Autora: Kamila Pereira da Silva Olmedo
A entrada em vigor da Lei nº 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD) – inaugurou um novo paradigma normativo no tratamento de dados pessoais no Brasil, atribuindo deveres específicos aos agentes de tratamento e reconhecendo direitos amplos aos titulares. No setor bancário e financeiro, em que o tratamento de dados é inerente à própria atividade econômica, a incidência da LGPD revelou-se particularmente sensível, dada a natureza e a relevância das informações manuseadas.
Com o aumento dos incidentes de segurança e do consequente ajuizamento de ações indenizatórias, consolidou-se relevante debate acerca da configuração do dano moral decorrente do vazamento de dados financeiros.
Discute-se, especialmente, se a simples violação ao dever de segurança é suficiente para caracterizar dano moral presumido ou se é necessária a comprovação concreta do prejuízo sofrido pelo titular.
A resposta a essa indagação possui impactos diretos na conformação da responsabilidade civil das instituições financeiras e na segurança jurídica do sistema.
A LGPD estabelece princípios gerais aplicáveis ao tratamento de dados pessoais, como a finalidade, a adequação, a necessidade e a segurança, impondo aos controladores e operadores o dever de adotar medidas técnicas e administrativas aptas a proteger os dados contra acessos não autorizados e situações acidentais ou ilícitas.
No âmbito das instituições financeiras, o tratamento de dados abrange desde informações cadastrais até dados contratuais e, em determinadas hipóteses, dados sensíveis. Todavia, a própria LGPD reconhece que nem todos os dados possuem o mesmo grau de proteção jurídica, razão pela qual institui distinção expressa entre dados sensíveis e dados pessoais comuns. Essa diferenciação é essencial para a análise da responsabilidade civil, especialmente quanto à configuração do dano moral.
A distinção prevista no artigo 5º, inciso II, da LGPD, entre dados sensíveis e dados pessoais comuns, desempenha papel central na análise da responsabilidade civil. Dados sensíveis, por envolverem aspectos íntimos da personalidade, podem justificar tratamento jurídico mais rigoroso e, em determinadas situações, uma presunção mais intensa de dano.
Por outro lado, dados meramente cadastrais ou identificadores, amplamente utilizados no tráfego econômico, não acarretam, por si sós, violação direta à dignidade do titular. A jurisprudência do STJ tem reconhecido que a ausência de conteúdo íntimo ou discriminatório desses dados impede a configuração automática do dano moral.
O Superior Tribunal de Justiça, no julgamento do Agravo em Recurso Especial nº 2.130.619/SP, firmou entendimento relevante ao afastar a presunção automática de dano moral em casos de vazamento de dados pessoais não sensíveis.
Na oportunidade, a Corte assentou que o simples vazamento de dados comuns, ainda que indesejável e caracterizador de falha no dever de segurança, não possui aptidão suficiente, por si só, para gerar dano moral indenizável.
Segundo o entendimento consolidado, o dano moral não pode ser confundido com o mero descumprimento normativo ou com a exposição abstrata a riscos. Exige-se a demonstração de consequências concretas que ultrapassem o campo dos meros dissabores, sob pena de esvaziamento dos critérios tradicionais da responsabilidade civil.
Afastada a presunção de dano, incumbe ao titular dos dados o ônus de comprovar que o vazamento resultou em efetivo prejuízo, seja de ordem patrimonial, seja de ordem extrapatrimonial. A prova deve evidenciar a ocorrência de fraude, uso indevido das informações, abalo psicológico relevante ou qualquer outra consequência concreta diretamente relacionada ao incidente de segurança.
Tal orientação está em consonância com os princípios gerais do direito civil e com a função compensatória do dano moral, que não se presta à punição automática do agente de tratamento, mas à reparação de lesões efetivamente sofridas.
A doutrina especializada tem corroborado a orientação jurisprudencial no sentido de que a ampliação indiscriminada do dano moral em matéria de proteção de dados pode conduzir à banalização do instituto e ao comprometimento da segurança jurídica. Estudos recentes destacam que a responsabilização civil deve estar ancorada na demonstração concreta do dano e do nexo causal, especialmente em setores regulados e de alta complexidade, como o bancário.
Sob essa perspectiva, a exigência de prova efetiva do prejuízo revela-se compatível com modelos comparados de proteção de dados e com a função sistemática da responsabilidade civil no ordenamento jurídico brasileiro.
A análise da LGPD, da jurisprudência do Superior Tribunal de Justiça e da doutrina contemporânea permite concluir que o dano moral decorrente do vazamento de dados financeiros não é presumido, sobretudo quando envoltos apenas dados pessoais não sensíveis. A responsabilização civil exige a demonstração concreta do prejuízo sofrido pelo titular, bem como do nexo causal entre o incidente de segurança e o dano alegado.
Esse entendimento contribui para a racionalização do contencioso em matéria de proteção de dados, preservando o equilíbrio entre a tutela dos direitos dos titulares e a segurança jurídica necessária ao funcionamento das instituições financeiras.
Referências
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais.
SUPERIOR TRIBUNAL DE JUSTIÇA. Agravo em Recurso Especial nº 2.130.619/SP, Rel. Min. Francisco Falcão, Segunda Turma, julgado em 07 mar. 2023.
NATIVIDADE JURÍDICA. O dano moral pelo vazamento de dados pessoais não é presumido.
PINHEIRO, Alexandre Magalhães. A responsabilidade civil por incidentes de segurança na LGPD. Brasília: IDP, 2025.
