretos. Esse vetor respondia à preocupação legítima com a proliferação de litígios baseados em alegações genéricas, sem lastro técnico mínimo.
No momento seguinte, amadureceu a compreensão de que, demonstrada a disponibilização/compartilhamento indevido de dados pessoais em ambientes acessíveis a terceiros — por exposição pública, bases de consulta, indexação ou comercialização —, a ofensa ao núcleo da privacidade se consuma independentemente da ocorrência de golpes subsequentes, justificando o reconhecimento do dano moral in re ipsa.
A chave hermenêutica é deslocar a prova do “efeito final” para a qualificação do estado de exposição. Exige-se robustez mínima: evidências de que o acervo esteve, de fato, acessível a terceiros; de que a arquitetura de segurança era insuficiente à luz do risco; de que houve falhas relevantes de governança ou resposta; de que a circulação se deu em repositórios que viabilizam reidentificação ou ataques automatizados.
Essa interpretação não abdica do nexo causal nem dos excludentes, mas impede que a exigência de prova impossível — p.ex., vincular uma fraude específica a um vazamento específico — inviabilize a tutela de direitos da personalidade em cenários de exposição massiva.
A sensibilidade da informação continua relevante para a quantificação e para o rigor das tutelas, mas deixa de ser o único critério. Dados “comuns”, quando combinados e persistentes, podem produzir riscos graves, especialmente em contextos de autenticação por senha e recuperação de conta baseada em knowledge factors.
O papel do compliance efetivo surge, então, como elemento integrador: organizações que demonstram maturidade — controles proporcionais, registros íntegros, resposta testada e comunicação completa — reduzem a opacidade que alimenta presunções; aquelas que apresentam lacunas e inconsistências tornam mais crível a narrativa de “defeito de organização”, ampliando o espaço legítimo para a presunção de dano moral.
5. Imputação, nexo e excludentes
A aferição de responsabilidade civil em incidentes de dados opera sobre três planos. No plano fático, é preciso reconstituir o ciclo de vida dos dados: coleta, base legal, armazenamento, controles de acesso, compartilhamentos, retenção e descarte.
Essa reconstrução exige documentação contemporânea e tecnicamente auditável: trilhas de auditoria, logs assinados, inventários de ativos e de dados, diagramas de fluxo, políticas e evidências de execução, versões e patches aplicados, relatórios de testes de intrusão e de varredura, atas de comitês de risco, correspondências com operadores/suboperadores.
No plano jurídico, identifica-se quem decide finalidades e meios (controlador) e quem executa operações (operador), aferindo-se eventuais regimes de controladoria conjunta e mecanismos de supervisão contratual. No plano causal, distingue-se entre eventos que integram o risco da atividade — fortuito interno, não exonerativo — e aqueles que, por impossibilidade objetiva de prevenção e mitigação à luz do estado da técnica e do perfil de risco, podem ser qualificados como fortuito externo.
A técnica do ônus dinâmico da prova responde à assimetria informacional. A exigência de prova de diligência — e não apenas de ausência de dolo — é coerente com o regime de accountability da LGPD.
Organizações incapazes de produzir documentação íntegra tendem a ver sua narrativa de inevitabilidade fragilizada, ao passo que um acervo robusto e verificável densifica a alegação de diligência e pode reduzir o espaço para presunções.
A isso se soma o dever de mitigação bilateral: a inação do agente após o incidente — atrasos, omissões, resistência injustificada a ordens de fazer — agrava a responsabilidade; condutas do titular que frustrem medidas mitigatórias eficazes podem, em hipóteses estritas e comprovadas, caracterizar culpa concorrente com reflexo na quantificação.
Importa notar que a causalidade, nesses casos, raramente será uma linha reta entre o vazamento e um prejuízo específico. O ponto nodal é a qualificação da exposição: demonstrada a disponibilização indevida em repositórios acessíveis, a violação se autonomiza como lesão à privacidade, ainda que sem prova de fraude individual.
Isso não dispensa a análise de culpa, nexo e excludentes; apenas realinha o foco probatório para o que é epistemicamente acessível às partes, em especial ao agente de tratamento. Em cadeias com múltiplos suboperadores, a due diligence contratual e a supervisão efetiva deixam de ser “boas práticas” para se tornarem critérios de imputação e de regressos.
6. Quantificação e tutelas
A quantificação do dano moral em incidentes de dados deve evitar tanto a tarifação automática quanto a oscilação arbitrária.
O critério é a proporcionalidade, informada por parâmetros verificáveis: natureza e combinabilidade das informações expostas; sensibilidade do dado; tempo e alcance da disponibilidade; densidade dos repositórios de circulação; número de titulares afetados; posição de confiança do agente; reincidência ou falhas repetidas; maturidade do programa de compliance; e, sobretudo, conduta pós-incidente — celeridade, completude e transparência das comunicações, preservação de evidências, cooperação com autoridades e oferta de medidas mitigatórias materialmente eficazes (MFA, troca assistida de credenciais, monitoramento de identidade por período compatível com o risco).
Em hipóteses de exposição qualificada, a presunção do abalo dispensa a prova de sofrimento individual, mas não elimina a avaliação contextual do quantum. Em ações coletivas, a homogeneidade do dano informacional recomenda técnicas de liquidação que preservem coerência e permitam, quando cabível, compensações individuais por peculiaridades.
A tutela não patrimonial é, aqui, decisiva para dar efetividade ao sistema. Ordens de fazer e tutelas inibitórias devem atacar a causa e os efeitos: cessar o compartilhamento indevido; promover remoção razoável de dados em repositórios acessíveis; desindexar conteúdos quando juridicamente cabível; corrigir vulnerabilidades; elevar a maturidade de autenticação; revisar políticas de retenção e descarte; e implementar planos de remediação auditáveis, com marcos, responsáveis e métricas de verificação.
A fixação de astreintes não converte o processo em mecanismo punitivo, mas garante a eficácia das ordens e a não repetição. Medidas de urgência, por sua vez, podem determinar a preservação imediata de evidências técnicas (imagens forenses, logs de segurança, snapshots de configuração), a interrupção da exposição e comunicações ampliadas aos titulares, com proteção do segredo de justiça quando o conteúdo técnico puder ampliar riscos ou expor segredos industriais.
A coordenação entre sanções administrativas e reparação civil completa o quadro. Multas e medidas corretivas impostas pela autoridade não substituem a indenização, mas informam a dosimetria do dano moral e a modelagem das obrigações de fazer, evitando duplicidades punitivas e convergindo para a não repetição.
O objetivo sistêmico é alinhar incentivos: recompensar a diligência demonstrável e desincentivar a opacidade e o paper compliance. Assim, a resposta jurisdicional deixa de ser apenas retrospectiva (reparar) para também ser prospectiva (prevenir e reformar), elevando, de forma estrutural, o patamar de proteção dos titulares e a resiliência organizacional frente a novos incidentes.
7. Conclusão
Os megavazamentos confirmam que a proteção de dados deixou de ser um problema meramente tecnológico para se tornar questão de responsabilidade civil orientada a riscos.
A LGPD oferece os instrumentos normativos — dever objetivo de segurança, comunicação de incidentes e reparabilidade — e a jurisprudência recente do STJ agrega a chave interpretativa adequada ao distinguir entre “mero vazamento”, que reclama demonstração de consequências, e exposição qualificada, em que a disponibilização/compartilhamento indevido configura, por si, lesão ao núcleo da privacidade e autoriza o reconhecimento do dano moral in re ipsa.
Não se trata de automatismo indenizatório, mas de uma gramática de prova que desloca o foco para a qualificação do estado de exposição e para a diligência demonstrável do agente de tratamento.
A implicação prática é inequívoca: compliance efetivo deixa de ser retórica e passa a constituir elemento probatório central. Políticas de papel não reduzem risco nem sustentam defesas; o que conta é a capacidade operacional de prevenir, detectar, conter e remediar, documentada por inventários atualizados, trilhas de auditoria íntegras, gestão de vulnerabilidades com prazos, autenticação forte, governança contratual da cadeia de operadores e resposta a incidentes ensaiada e tempestiva.
Onde há arquitetura verificável e cooperação transparente, reduz-se o espaço legítimo para presunções; onde há opacidade, lacunas e defeitos de organização, justifica-se a tutela presumida, inclusive com medidas não patrimoniais de cessação, correção e não repetição.
No plano da quantificação, a orientação é de proporcionalidade e coerência sistêmica: o quantum deve refletir natureza e extensão da exposição, tempo e alcance de disponibilidade, sensibilidade e combinabilidade dos dados, número de titulares e conduta pós-incidente, sem tarifações automáticas.
A coordenação entre sanções administrativas e obrigações civis deve evitar duplicidades punitivas, mas pode — e deve — informar a dosimetria e a modelagem de obrigações de fazer, mediante planos de remediação auditáveis e supervisão adequada.
Em termos propositivos, a convergência entre LGPD, ANPD e STJ aponta um roteiro claro: programas de governança de dados mensuráveis por desempenho, instrução probatória lastreada em evidências técnicas e tutela jurisdicional combinando reparação e prevenção. Esse arranjo não busca infalibilidade, mas responsabilização funcional.
Em síntese, o Direito brasileiro avança para um equilíbrio virtuoso: protege a pessoa quando a exposição é qualificada e incentiva maturidade organizacional quando a diligência é comprovada — condição necessária para restaurar confiança e reduzir, estruturalmente, a incidência e o impacto de novos vazamentos.
Referências:
AGÊNCIA NACIONAL DE PROTEÇÃO DE DADOS (Brasil). Resolução CD/ANPD nº 15, de 24 de abril de 2024. Aprova o Regulamento de Comunicação de Incidente de Segurança (Resolução nº 15/2024). Brasília, DF, 26 abr. 2024. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-aprova-o-regulamento-de-comunicacao-de-incidente-de-seguranca. Acesso em: 6 nov. 2025.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais. Brasília, DF: Presidência da República, 2018. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 6 nov. 2025.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Publicação original. Brasília, DF: Câmara dos Deputados, 2018. Disponível em: https://www2.camara.leg.br/legin/fed/lei/2018/lei-13709-14-agosto-2018-787077-publicacaooriginal-156212-pl.html. Acesso em: 6 nov. 2025.
SUPERIOR TRIBUNAL DE JUSTIÇA (Brasil). Disponibilização indevida de informações pessoais em banco de dados gera dano moral presumido. Brasília, DF, 5 set. 2025. Disponível em: https://www.stj.jus.br/sites/portalp/Paginas/Comunicacao/Noticias/2025/05092025-Disponibilizacao-indevida-de-informacoes-pessoais-em-banco-de-dados-gera-dano-moral-presumido.aspx. Acesso em: 6 nov. 2025.
SUPERIOR TRIBUNAL DE JUSTIÇA (Brasil). Titular de dados vazados deve comprovar dano efetivo ao buscar indenização, decide Segunda Turma. Brasília, DF, 17 mar. 2023. Disponível em: https://www.stj.jus.br/sites/portalp/Paginas/Comunicacao/Noticias/2023/17032023-Titular-de-dados-vazados-deve-comprovar-dano-efetivo-ao-buscar-indenizacao--decide-Segunda-Turma.aspx. Acesso em: 6 nov. 2025.
SUPERIOR TRIBUNAL DE JUSTIÇA (Brasil). Os precedentes do STJ nos primeiros quatro anos de vigência da LGPD. Brasília, DF, 27 out. 2024. Disponível em: https://www.stj.jus.br/sites/portalp/Paginas/Comunicacao/Noticias/2024/27102024-Os-precedentes-do-STJ-nos-primeiros-quatro-anos-de-vigencia-da-Lei-Geral-de-Protecao-de-Dados-Pessoais.aspx. Acesso em: 6 nov. 2025.
MORAES, Lígia. Vazamento expõe 183 milhões de senhas de e-mail; saiba se a sua está entre elas. VEJA, São Paulo, 28 out. 2025. Disponível em: https://veja.abril.com.br/tecnologia/vazamento-expoe-183-milhoes-de-senhas-de-e-mail-saiba-se-a-sua-esta-entre-elas/. Acesso em: 6 nov. 2025.
PORTAL CONTÁBEIS. Mega vazamento inclui contas vinculadas ao Gmail, Outlook e outros provedores famosos. [s.l.], 3 nov. 2025. https://www.contabeis.com.br/artigos/73673/mega-vazamento-inclui-contas-vinculadas-ao-gmail-outlook-e-outros-provedores-famosos/. Acesso em: 6 nov. 2025.
MIGALHAS. Compartilhamento de dados pessoais sem consentimento gera dano moral, decide 3ª Turma do STJ. São Paulo, 8 set. 2025. Disponível em: https://www.migalhas.com.br/quentes/439577/compartilhamento-de-dados-pessoais-sem-consentimento-gera-dano-moral. Acesso em: 6 nov. 2025.
TUDO CELULAR. Senhas do Gmail estão entre vazamento que inclui 183 milhões de contas. São Paulo, 28 out. 2025. Disponível em: https://www.tudocelular.com/seguranca/noticias/n241979/vazamento-gmail-183-milhoes-contas.html. Acesso em: 6 nov. 2025.
