REGISTRO DOI: 10.69849/revistaft/ni10202510251455
Kaio Lopes Passos Bacha
Priscilla Guimarães Cornélio
Resumo: O presente trabalho analisa a responsabilidade civil decorrente do vazamento de dados pessoais na internet, destacando os principais desafios enfrentados pelo ordenamento jurídico contemporâneo. A pesquisa aborda a legislação aplicável, especialmente a Lei Geral de Proteção de Dados (Lei nº 13.709/2018), e examina a jurisprudência recente sobre o tema, evidenciando os critérios adotados pelos tribunais na caracterização de dano e na definição da responsabilidade dos agentes envolvidos. O estudo também discute os limites da reparação civil e os mecanismos de prevenção, considerando o avanço tecnológico e o aumento da vulnerabilidade dos dados pessoais. Conclui-se que, embora a legislação tenha avançado, a efetividade da responsabilização depende da adaptação da jurisprudência às novas formas de violação de direitos digitais, sendo fundamental a conscientização de empresas e usuários sobre a proteção de dados.
Palavras-chave: Responsabilidade civil. Vazamento de dados pessoais. Proteção de dados.
Abstract: This study examines civil liability arising from the leakage of personal data on the internet, highlighting the main challenges faced by contemporary legal systems. The research addresses the applicable legislation, particularly the Brazilian General Data Protection Law (Law No. 13,709/2018), and analyzes recent case law, identifying the criteria adopted by courts in assessing damages and determining the liability of involved parties. The study also discusses the limits of civil remedies and prevention mechanisms, considering technological advancements and the growing vulnerability of personal data. It concludes that, although legislation has progressed, effective liability enforcement depends on the adaptation of case law to new forms of digital rights violations, emphasizing the importance of raising awareness among companies and users regarding data protection.
Keywords: Civil liability. Personal data breach. Data protection.
1. Introdução
A sociedade contemporânea vivencia uma transformação digital que reconfigurou as relações sociais, econômicas e pessoais. Nesse cenário, os dados pessoais emergiram como um ativo de valor inestimável, frequentemente descritos como o “novo petróleo” da economia digital. Empresas, governos e organizações de todos os portes coletam, processam e armazenam volumes massivos de informações para otimizar serviços, personalizar experiências e modelar negócios. Essa dependência intrínseca dos dados, contudo, gera uma vulnerabilidade sistêmica: o risco crescente e onipresente de incidentes de segurança que resultam no vazamento de dados pessoais.
Um vazamento de dados, conceituado como um incidente de segurança que torna informações pessoais acessíveis a terceiros não autorizados, representa uma grave violação da privacidade e da segurança dos indivíduos. As consequências para os titulares dos dados são vastas e potencialmente devastadoras, variando desde o recebimento de publicidade abusiva até a ocorrência de fraudes financeiras, roubo de identidade e extorsões. Notícias sobre mega vazamentos, expondo informações de milhões de cidadãos, tornaram-se alarmantemente comuns, evidenciando a fragilidade dos sistemas e a necessidade de uma resposta jurídica robusta.
Diante dessa realidade, a responsabilidade civil se apresenta como o principal instrumento do ordenamento jurídico para a reparação dos danos sofridos pelos titulares. A importância do tema é acentuada pela recente consolidação de um arcabouço normativo específico, com a promulgação da Lei nº 13.709/2018, a Lei Geral de Proteção de Dados Pessoais (LGPD) (Brasil, 2018). A relevância é ainda maior com a elevação da proteção de dados ao status de direito fundamental autônomo, por meio da Emenda Constitucional nº 115/2022, e pela intensa atividade dos tribunais superiores, que buscam delinear os contornos da responsabilização dos agentes de tratamento em um cenário de notória complexidade técnica e jurídica.
Nesse contexto, emerge o problema de pesquisa que orienta este trabalho: Quais são os principais desafios dogmáticos e jurisprudenciais na aplicação da responsabilidade civil aos casos de vazamento de dados pessoais na internet, especialmente no que tange à caracterização do dano e à definição da natureza da responsabilidade dos agentes de tratamento à luz do diálogo entre a LGPD, o Código de Defesa do Consumidor e o Marco Civil da Internet?
Para responder a essa questão, o trabalho foi estruturado em sete capítulos. Os dois primeiros estabelecem as bases teóricas da responsabilidade civil e constroem o microssistema jurídico de proteção de dados. O terceiro capítulo analisa a jurisprudência pátria sobre os desafios práticos da reparação. O quarto capítulo introduz a dupla via de responsabilização, investigando a atuação sancionatória da Autoridade Nacional de Proteção de Dados (ANPD) e a tutela coletiva judicial. O quinto capítulo amplia o horizonte da análise, trazendo perspectivas do direito comparado. Por fim, o sexto capítulo aborda as fronteiras da responsabilidade civil, discutindo a prevenção de danos e os desafios emergentes.
2. A Evolução da Responsabilidade Civil como Alicerce para a Tutela de Dados
A compreensão da responsabilidade civil por vazamento de dados pressupõe, primeiramente, o domínio de seus institutos fundamentais e de sua trajetória evolutiva no ordenamento jurídico brasileiro. A transição de um modelo puramente subjetivista para um sistema que acolhe a responsabilidade objetiva é crucial para entender o regime aplicado aos danos em massa, característicos da sociedade de consumo e, mais recentemente, da sociedade da informação.
2.1 A Cláusula Geral da Responsabilidade Civil: Da Centralidade da Culpa à Socialização dos Riscos
O direito brasileiro, em matéria de responsabilidade civil, passou por uma significativa transformação, abandonando a exclusividade do paradigma da culpa para incorporar a teoria do risco como fundamento para a obrigação de indenizar. Essa evolução reflete uma adaptação do direito às complexidades das relações sociais e econômicas modernas.
2.1.1 O Paradigma Subjetivista como Regra no Código Civil (Arts. 186 e 927, caput)
O Código Civil de 2002 (Brasil, 2002), embora inovador em muitos aspectos, manteve a responsabilidade civil subjetiva como regra geral. O artigo 186 do diploma legal estabelece o conceito de ato ilícito, sendo este o pilar do sistema: “Aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que exclusivamente moral, comete ato ilícito” (Brasil, 2002). Complementarmente, o *caput* do artigo 927 dispõe que “aquele que, por ato ilícito (arts. 186 e 187), causar dano a outrem, fica obrigado a repará-lo” (Brasil, 2002).
A conjugação desses dispositivos deixa claro que, para a configuração do dever de indenizar sob a regra geral, é imprescindível a demonstração de quatro elementos: a conduta (ação ou omissão), o dano, o nexo de causalidade entre a conduta e o dano, e o elemento subjetivo, qual seja, a culpa (em sentido amplo, abrangendo o dolo e a culpa *stricto sensu*) do agente (Farias, Rosenvald & Braga Netto, 2020). Este modelo, herdado do Código Napoleônico e presente no Código Civil de 1916, impõe à vítima o ônus de provar a culpa do causador do dano, o que, em muitos contextos modernos, se revela uma tarefa extremamente difícil, senão impossível.
2.1.2 A Teoria do Risco e a Cláusula Geral de Responsabilidade Objetiva (Art. 927, Parágrafo Único)
Reconhecendo a insuficiência do modelo subjetivista para tutelar adequadamente as vítimas em uma sociedade de riscos multiplicados, o legislador de 2002 positivou uma cláusula geral de responsabilidade civil objetiva. O parágrafo único do artigo 927 do Código Civil (Brasil, 2002) representa uma das mais importantes inovações do diploma, ao prever que “haverá obrigação de reparar o dano, independentemente de culpa, nos casos especificados em lei, ou quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem”.
Essa disposição legal acolhe a teoria do risco, segundo a qual aquele que exerce uma atividade que, por sua própria natureza, cria um perigo de dano a terceiros, deve arcar com a reparação dos prejuízos dela decorrentes, independentemente da demonstração de sua culpa (Tartuce, 2018). A responsabilidade se desloca do elemento subjetivo (culpa) para o elemento objetivo (o risco da atividade). Essa lógica de socialização dos riscos é fundamental, pois impõe o ônus da reparação a quem se beneficia economicamente da atividade perigosa. O tratamento de dados pessoais em larga escala, realizado por empresas de tecnologia, instituições financeiras e varejistas, enquadra-se com perfeição na hipótese de atividade de risco, pois, embora lícita e essencial para a economia digital, cria um perigo constante e inerente de vazamentos e violações à privacidade, justificando a aplicação da responsabilidade objetiva.
2.2 Os Pressupostos da Obrigação de Indenizar: Conduta, Dano e o Desafio do Nexo Causal
Independentemente de a responsabilidade ser subjetiva ou objetiva, três pressupostos são indispensáveis para a configuração do dever de indenizar: a conduta, o dano e o nexo de causalidade. A **conduta** consiste em uma ação ou omissão humana, voluntária e imputável. No contexto dos vazamentos de dados, a conduta pode se manifestar de forma comissiva (ex: compartilhamento indevido de dados) ou, mais comumente, de forma omissiva, caracterizada pela falha do agente de tratamento em adotar as medidas de segurança técnicas e administrativas adequadas para proteger os dados sob sua custódia.
O **dano** ou prejuízo é a lesão a um bem jurídico tutelado, seja ele de natureza patrimonial ou extrapatrimonial (Farias, Rosenvald & Braga Netto, 2020). Sem a comprovação do dano, não há que se falar em responsabilidade civil, pois seu objetivo primário é a reparação da vítima, e não a punição do ofensor. O dano pode ser material, como no caso de prejuízos financeiros decorrentes de fraudes viabilizadas pelo vazamento, ou moral, relacionado à violação de direitos da personalidade.
Por fim, o **nexo de causalidade** é o elo etiológico que liga a conduta do agente ao dano sofrido pela vítima. É preciso demonstrar que o dano foi uma consequência direta e imediata da conduta. Como será aprofundado no Capítulo 4, a comprovação do nexo causal representa um dos maiores desafios para as vítimas de vazamentos de dados, dada a multiplicidade de agentes que tratam suas informações e a dificuldade de rastrear a origem específica de um incidente.
2.3 A Dimensão do Dano Indenizável: Do Prejuízo Patrimonial ao Dano Moral In Re Ipsa
O ordenamento jurídico brasileiro consagra o princípio da reparação integral do dano (*restitutio in integrum*), segundo o qual a indenização deve corresponder, na medida do possível, à totalidade do prejuízo sofrido pela vítima, abrangendo tanto a dimensão material quanto a imaterial. O dano patrimonial compreende os danos emergentes (o que a vítima efetivamente perdeu) e os lucros cessantes (o que razoavelmente deixou de ganhar). No contexto de vazamentos, pode se materializar em perdas financeiras diretas, custos com a contratação de serviços para mitigar os riscos ou despesas para regularizar a situação documental.
O dano extrapatrimonial, ou dano moral, por sua vez, é a lesão a direitos da personalidade, como a honra, a imagem, a intimidade e a vida privada, tutelados como cláusula geral de proteção da dignidade da pessoa humana e expressamente previstos no artigo 5º, inciso X, da Constituição Federal (Brasil, 1988). Diferentemente do dano material, o dano moral não visa a recompor um patrimônio, mas a compensar o sofrimento, a angústia e o abalo psíquico da vítima, além de possuir uma função pedagógico-punitiva para desestimular a reiteração da conduta lesiva (Tartuce, 2018).
Nesse campo, assume especial relevância a categoria do dano moral *in re ipsa*, ou dano moral presumido. Em certas situações, a jurisprudência entende que a ocorrência do fato lesivo é, por si só, suficiente para demonstrar o abalo moral, dispensando a vítima do ônus de provar o seu sofrimento. A simples violação do direito já configura o dano. A aplicabilidade dessa categoria aos vazamentos de dados é, atualmente, o ponto mais controvertido na jurisprudência dos tribunais superiores e será o foco da análise no quarto capítulo deste trabalho.
3. O Microssistema Jurídico de Proteção de Dados e a Responsabilização dos Agentes
A tutela dos dados pessoais no Brasil não se restringe às cláusulas gerais do Código Civil. Ao contrário, consolidou-se um verdadeiro microssistema normativo, cujo ápice é o reconhecimento da proteção de dados como um direito fundamental autônomo. Este capítulo explora a construção desse arcabouço jurídico, analisando o regime de responsabilidade específico da LGPD e sua interação com o Código de Defesa do Consumidor e o Marco Civil da Internet.
3.1 A Construção do Direito Fundamental à Proteção de Dados Pessoais
A proteção de dados pessoais transcendeu o âmbito da legislação ordinária para se firmar como uma garantia fundamental, o que eleva a gravidade de sua violação e impõe ao Estado e aos particulares um dever qualificado de proteção.
3.1.1 Da Privacidade à Autodeterminação Informativa: A Influência Doutrinária e a Jurisprudência do STF (ADI 6.387)
A trajetória da proteção de dados no direito constitucional brasileiro tem suas raízes nos direitos à privacidade e à intimidade, assegurados pelo artigo 5º, inciso X, da Constituição Federal de 1988 (Brasil, 1988), e no direito ao sigilo de correspondência e de dados, previsto no inciso XII do mesmo artigo. Inicialmente, a proteção era vista como um “direito de ser deixado em paz” (*the right to be let alone*), focado em resguardar a esfera privada do indivíduo contra interferências externas.
Contudo, com o advento da sociedade da informação e o tratamento massivo de dados, essa concepção se mostrou insuficiente. Surgiu, então, a noção de **autodeterminação informativa**, importada da jurisprudência constitucional alemã, onde foi reconhecida em uma decisão sobre o censo populacional de 1983. Esse conceito representa uma dimensão ativa da privacidade: o direito de cada indivíduo de controlar o fluxo de suas próprias informações, decidindo quem pode coletá-las, para qual finalidade e em que condições. No Brasil, o conceito foi desenvolvido por doutrinadores como Danilo Doneda, que destacou a transição da tutela da privacidade para a proteção de dados como um direito autônomo.
Essa evolução conceitual culminou em um julgamento histórico do Supremo Tribunal Federal (STF). Na Ação Direta de Inconstitucionalidade (ADI) 6.387, que discutia a Medida Provisória nº 954/2020, que previa o compartilhamento de dados de usuários de telefonia com o IBGE, a Corte suspendeu a norma por entender que ela violava a autodeterminação informativa sem estabelecer garantias suficientes. Na ocasião, o STF reconheceu expressamente a existência de um direito fundamental autônomo à proteção de dados, antes mesmo de sua positivação constitucional, firmando-o como uma cláusula pétrea dotada de máxima eficácia jurídica.
3.1.2 A Consolidação pela Emenda Constitucional nº 115/2022
O reconhecimento da proteção de dados como direito fundamental, que já vinha sendo construído pela jurisprudência, foi formalmente consolidado pela Emenda Constitucional nº 115, de 10 de fevereiro de 2022. A EC 115/2022 incluiu o inciso LXXIX ao artigo 5º da Constituição, estabelecendo que “é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais” (Brasil, 1988). Além disso, atribuiu à União a competência privativa para legislar sobre o tema, solidificando o status constitucional da matéria.
3.2 A Responsabilidade Civil na Lei Geral de Proteção de Dados (LGPD)
A LGPD (Brasil, 2018), em seu Capítulo VI, Seção III, dedica-se especificamente ao tema “Da Responsabilidade e do Ressarcimento de Danos”, criando um regime próprio que se tornou o epicentro dos debates sobre a reparação de danos em casos de vazamentos.
3.2.1 O Regime dos Agentes de Tratamento (Arts. 42 a 45 da LGPD)
O artigo 42 da LGPD é a norma central do sistema de responsabilização. Ele estabelece que “o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo” (Brasil, 2018). O parágrafo primeiro do mesmo artigo prevê a responsabilidade solidária entre os agentes de tratamento.
O artigo 43, por sua vez, elenca as hipóteses de exclusão de responsabilidade. Os agentes de tratamento não serão responsabilizados se provarem: (I) que não realizaram o tratamento de dados que lhes é atribuído; (II) que, embora tenham realizado o tratamento, não houve violação à legislação de proteção de dados; ou (III) que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro (Brasil, 2018).
Complementando o regime, o artigo 44 define o que se considera “tratamento irregular”: aquele que deixa de observar a legislação ou que não fornece a segurança que o titular dele pode legitimamente esperar (Brasil, 2018). Essa definição é crucial, pois conecta a responsabilidade diretamente à falha no dever de segurança. Por fim, o artigo 45 estabelece uma ponte com o direito do consumidor, ressalvando que as hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente (Brasil, 2018).
3.2.2 A Natureza da Responsabilidade na LGPD: O Debate Doutrinário entre a Tese Objetiva e a Culpa Presumida
A LGPD não qualifica expressamente a responsabilidade dos agentes de tratamento como “objetiva” ou “subjetiva”, o que gerou intenso debate doutrinário. Uma corrente majoritária, da qual fazem parte Nelson Rosenvald e Cristiano Chaves de Farias, sustenta que o regime instituído pela LGPD é de **responsabilidade objetiva**. Os argumentos para essa conclusão são robustos: o artigo 42 não exige a comprovação de culpa ou dolo; a responsabilidade decorre da violação da legislação e da falha no dever de segurança (risco da atividade), alinhando-se à teoria do risco prevista no artigo 927, parágrafo único, do Código Civil; e as hipóteses de exclusão de responsabilidade do artigo 43 são típicas dos regimes objetivos, não incluindo a ausência de culpa como excludente.
Por outro lado, uma corrente minoritária, defendida por juristas como Bruno Bioni, argumenta que se trata de uma **responsabilidade subjetiva com culpa presumida**. Nessa visão, a culpa do agente de tratamento seria presumida pela própria ocorrência do tratamento irregular (art. 44). A falha em adotar as medidas de segurança adequadas, que é um dever de cuidado imposto pela lei, configuraria a negligência. Caberia, então, ao agente de tratamento o ônus de provar que agiu com a diligência devida para afastar sua responsabilidade.
Independentemente da classificação dogmática, o ponto central é que a LGPD estabeleceu um dever jurídico explícito de segurança da informação. A inovação da lei não foi criar uma responsabilidade objetiva que já existia no Código de Defesa do Consumidor, mas sim especificar o *standard* de conduta esperado dos agentes de tratamento. A violação desse dever de cuidado, materializada no “tratamento irregular”, é o gatilho que aciona a obrigação de indenizar.
3.3 O Diálogo das Fontes: A Aplicação Coordenada da LGPD com o CDC e o Marco Civil da Internet
A responsabilidade civil por vazamento de dados não pode ser analisada isoladamente sob a ótica da LGPD. É preciso coordenar sua aplicação com outros diplomas legais relevantes, utilizando a teoria do **diálogo das fontes**. Proposta por Erik Jayme e difundida no Brasil por Cláudia Lima Marques, essa teoria sugere que, em vez de um conflito excludente entre normas, deve-se buscar uma aplicação simultânea e complementar das leis, visando sempre a maior proteção possível ao sujeito vulnerável.
3.3.1 A Responsabilidade pelo Fato do Serviço (Art. 14 do CDC) e sua Aplicação aos Vazamentos de Dados
Quando o vazamento de dados ocorre no contexto de uma relação de consumo, a aplicação do Código de Defesa do Consumidor (CDC) (Brasil, 1990) é inafastável, conforme expressamente previsto no artigo 45 da LGPD. Nessa hipótese, o incidente de segurança é caracterizado como um **fato do serviço**, nos termos do artigo 14 do CDC. O serviço é considerado defeituoso quando não fornece a segurança que o consumidor dele pode esperar. A proteção dos dados pessoais confiados pelo consumidor ao fornecedor é, inegavelmente, parte da legítima expectativa de segurança. Assim, um vazamento configura um defeito na prestação do serviço, atraindo a **responsabilidade objetiva** do fornecedor, que responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores (Tartuce & Neves, 2022).
3.3.2 A Responsabilidade dos Provedores no Marco Civil da Internet e a Releitura do Art. 19 pelo STF
O Marco Civil da Internet (MCI – Lei nº 12.965/2014) (Brasil, 2014) também estabelece regras de responsabilidade, principalmente no que tange ao conteúdo gerado por terceiros. O artigo 19 do MCI, em sua redação original, condicionava a responsabilidade civil dos provedores de aplicações de internet à sua omissão em cumprir uma ordem judicial específica que determinasse a remoção de um conteúdo infringente. Tratava-se de um regime de responsabilidade subjetiva por omissão, criado para proteger a liberdade de expressão.
Contudo, em uma decisão de grande impacto, o STF declarou o artigo 19 parcialmente inconstitucional, por entender que a regra não era suficiente para proteger direitos fundamentais. O Tribunal estabeleceu novos parâmetros, determinando que, para conteúdos ilícitos graves (como incitação ao terrorismo ou crimes contra a democracia), a responsabilidade da plataforma pode ser configurada mesmo sem ordem judicial, caso haja uma falha sistêmica em adotar medidas adequadas de prevenção e remoção. Embora focada em “conteúdo”, essa decisão sinaliza uma mudança de paradigma relevante. Ao impor um dever de cuidado mais proativo às plataformas, o STF indica que a passividade dos agentes digitais não é mais tolerada, reforçando a lógica da LGPD, que exige uma postura ativa e preventiva (*privacy by design*) dos agentes de tratamento.
Tabela 1: Quadro Comparativo dos Regimes de Responsabilidade Civil Aplicáveis a Vazamentos de Dados
| Critério | Código Civil (Regra Geral) | Código de Defesa do Consumidor | Marco Civil da Internet (Art. 19) | Lei Geral de Proteção de Dados |
| Natureza da Responsabilidade | Subjetiva (regra, art. 186) e Objetiva (exceção, art. 927, p. único) | Objetiva (pelo fato do serviço, art. 14) | Subjetiva por omissão (regra original, relativizada pelo STF) | Objetiva (fundada na falha do dever de segurança, arts. 42 e 44) |
| Fundamento | Culpa ou Risco da Atividade | Defeito na Segurança do Serviço | Descumprimento de ordem judicial (regra original) ou dever de cuidado (pós-STF) | Violação à legislação de proteção de dados (tratamento irregular) |
| Ônus da Prova | Do autor (regra); pode ser invertido pelo juiz | Inversão ope legis (art. 6º, VIII) ou a critério do juiz | Do autor | Do autor, com possibilidade de inversão a critério do juiz (art. 42, §2º) |
| Excludentes de Responsabilidade | Culpa exclusiva da vítima, fato de terceiro, caso fortuito/força maior | Inexistência do defeito, culpa exclusiva do consumidor ou de terceiro (art. 14, §3º) | Cumprimento de ordem judicial (regra original) | Não realizou o tratamento, inexistência de violação à lei, culpa exclusiva do titular ou de terceiro (art. 43) |
4. Desafios Contemporâneos e a Resposta da Jurisprudência
A aplicação do arcabouço normativo aos casos concretos de vazamento de dados revela uma série de desafios dogmáticos e práticos, que têm exigido um esforço hermenêutico significativo por parte da doutrina e, principalmente, da jurisprudência. Questões como o ônus da prova, a caracterização do dano moral e a quantificação da indenização estão no centro dos debates mais acalorados.
4.1 O Ônus Probatório e a Assimetria Informacional na Comprovação do Nexo Causal
O primeiro e talvez maior obstáculo enfrentado pela vítima de um vazamento de dados é a comprovação do nexo de causalidade. Em um ecossistema digital onde os dados pessoais são compartilhados com inúmeras empresas e serviços, torna-se uma tarefa hercúlea para o titular provar que a fraude bancária ou o golpe de que foi vítima decorreu, especificamente, do incidente de segurança ocorrido na empresa A, e não na empresa B ou C. A assimetria informacional e técnica entre o titular e os agentes de tratamento agrava essa dificuldade, pois o indivíduo comum não dispõe de meios para auditar os sistemas e rastrear a origem do vazamento.
Para mitigar essa vulnerabilidade, tanto a LGPD (art. 42, § 2º) quanto o CDC (art. 6º, VIII) preveem a possibilidade de inversão do ônus da prova a critério do juiz, quando a alegação do titular for verossímil ou quando ele for hipossuficiente (Brasil, 1990; Brasil, 2018). Embora seja um mecanismo processual de extrema importância, a inversão do ônus da prova não soluciona completamente o problema. Ela pode facilitar a prova da falha de segurança da empresa ré, mas a dificuldade de estabelecer o elo causal entre *aquela* falha específica e o *dano final* (o golpe sofrido meses depois, por exemplo) persiste, sendo este um dos principais pontos de estrangulamento para a efetiva reparação dos danos.
4.2 A Controvérsia sobre o Dano Moral In Re Ipsa: A Jurisprudência do STJ
A questão mais controvertida na jurisprudência atual é se o vazamento de dados, por si só, configura um dano moral *in re ipsa* (presumido) ou se exige do titular a comprovação de um abalo concreto e significativo. O Superior Tribunal de Justiça (STJ) tem se debruçado sobre o tema, proferindo decisões que revelam um amadurecimento e um refinamento da tese.
4.2.1 A Tese Restritiva: A Exigência de Comprovação do Dano para Dados Comuns (AREsp 2.130.619/SP)
Em março de 2023, a Segunda Turma do STJ, no julgamento do Agravo em Recurso Especial nº 2.130.619/SP, estabeleceu uma tese de grande repercussão: o vazamento de dados pessoais comuns, por si só, não gera dano moral presumido (Brasil, 2023). Segundo o voto do relator, Ministro Francisco Falcão, para que haja o dever de indenizar, é necessário que o titular dos dados comprove o efetivo prejuízo decorrente da exposição dessas informações. O acórdão fundamentou-se na distinção entre dados pessoais comuns (como nome, CPF, endereço) e dados pessoais sensíveis (definidos no art. 5º, II, da LGPD).
Para o STJ, os dados comuns são frequentemente fornecidos em cadastros diversos e não são acobertados por sigilo absoluto, de modo que seu mero conhecimento por terceiros não violaria, em tese, um direito da personalidade. Essa posição foi alvo de intensas críticas por parte da doutrina, que argumenta que a decisão impõe à vítima um ônus probatório excessivamente pesado (“prova diabólica”), ignora que a violação da autodeterminação informativa já constitui uma lesão a um direito fundamental, e pode gerar um incentivo perverso para que as empresas relaxem seus padrões de segurança.
4.2.2 A Evolução da Tese: O Fortuito Interno e a Falha no Dever de Segurança (REsp 2.147.374/SP)
Em dezembro de 2024, a Terceira Turma do STJ, ao julgar o Recurso Especial nº 2.147.374/SP, trouxe novos contornos ao debate (Brasil, 2024). O caso tratava de um vazamento de dados não sensíveis decorrente de um ataque hacker, e a empresa alegou a excludente de responsabilidade por culpa exclusiva de terceiro (art. 43, III, da LGPD).
O STJ, contudo, rejeitou a tese, afirmando que ataques cibernéticos não podem ser considerados fato de terceiro para fins de exclusão de responsabilidade, mas sim um **fortuito interno**, ou seja, um risco inerente à própria atividade de tratamento de dados na era digital. A Corte entendeu que o agente de tratamento tem o dever legal de adotar medidas de segurança robustas para prevenir e mitigar tais ataques. A falha nesse dever de segurança caracteriza o “tratamento irregular” previsto no artigo 44 da LGPD, gerando a obrigação de reparar os danos.
A jurisprudência do STJ, portanto, parece criar uma situação paradoxal: tornou-se mais fácil estabelecer a responsabilidade do agente (ao classificar ataques cibernéticos como risco interno), mas, ao mesmo tempo, mais difícil para a vítima obter compensação (ao exigir prova de dano concreto para dados comuns). Essa tensão jurisprudencial define o cenário atual da litigância de dados no Brasil, onde a responsabilidade pode ser reconhecida em tese, mas o direito à reparação é frequentemente negado na prática para a maioria das vítimas.
4.3 A Teoria do Desvio Produtivo do Consumidor como Fundamento Autônomo para a Reparação
Diante da dificuldade de comprovar o abalo psicológico exigido pela jurisprudência restritiva do STJ, uma tese jurídica tem ganhado força como caminho alternativo para a reparação: a **teoria do desvio produtivo do consumidor**. Desenvolvida pelo jurista Marcos Dessaune, essa teoria sustenta que o tempo é um recurso produtivo e um bem juridicamente tutelado (Dessaune, 2017).
O desvio produtivo ocorre quando o fornecedor, ao criar um problema de consumo (como um vazamento de dados), força o consumidor a desperdiçar seu tempo vital e a desviar suas competências de atividades existenciais para tentar resolver a situação. A vítima de um vazamento, por exemplo, precisa gastar horas monitorando extratos bancários, contatando a empresa, trocando senhas e registrando boletins de ocorrência. Esse tempo perdido não é um “mero aborrecimento”, mas um dano concreto, objetivo e passível de comprovação. A aplicação da teoria, já acolhida pelo STJ em outros contextos consumeristas, oferece uma solução pragmática para o impasse, permitindo a condenação do agente com base em um prejuízo factual — a perda do tempo útil —, contornando a necessidade de provar a angústia subjetiva.
4.4 Critérios para a Quantificação da Indenização por Danos Morais
Quando o dano moral é reconhecido, seja por ser presumido (em casos de dados sensíveis) ou por ter sido comprovado no caso concreto, surge outro desafio: a quantificação do valor da indenização. A fixação do *quantum debeatur* é uma tarefa complexa, que busca equilibrar o caráter compensatório para a vítima e o pedagógico-punitivo para o ofensor.
A jurisprudência e a doutrina têm apontado alguns critérios que devem ser sopesados pelo julgador, tais como: a) a amplitude do vazamento; b) a natureza dos dados (com maior gravidade para dados sensíveis); c) a conduta do agente de tratamento após o incidente; d) a reincidência da empresa; e) a comprovação do uso efetivo dos dados vazados por terceiros; e f) a repercussão do fato na vida do titular.
5. A Dupla Via da Responsabilização: A Atuação Sancionatória da ANPD e a Tutela Coletiva Judicial
A análise da responsabilidade por vazamento de dados seria incompleta se restrita à esfera judicial individual. O ordenamento jurídico brasileiro estabeleceu um ecossistema de responsabilização mais complexo, que opera em duas vias paralelas e, por vezes, convergentes: a punição administrativa, exercida pela Autoridade Nacional de Proteção de Dados (ANPD), e a reparação judicial dos danos, frequentemente buscada por meio de instrumentos de tutela coletiva.
5.1 A Esfera Administrativa: O Processo Sancionador da Autoridade Nacional de Proteção de Dados (ANPD)
Com a LGPD, o Brasil inaugurou um modelo de fiscalização e sanção especializado. A lei conferiu à ANPD a competência para fiscalizar e aplicar sanções administrativas por meio de um processo formal. Este procedimento, detalhado na Resolução CD/ANPD nº 1, de 2021, estrutura a atividade repressiva da autoridade, que pode ser iniciada de ofício ou a partir de denúncias, assegurando sempre o devido processo legal.
A aplicação da primeira sanção pela ANPD em julho de 2023, contra uma microempresa que comercializava dados de eleitores sem base legal, foi um marco que demonstrou a operacionalidade da autoridade. A instauração desse regime administrativo cria uma via paralela de responsabilização. Uma organização que sofre um incidente de segurança agora enfrenta um duplo risco: ser processada judicialmente pelas vítimas para compensar os danos (responsabilidade civil) e, simultaneamente, responder a um processo administrativo perante a ANPD que pode resultar em multas e outras penalidades (responsabilidade administrativa).
5.2 A Dosimetria das Sanções: Análise da Resolução CD/ANPD nº 4/2023
Para conferir previsibilidade e proporcionalidade à sua atuação, a ANPD publicou a Resolução CD/ANPD nº 4, de 2023, que aprova o Regulamento de Dosimetria e Aplicação de Sanções Administrativas. Este regulamento estabelece uma metodologia clara para a escolha da sanção e o cálculo de multas, com base em critérios como a gravidade da infração, a boa-fé do infrator, sua condição econômica, a reincidência, o grau do dano, a cooperação com a ANPD e a pronta adoção de medidas corretivas. O regulamento formaliza o comportamento do agente de tratamento como um fator determinante na dosimetria da pena, criando um poderoso incentivo para que as organizações invistam em uma cultura de conformidade e resposta a incidentes.
5.3 A Tutela Judicial Coletiva: Ações Civis Públicas como Resposta a Danos em Massa
Quando um vazamento de dados atinge um grande número de pessoas, a litigância individual se mostra ineficiente. Nesse cenário, a Ação Civil Pública (ACP) emerge como o principal instrumento judicial para a tutela dos direitos das vítimas. A legitimidade para a propositura de ACPs é conferida a um rol restrito de entes, como o Ministério Público, a Defensoria Pública e associações civis qualificadas. Este mecanismo permite a defesa de direitos difusos, coletivos e individuais homogêneos, agregando em uma única demanda os prejuízos sofridos por milhares ou milhões de titulares. O uso da ACP em casos de vazamento de dados transforma a função da responsabilidade civil, que transcende a mera reparação individual e assume um caráter de política pública, funcionando como um poderoso instrumento de dissuasão.
5.4 Estudo de Caso: O “Mega Vazamento” de 2021 e a Reação Institucional
Em janeiro de 2021, o Brasil foi abalado pela notícia do maior vazamento de dados de sua história, com a exposição de informações de 223 milhões de CPFs. O incidente funcionou como um teste de estresse para o ecossistema de proteção de dados do país, ativando a dupla via de responsabilização. Na esfera administrativa, a ANPD instaurou um processo para apurar a origem e a extensão do vazamento. Na esfera judicial, o Instituto SIGILO ajuizou uma Ação Civil Pública de grande repercussão contra a Serasa Experian, apontada como a suposta fonte dos dados, pleiteando indenizações individuais e coletivas. Este caso emblemático expôs tanto a força dos mecanismos institucionais de resposta quanto os imensos desafios práticos, como a dificuldade de atribuição de responsabilidade em incidentes de grande escala.
Tabela 2: Quadro Comparativo das Vias de Reparação e Sanção por Vazamento de Dados
| Critério | Ação Civil Individual | Ação Civil Pública (ACP) | Processo Administrativo Sancionador (ANPD) |
| Objetivo Principal | Reparação do dano individual sofrido pela vítima. | Reparação de danos coletivos e individuais homogêneos; dissuasão de condutas lesivas. | Apuração de infrações à LGPD e aplicação de sanções administrativas (punição). |
| Legitimidade Ativa | Titular dos dados pessoais (vítima). | Ministério Público, Defensoria Pública, Entes Públicos, Associações civis qualificadas. | ANPD (de ofício, por provocação ou após monitoramento). |
| Competência | Poder Judiciário (Justiça Comum ou Juizados Especiais). | Poder Judiciário (Justiça Comum ou Federal). | Autoridade Nacional de Proteção de Dados (ANPD). |
| Natureza da Sanção/Reparação | Indenização por danos materiais e morais. | Indenização por danos morais coletivos, indenizações individuais, obrigação de fazer/não fazer. | Advertência, multa, publicização da infração, bloqueio/eliminação de dados, suspensão do tratamento. |
| Requisitos para Instauração | Prova da conduta, dano e nexo causal. | Indícios de lesão a direitos difusos, coletivos ou individuais homogêneos. | Indícios de infração à LGPD. |
| Destinatário dos Valores | A vítima individual. | Fundo de Defesa de Direitos Difusos (danos coletivos) e as vítimas individuais (danos homogêneos). | Tesouro Nacional. |
6. Perspectivas de Direito Comparado: Lições dos Modelos Europeu e Norte-Americano
A proteção de dados é um fenômeno global, e a análise da responsabilidade civil no Brasil se enriquece ao ser contrastada com as abordagens de outras jurisdições. O exame dos modelos da União Europeia, que inspirou a LGPD, e dos Estados Unidos, com sua tradição de litígios de massa, revela diferentes filosofias jurídicas e oferece caminhos para a evolução da doutrina e da jurisprudência brasileiras.
6.1 O Paradigma Europeu: O Artigo 82 do GDPR e a Reparação do Dano Imaterial na Jurisprudência do TJUE
O Regulamento Geral sobre a Proteção de Dados (GDPR) da União Europeia estabelece em seu Artigo 82 um direito claro à reparação para qualquer pessoa que sofra “danos materiais ou não materiais” em consequência de uma violação do regulamento. A interpretação deste dispositivo pelo Tribunal de Justiça da União Europeia (TJUE) oferece uma perspectiva que pode iluminar o debate brasileiro. A jurisprudência do TJUE consolidou que, embora a mera violação de uma norma não seja suficiente para gerar o dever de indenizar, o tribunal rejeitou a exigência de um “limiar de gravidade” para que o dano não material seja compensável.
Talvez a contribuição mais significativa do TJUE seja o reconhecimento de que o dano não material pode consistir puramente no sofrimento emocional, como o “medo” de que os dados vazados possam ser utilizados indevidamente no futuro. Essa abordagem representa um caminho intermediário e equilibrado. Enquanto o STJ debate se o dano deve ser presumido ou se exige a prova de uma consequência concreta, o TJUE foca na realidade do abalo psicológico da vítima. O “medo” é visto como um dano presente e real, uma angústia que merece compensação. Este modelo “centrado no dano” pode ser uma via para os tribunais brasileiros superarem a rígida dicotomia do dano *in re ipsa*.
6.2 O Modelo Norte-Americano: Ações Coletivas (Class Actions) e a Questão do Dano Concreto (Standing)
Nos Estados Unidos, a resposta judicial a vazamentos de dados é dominada pelas ações coletivas (*class actions*). No entanto, o sistema norte-americano impõe um formidável obstáculo processual: a exigência de *standing* (legitimidade processual). Para que uma ação possa prosseguir, os autores devem demonstrar um “dano de fato” (*injury-in-fact*) que seja “concreto e particularizado” e “real ou iminente”, e não meramente “conjectural ou hipotético”. Os tribunais federais estão profundamente divididos sobre se o mero aumento do risco de futuro roubo de identidade, por si só, constitui um dano concreto suficiente. Este enfoque revela uma diferença filosófica fundamental: enquanto no Brasil a discussão se concentra na responsabilidade material, nos EUA, a principal barreira é processual, utilizando o *standing* como um mecanismo de contenção para filtrar litígios considerados especulativos.
6.3 O “Private Right of Action” na Califórnia (CCPA/CPRA): Um Contraponto ao Sistema Brasileiro
Dentro do mosaico regulatório dos EUA, a Califórnia se destaca com a *California Consumer Privacy Act* (CCPA), aprimorada pela *California Privacy Rights Act* (CPRA). Esta legislação cria um direito de ação privado (*private right of action*), mas de forma limitada. Diferentemente da LGPD, o direito de ação californiano é estritamente restrito a incidentes de vazamento de dados que resultem da falha da empresa em manter medidas de segurança razoáveis e que envolvam categorias específicas de informações não criptografadas.
A inovação mais notável é a criação de um “período de cura” (*cure period*). Antes de poder pleitear uma indenização por danos estatutários (fixados entre $100 e $750 por consumidor), o consumidor deve notificar a empresa, dando-lhe 30 dias para corrigir a falha. Se a empresa “curar” a violação, a ação por danos estatutários não pode ser ajuizada. Este modelo representa um engenhoso compromisso que empodera os consumidores, mas protege as empresas de litígios excessivos, incentivando a resolução extrajudicial.
7. Fronteiras da Responsabilidade Civil: Prevenção de Danos e Desafios Emergentes
A responsabilidade civil, em sua concepção moderna, não se limita a reparar danos já ocorridos. Ela desempenha uma função preventiva, estabelecendo padrões de conduta que visam evitar a ocorrência do dano em primeiro lugar. Este capítulo final explora como a LGPD internaliza essa função preventiva e analisa como os pilares tradicionais da responsabilidade civil estão sendo desafiados por novas tecnologias.
7.1 A Prevenção como Pilar da LGPD: Privacy by Design, Privacy by Default e o Dever de Segurança
O artigo 46 da LGPD impõe aos agentes de tratamento o dever de adotar “medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais” (Brasil, 2018). Este dever geral de segurança é materializado por meio de dois princípios fundamentais, importados do GDPR: *Privacy by Design* (privacidade desde a concepção) e *Privacy by Default* (privacidade por padrão).
*Privacy by Design* significa que a proteção de dados deve ser integrada à concepção de qualquer novo produto ou serviço desde o seu início. *Privacy by Default* exige que as configurações iniciais de qualquer sistema sejam as mais protetivas à privacidade. Estes não são meros conselhos, mas obrigações legais que impõem uma abordagem proativa e preventiva. A incorporação desses princípios transforma a análise da responsabilidade civil. A culpa de uma organização deixa de ser avaliada apenas com base no resultado (o vazamento) para ser julgada com base na qualidade de seus processos. A falha em implementar a privacidade desde a concepção constitui, por si só, uma violação de um dever de cuidado, alinhando-se com a doutrina do “fortuito interno” já adotada pelo STJ.
7.2 Normas Técnicas como Parâmetro de Diligência: A Aplicação da ISO/IEC 27701
A LGPD exige a adoção de medidas de segurança “adequadas”, mas não especifica quais são. Essa lacuna é frequentemente preenchida por padrões técnicos internacionais, como a norma ISO/IEC 27701, que estabelece os requisitos para um Sistema de Gestão da Privacidade da Informação (SGPI). Embora a certificação não seja uma exigência legal, ela oferece um *framework* estruturado e reconhecido para a implementação dos princípios da lei. Na prática, a adesão a este padrão está se tornando um *standard de facto* para a demonstração de diligência. Em um processo judicial, a certificação ISO/IEC 27701 serve como uma forte evidência de que a organização adota boas práticas e possui um programa de governança maduro.
7.3 Novos Desafios Tecnológicos: Responsabilidade na Internet das Coisas (IoT) e por Danos Causados por Inteligência Artificial (IA)
O avanço tecnológico apresenta desafios inéditos. A proliferação de dispositivos de Internet das Coisas (IoT) multiplica exponencialmente os pontos de coleta de dados e as superfícies de ataque, tornando a cadeia de responsabilidade extremamente complexa e difusa entre fabricantes, desenvolvedores e provedores. De forma similar, o uso crescente de sistemas de Inteligência Artificial (IA) para tomar decisões automatizadas introduz o problema da “caixa-preta” algorítmica. A opacidade dos algoritmos pode tornar o nexo de causalidade entre o projeto do sistema e o dano resultante (por exemplo, uma decisão discriminatória) extremamente difícil de ser provado.
Essas novas realidades colocam uma pressão imensa sobre o pressuposto do nexo causal. Exigir que a vítima desvende a lógica interna de um algoritmo de IA equivale, na prática, a negar-lhe o direito à reparação. Por essa razão, a evolução do direito aponta para a necessidade de consolidação de regimes de responsabilidade objetiva, fundados na teoria do risco da atividade, conforme já previsto no artigo 927 do Código Civil (Brasil, 2002). A responsabilidade deve ser atribuída àquele que introduz a tecnologia no mercado e dela se beneficia economicamente.
7.4 A Vulnerabilidade Agravada: A Responsabilidade no Vazamento de Dados Sensíveis de Saúde
A LGPD estabelece uma hierarquia de proteção, conferindo um tratamento mais rigoroso aos “dados pessoais sensíveis”, definidos em seu artigo 5º, II (Brasil, 2018). O setor de saúde, por lidar intrinsecamente com essa categoria de dados, é um alvo preferencial para ataques cibernéticos. Incidentes de grande magnitude, como os vazamentos de dados de sistemas do Ministério da Saúde, ilustram a gravidade do risco.
A natureza sensível dos dados de saúde atua como um “multiplicador de responsabilidade”. No âmbito judicial, a jurisprudência do STJ, embora restritiva quanto ao dano moral presumido para dados comuns, já sinalizou que a situação é distinta para dados sensíveis, cuja mera exposição já possui potencial para causar um abalo significativo. No âmbito administrativo, o Regulamento de Dosimetria da ANPD considera a “natureza dos direitos pessoais afetados” como um critério central para a gradação da sanção. Portanto, um vazamento de dados de saúde é, por definição, uma infração de maior gravidade, elevando a probabilidade de condenação ao pagamento de indenizações por danos morais *in re ipsa* e da aplicação de sanções mais severas pela ANPD.
8. Conclusão
Ao final desta análise sobre a responsabilidade civil por vazamento de dados pessoais na internet, é possível revisitar a jornada argumentativa e oferecer respostas ao problema de pesquisa proposto. O percurso iniciou-se na evolução da responsabilidade civil, que, ao incorporar a teoria do risco, preparou o terreno para lidar com os danos sistêmicos da era digital. Em seguida, consolidou-se o entendimento de que a proteção de dados não é uma mera questão legal, mas um direito fundamental autônomo, o que dimensiona a gravidade de sua violação.
Os principais desafios na aplicação desse arcabouço, contudo, residem no campo prático e jurisprudencial. O primeiro grande desafio é a **dificuldade probatória do nexo de causalidade**. A pulverização dos dados pessoais em múltiplos bancos de dados torna extremamente difícil para o titular vincular um dano específico a um vazamento concreto.
O segundo e mais proeminente desafio é a **instabilidade e a controvérsia jurisprudencial acerca da caracterização do dano moral**. A posição inicial do Superior Tribunal de Justiça, manifestada no AREsp 2.130.619/SP, ao negar o caráter *in re ipsa* do dano moral para o vazamento de dados comuns e exigir a comprovação do prejuízo, representou um revés para a tutela efetiva dos titulares. Tal entendimento, embora possa ter o mérito de evitar uma “indústria do dano moral”, impõe um ônus probatório severo e desconsidera que a perda do controle sobre as próprias informações já configura, por si, uma lesão ao direito fundamental à autodeterminação informativa.
A tendência jurisprudencial, no entanto, parece evoluir. O julgamento do REsp 2.147.374/SP, ao focar na **falha do dever de segurança** do agente de tratamento e ao classificar ataques cibernéticos como fortuito interno, fortalece a responsabilidade das empresas. A jurisprudência parece caminhar para uma síntese: a responsabilidade do agente pela falha de segurança é inequívoca; a conversão dessa responsabilidade em indenização por dano moral, contudo, ainda pende de uma definição mais clara, sendo a **tese do desvio produtivo do consumidor** uma via promissora e pragmática para garantir a reparação de danos concretos.
A análise se aprofundou ao demonstrar que a responsabilização no Brasil opera em uma dupla via: a judicial, impulsionada por ações coletivas, e a administrativa, conduzida pela ANPD. As lições do direito comparado, especialmente o modelo europeu que valoriza o dano emocional e o modelo californiano com seu pragmático período de cura, oferecem caminhos para o amadurecimento da doutrina e da jurisprudência nacionais. Por fim, os desafios impostos por tecnologias como IA e IoT reforçam a necessidade de consolidar a responsabilidade objetiva, fundada no risco.
Em suma, a efetivação da responsabilidade civil por vazamento de dados é um imperativo para a proteção da dignidade humana na sociedade da informação. Mais do que um mecanismo de compensação, ela deve funcionar como um poderoso instrumento de governança, incentivando as organizações a adotarem uma cultura de privacidade e segurança desde a concepção de seus produtos e serviços (*privacy by design*). Apenas com uma jurisprudência firme e coerente, aliada a uma fiscalização administrativa atuante, será possível alinhar as práticas de mercado à proteção de um dos mais importantes direitos fundamentais do nosso tempo.
Referências
1. AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD). Relatório de atividades 2023. Brasília: ANPD, 2024.
Disponível em: https://www.gov.br/anpd.
2. BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. 3. ed. São Paulo: Forense, 2022.
3. BRASIL. Constituição da República Federativa do Brasil de 1988. Brasília, DF: Presidência da República, 1988.
Disponível em: http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm. Acesso em: 10 out. 2024.
4. BRASIL. Lei nº 8.078, de 11 de setembro de 1990. Dispõe sobre a proteção do consumidor e dá outras providências. Diário Oficial da União, Brasília, DF, 12 set. 1990.
Disponível em: http://www.planalto.gov.br/ccivil_03/leis/l8078.htm.
5. BRASIL. Lei nº 10.406, de 10 de janeiro de 2002. Institui o Código Civil. Diário Oficial da União, Brasília, DF, 11 jan. 2002.
Disponível em: http://www.planalto.gov.br/ccivil_03/leis/2002/l10406.htm.
6. BRASIL. Lei nº 12.965, de 23 de abril de 2014. Marco Civil da Internet. Diário Oficial da União, Brasília, DF, 24 abr. 2014.
Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm.
7. BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Diário Oficial da União, Brasília, DF, 15 ago. 2018.
Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm.
8. BRASIL. Supremo Tribunal Federal. Ação Direta de Inconstitucionalidade (ADI) 6.387/DF. Relatora: Min. Rosa Weber. Julgado em 07 mai. 2020.
Disponível em: https://redir.stf.jus.br/paginadorpub/paginador.jsp?docTP=TP&docID=754333073.
9. BRASIL. Superior Tribunal de Justiça. Agravo em Recurso Especial nº 2.130.619/SP. Relator: Min. Francisco Falcão. 2ª Turma. Julgado em 07 mar. 2023. Diário de Justiça Eletrônico, 10 mar. 2023.
10. BRASIL. Superior Tribunal de Justiça. Recurso Especial nº 2.147.374/SP. Relator: Min. Ricardo Villas Bôas Cueva. 3ª Turma. Julgado em 03 dez. 2024. Diário de Justiça Eletrônico, 06 dez. 2024.
11. CALIFORNIA. California Consumer Privacy Act (CCPA). California Legislative Information, 2018.
Disponível em: https://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?lawCode=CIV&division=3.&title=1.81.5.
12. CAVALIERI FILHO, Sérgio. Programa de responsabilidade civil. 15. ed. São Paulo: Atlas, 2023.
13. DESSAUNE, Marcos. Teoria aprofundada do desvio produtivo do consumidor: o prejuízo do tempo desperdiçado e da vida alterada. 2. ed. Vitória: Edição Especial do Autor, 2017.
14. DONEDA, Danilo. Da privacidade à proteção de dados pessoais: fundamentos da Lei Geral de Proteção de Dados. 3. ed. São Paulo: Revista dos Tribunais, 2021.
15. EUROPEAN UNION. General Data Protection Regulation (GDPR). Official Journal of the European Union, L119, 4 May 2016.
Disponível em: https://eur-lex.europa.eu/eli/reg/2016/679.
16. FARIAS, Cristiano Chaves de; ROSENVALD, Nelson; BRAGA NETTO, Felipe Peixoto. Curso de direito civil: responsabilidade civil. 10. ed. Salvador: JusPodivm, 2023.
17. GAGLIANO, Pablo Stolze; PAMPLONA FILHO, Rodolfo. Novo curso de direito civil: responsabilidade civil. 4. ed. São Paulo: Saraiva, 2022.
18. MENDES, Laura Schertel. Privacidade, proteção de dados e defesa do consumidor. 3. ed. São Paulo: Revista dos Tribunais, 2021.
19. MONTEIRO, Fabrício da Mota Alves; DONEDA, Danilo. Lei Geral de Proteção de Dados Pessoais: comentada artigo por artigo. 2. ed. São Paulo: Thomson Reuters Brasil, 2022.
20. PINHEIRO, Patrícia Peck. Direito digital. 7. ed. São Paulo: Saraiva, 2023.
21. TARTUCE, Flávio. Manual de responsabilidade civil: volume único. Rio de Janeiro: Forense; São Paulo: Método, 2018.
22. TARTUCE, Flávio; NEVES, Daniel Amorim Assumpção. Manual de direito do consumidor: direito material e processual. 11. ed. Rio de Janeiro: Forense; Método, 2022.
23. VENOSA, Sílvio de Salvo. Direito civil: responsabilidade civil. 21. ed. São Paulo: Atlas, 2022.