INFORMATION AT RISK: AN ANALYSIS OF DATA BREACHES AT CAIXA ECONÔMICA FEDERAL AND THE EFFECTIVENESS OF DIGITAL PROTECTION
REGISTRO DOI: 10.69849/revistaft/cs10202505191047
Eduardo de Amorin Kurtz1
Matheus Behling Portela2
RESUMO – Na era da tecnologia digital, o manejo inadequado de informações pessoais se tornou uma das principais ameaças à privacidade e à segurança das pessoas. Este trabalho investiga as ocorrências de vazamentos de dados como um dos maiores obstáculos à proteção de dados no Brasil, considerando a Lei Geral de Proteção de Dados (LGPD). O intuito é examinar a eficácia das normas legais diante da crescente exposição de informações nos meios virtuais, além da responsabilidade das instituições em evitar e reagir a esses eventos. Através de pesquisa bibliográfica e análise dedutiva de legislações, doutrinas e decisões judiciais, é avaliado o caso da Caixa Econômica federal e a responsabilidade civil decorrente da violação da privacidade digital, sublinhando os critérios para a formação da culpa, a presença de responsabilidade objetiva e a necessidade de implementar boas práticas em segurança da informação. Conclui-se que, apesar da LGPD representar um avanço significativo na regulação, permanecem desafios relacionados à sua efetiva aplicação e supervisão. A proteção de dados atualmente requer um empenho constante das organizações em políticas de conformidade, prevenção e resposta a incidentes, para assegurar a confiança dos usuários e fortalecer a segurança no ambiente digital.
Palavras-chave: LGPD, dados pessoais, violação de privacidade, vazamento, segurança digital.
1. INTRODUÇÃO
A crescente digitalização dos serviços públicos e privados no Brasil tem ampliado o uso e o tratamento de dados pessoais em larga escala, tornando a proteção dessas informações uma preocupação central na sociedade contemporânea. Nesse contexto, a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 – LGPD) surge como marco regulatório fundamental, voltado à garantia dos direitos fundamentais à privacidade, à intimidade e ao livre desenvolvimento da personalidade. A norma estabelece parâmetros técnicos e jurídicos para o tratamento lícito, transparente e seguro de dados, impondo responsabilidades a todos os agentes envolvidos.
Entre os inúmeros desafios para a efetiva aplicação da LGPD, destaca-se a responsabilização dos entes públicos e privados por falhas na segurança da informação, especialmente diante de episódios de vazamento de dados pessoais.
Esse cenário levanta questões jurídicas relevantes sobre a eficácia da LGPD na prevenção e repressão de incidentes de segurança envolvendo dados sensíveis. Ao mesmo tempo, evidencia a necessidade de fortalecer a governança da informação, a fiscalização por parte da Autoridade Nacional de Proteção de Dados (ANPD) e a atuação do Poder Judiciário na reparação de danos individuais e coletivos decorrentes da exposição indevida de informações pessoais.
Diante disso, o presente trabalho propõe-se a analisar o alcance da responsabilidade civil dos agentes públicos e privados diante de vazamentos de dados pessoais, à luz da LGPD, com foco especial no estudo do caso concreto relacionado à exposição de informações de beneficiários do Auxílio Brasil. A pesquisa buscará compreender de que forma a legislação tem sido aplicada, quais os mecanismos de reparação existentes, os limites da responsabilidade civil e os desafios enfrentados para a efetiva proteção dos dados pessoais no Brasil.
Para tanto, serão utilizados o método hipotético-dedutivo e a análise normativa, doutrinária e jurisprudencial. Serão examinados os princípios da LGPD, a estrutura de responsabilização prevista na norma, o papel da ANPD, bem como os desdobramentos judiciais e sociais do vazamento de dados do Auxílio Brasil. O objetivo é contribuir para o debate acadêmico e prático sobre o fortalecimento da cultura de proteção de dados, ressaltando a importância da conformidade, da transparência e da reparação justa às vítimas.
Dado este cenário, impõe-se a necessidade de analisar objetivamente os reflexos da responsabilidade na aplicação da LGPD para compreender de que forma a nova legislação interfere na rede jurídico-institucional e empresarial no Brasil.
Diante do exposto, justifica-se que este tema seja abordado, incluindo a análise das consequências do não cumprimento da LGPD, das sanções e mecanismos de responsabilidade especulativos, especialmente considerando a crescente demanda por uma regulação eficaz para a era digital. Essa preocupação gera o problema: a Lei Geral de Proteção de Dados serviu para amparar os afetados pelo vazamento de dados do Auxílio Brasil?
Com base no problema diagnosticado, surgem hipóteses sobre os desdobramentos da responsabilidade civil na tutela prevista pela LGPD. Assim, é importante conhecer o que é a Lei Geral de Proteção de Dados, seu alcance na relação jurídica e entender a responsabilidade civil nesse contexto. Além desse conhecimento, as consequências de vazamentos de dados devem ser analisadas de acordo com esses pressupostos, bem como o universo de confiança das partes envolvidas.
O trabalho está estruturado em 4 capítulos que abordam, de forma progressiva, os fundamentos legais da proteção de dados, a responsabilidade civil na LGPD, o estudo de caso do vazamento no Auxílio Brasil, as medidas preventivas exigidas pela legislação e os reflexos jurídicos e sociais das violações à privacidade. Ao final, a conclusão reunirá os principais achados da pesquisa e apontará sugestões para o aprimoramento da proteção de dados pessoais no Brasil.
2. VAZAMENTOS DE DADOS: AUXÍLIO BRASIL E A VULNERABILIDADE DOS DADOS SIGILOSOS
A Lei Geral de Proteção de Dados (LGPD), se apresenta como um instrumento para a concretização dos direitos da personalidade. Por meio de princípios e normas, o regulamento nacional define como devem ser tratados os dados, com o objetivo de prevenir distorções no manejo de informações classificadas como dados pessoais.
Trata-se de uma legislação clara e coesa que, desde sua concepção, delineia suas diretrizes fundamentais, indispensáveis para a compreensão e a aplicação das atividades vinculadas ao manejo de dados (COELHO, 2019).
A segurança da informação ascendeu a um dos principais focos de preocupação da sociedade moderna, especialmente diante do aumento significativo da utilização de dados pessoais em plataformas digitais e nos sistemas governamentais. A violação de dados sensíveis configura um incidente de segurança que pode resultar em danos significativos à privacidade dos indivíduos, bem como comprometer a credibilidade das instituições afetadas. Conforme Hintzbergen et al. (2018), um vazamento de dados representa um evento indesejado com potencial de comprometer a confidencialidade, integridade e disponibilidade das informações.
Tais incidentes ocorrem geralmente por meio de práticas já penalmente previstas como invasões, acessos indevidos ou sequestros de dados por agentes mal-intencionados com alto conhecimento técnico, os quais visam obter vantagens ilícitas – muitas vezes exigindo resgates em dinheiro ou criptomoedas em troca da não divulgação dos dados (MARTINS, 2018).
Entre os fatores que facilitam esses vazamentos, destaca-se a fragilidade das credenciais de acesso, como senhas fracas ou sistemas com contas obsoletas e sem expiração de acesso (Bisso et al., 2018). Tais falhas demonstram como medidas básicas de segurança da informação ainda são negligenciadas por diversas instituições, expondo milhões de cidadãos à violação de sua privacidade sem o seu consentimento.
2.1 CASO PRÁTICO: VAZAMENTO DE DADOS NA CAIXA ECONÔMICA FEDERAL E A EFETIVIDADE DA LGPD
Um dos episódios mais significativos nesse contexto ocorreu em 2022, envolvendo o vazamento de dados de mais de 4 milhões de beneficiários do programa Auxílio Brasil, pago pela Caixa Econômica Federal (CEF). A falha foi identificada durante o governo do ex-presidente Jair Bolsonaro, período em que a Caixa era presidida por Pedro Guimarães. Segundo o Instituto Brasileiro de Defesa da Proteção de Dados Pessoais, Compliance e Segurança da Informação (SIGILO), autor da ação judicial, os dados expostos incluíam nome completo, endereço, número de celular, data de nascimento, valor do benefício recebido, Número de Identificação Social (NIS) e número do Cartão Nacional de Saúde (CadSUS). Essas informações teriam sido utilizadas indevidamente por empresas para ofertar produtos e serviços financeiros, como empréstimos consignados. Embora o número de beneficiários afetados tenha superado os 4 milhões, o Tribunal Regional Federal da 3ª Região estima que 471 mil pessoas tenham direito à indenização (TRF3, 2023).
A ação foi ajuizada pelo Instituto SIGILO através da Ação Civil Pública nº 5028572-20.2022.4.03.6100 que tramitou perante o TRF3, em face da União Federal, Caixa Econômica Federal, DATAPREV e Agência Nacional de Proteção de Dados – ANPD. A entidade autora alegou que os dados vazaram por meio de correspondentes bancários contratados pelos réus, sendo utilizados indevidamente para fins comerciais e, inclusive, com conteúdo de cunho eleitoral.
Entre os dados vazados constavam informações sensíveis como endereço, número de telefone celular, data de nascimento, valor do benefício recebido, além dos números do NIS e do CadSUS. Estima-se que cerca de 20% dos beneficiários do programa foram atingidos pelo incidente.
A defesa da Caixa Econômica Federal e a Dataprev contestaram a narrativa da autora.
Diante disso, a defesa da Caixa Econômica Federal se assenta na inexistência de provas concretas de que houve o alegado vazamento de dados, bem como na observância rigorosa das normas da LGPD e dos protocolos internos de segurança da informação. A instituição bancária sustenta que sua atuação se deu dentro da legalidade e que os fatos devem ser devidamente apurados em instâncias superiores, a fim de que sejam preservados não apenas os direitos dos cidadãos, mas também a reputação e a segurança jurídica das instituições envolvidas.
Após analisar os argumentos das partes e as provas documentais juntadas aos autos, o juízo reconheceu a legitimidade da associação autora para propor a ação e entendeu que restaram comprovadas falhas graves na segurança e no tratamento dos dados pessoais pelos réus. Também foi destacado que, embora a ANPD atue como órgão fiscalizador e regulador, os demais corréus são responsáveis diretos pelo manuseio e guarda dos dados, razão pela qual devem responder solidariamente pelos danos causados.
Desta forma a Caixa ainda reforçou seu compromisso com a integridade, confidencialidade e segurança das informações dos cidadãos, esclarecendo que segue apurando os fatos e que, caso se comprove alguma irregularidade.
A deliberação emitida pela 1ª Vara Cível Federal de São Paulo julgou parcialmente procedente a ação, com a condenação dos réus à adoção de diversas obrigações de fazer, tais como: fornecimento dos registros de acesso que permitiram os vazamentos; comunicação formal aos titulares afetados; ampla divulgação do ocorrido em meios oficiais e redes sociais; implementação de novos mecanismos de segurança e prevenção; e elaboração de relatórios de impacto à proteção de dados. Além disso, determinou-se a indenização por danos morais individuais no valor de R$ 15.000,00 por titular afetado, bem como uma indenização por dano moral coletivo fixada em R$ 40.000.000,00, a ser revertida ao Fundo de Defesa de Direitos Difusos (Ação Civil Pública nº 5028572-20.2022.4.03.6100 do Tribunal Regional Federal de São Paulo).
Neste caso dispõe-se a Lei nº 13.709/2018:
Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. […] Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos: I – o respeito à privacidade; […] IV – à inviolabilidade da intimidade, da honra e da imagem; […]
A importância dos artigos 1º e 2º da LGPD reside no reconhecimento de que, em uma sociedade digitalizada, a proteção de dados pessoais é condição essencial para o exercício pleno da cidadania. Ao assegurar o respeito à privacidade e à inviolabilidade da intimidade, da honra e da imagem, a norma não apenas protege o indivíduo, mas também fortalece a confiança nas relações sociais, comerciais e institucionais
Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
§ 1º A fim de assegurar a efetiva indenização ao titular dos dados:
I – o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;
II – os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta Lei.
§ 2º O juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa.
§ 3º As ações de reparação por danos coletivos que tenham por objeto a responsabilização nos termos do caput deste artigo podem ser exercidas coletivamente em juízo, observado o disposto na legislação pertinente.
§ 4º Aquele que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso. (BRASIL, 2018).
Por fim, o juiz ordenou o cadastramento da Ação Civil Pública no Cadastro Nacional de Informações de Ações Coletivas do CNJ e isentou as partes do pagamento de honorários advocatícios, nos termos do art. 18 da Lei nº 7.347/1985. A decisão reafirma a importância da proteção dos dados pessoais e a responsabilização objetiva dos agentes públicos e privados no tratamento dessas informações, especialmente em contextos que envolvam populações vulneráveis e programas sociais.
A sentença reconheceu que houve violação à Lei Geral de Proteção de Dados (LGPD), ao Código de Defesa do Consumidor (CDC) e ao Marco Civil da Internet. O magistrado enfatizou a responsabilidade das instituições envolvidas na guarda e proteção das informações dos cidadãos, destacando que a confiança depositada pelos beneficiários foi quebrada. A gravidade do caso também se evidencia diante das denúncias de uso político dos dados durante o período eleitoral, em que houve relatos de chantagens envolvendo a continuidade do benefício.
Segundo o juiz federal Marco Aurélio de Mello Castrianni, que proferiu a sentença:
Diante do exposto, JULGO PARCIALMENTE PROCEDENTE o pedido e extingo o feito com resolução de mérito nos termos do inciso I, do artigo 487, do Código de Processo Civil, para determinar: i) aos corréus e responsáveis pela guarda de dados o fornecimento de registros de conexão ou de registros de acesso a aplicações de internet existentes entre janeiro de 2022 até julho de 2023, por meio dos quais os dados pessoais das vítimas foram e seguem sendo vazados; ii) seja imposta à Caixa Econômica Federal a obrigação de fazer, no sentido de ser disponibilizado, no prazo máximo de dez (10) dias, a todos os correntistas contratantes junto à mesma, bem como a todos os titulares de dados vazados, o livre acesso aos registros existentes quanto aos seus dados, os quais deverão ser disponibilizadas de forma clara, adequada, completa e ostensiva, indicando a sua origem, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial; iii) seja imposta obrigação de fazer aos corréus, no sentido de desenvolverem mecanismos de segurança e de controle preventivo, que impeçam o acesso e malversação a referidos dados, inclusive, em situações de terceirização de serviços da CEF; iv) seja imposta obrigação de fazer aos corréus, no sentido de comunicarem a todos os titulares dos dados que foram vazados acerca do incidente de segurança que resultou na sua indevida divulgação e compartilhamento, bem assim indicação das medidas adotadas para mitigarem os danos causados, planos para solucionar os eventuais riscos aos seus titulares cidadãos, tal como determina o art. 48 da LGPD, sob pena de multa diária no montante de R$ 10.000,00 (dez mil reais), devendo esta comunicação ser feita por meio de cartas com aviso de recebimento (AR) e uma segunda e genérica informação deverá ser igualmente veiculada no âmbito de suas redes e mídias de comunicação, com a mesma finalidade e no mesmo prazo; v) seja imposta a obrigação de fazer, em atendimento ao disposto no artigo 38 da LGPD10, no sentido de que os controladores responsáveis pela proteção de dados no âmbito das três instituições corrés elaborarem relatórios independentes de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, observados os segredos comercial e industrial; vi) seja efetuada, por parte dos corréus, revisão do sistema de segurança de armazenamento de dados e suas matrizes de risco, como forma de se evitarem novos e futuros vazamentos; vii) sejam os corréus condenados ao pagamento indenizatório, por danos morais, em favor de cada um dos titulares de dados pessoais afetados com as práticas ilícitas dos corréus, no montante individual de R$ 15.000,00 (quinze mil reais); viii) pagamento indenizatório pelo dano moral coletivo gerado, no valor mínimo de R$ 40.000.000,00 (quarenta milhões de reais), com fulcro no art. 6º, VI, do Código de Defesa do Consumidor combinado com o art. 12, inc. II, do Marco Civil da Internet, montante que deverá ser rateado entre os corréus e revertido ao Fundo de Defesa de Direitos Difusos, estabelecido pelo art. 13 da Lei n. 7.347/8512, em observância ao princípio da razoabilidade; e ix) que seja feito o cadastramento da presente Ação Civil Pública no Cadastro Nacional de Informações de Ações Coletivas do CNJ, através de comunicação eletrônica ao setor responsável (Ação Civil Pública Cível nº 5028572-20.2022.4.03.6100). (TRF3. 2023).
O juízo de primeira instância reconheceu a responsabilidade das rés e considerou o pedido parcialmente procedente no dia 06 de setembro de 2023, impondo diversas obrigações reparatórias e preventivas. As instituições foram obrigadas a disponibilizar registros de conexão ou acesso às aplicações de internet relacionados ao período do vazamento, realizar revisões completas de seus sistemas de segurança, elaborar relatórios de impacto à proteção de dados, conforme o artigo 38 da LGPD, comunicar os titulares afetados sobre o ocorrido, e implementar medidas eficazes para evitar novos incidentes. Também foi determinada a indenização individual no valor de R$ 15.000,00 por titular afetado, além da fixação de uma indenização coletiva no montante de R$ 40.000.000,00 a ser destinada ao Fundo de Defesa de Direitos Difusos. A instituição financeira foi ainda obrigada a disponibilizar, no prazo de dez dias, o acesso aos registos de dados para os correntistas e titulares prejudicados. Além disso, houve a determinação de registro da ação no Cadastro Nacional de Ações Coletivas, gerido pelo Conselho Nacional de Justiça (MUNIZ, 2023).
Essa decisão evidencia a aplicação prática dos princípios da transparência, segurança e responsabilização previstos na LGPD, além de reafirmar a relevância do controle judicial na proteção de direitos difusos e coletivos, sobretudo em face de grandes instituições financeiras. Ressalte-se, ainda, a observância aos ditames do Código de Defesa do Consumidor e do Marco Civil da Internet, os quais reforçam a tutela da privacidade e da dignidade dos cidadãos na sociedade da informação
Com a decisão, o site do Sigilo desde outubro de 2023 lançou uma plataforma onde os brasileiros que tiveram seu sigilo exposto, poderia verificar os direitos a indenização, em 24 horas o site havia registrado 800 mil cadastros, número que subiu para 1,2 milhão até 3 de março de 2024, refletindo a preocupação com o vazamento e a atratividade do valor de R$ 15 mil (SIGILO, 2024).
Diante da gravidade da situação, no dia 12 de março de 2024, a Justiça Federal determinou a retirada imediata do conteúdo das redes sociais e demais plataformas digitais, fixando multa diária de R$5.000,00 em caso de descumprimento. No entanto, mesmo após a decisão judicial, o conteúdo ainda continua sendo replicado em outras páginas da internet, inclusive em alguns portais de notícia, o que reforça a necessidade de cautela por parte da população e o combate constante à desinformação (Ministério do Desenvolvimento e Assistência Social, 2024).
Também é importante destacar que, em fevereiro de 2024, o magistrado responsável anulou a sentença proferida, acatando uma questão de ordem constitucional levantada pelas rés, o que levou ao reinício do processo na fase anterior à decisão anulada. Isso não significa que a ação foi extinta ou que o direito pleiteado deixou de existir, mas apenas que o trâmite retornou à primeira instância para a devida regularização, o que possibilita ainda escalar para o Superior Tribunal de Justiça (STJ) e ao Supremo Tribunal Federal (STF), observa-se que houve um vazamento massivo de dados pessoais, fato que não foi refutado pelas partes envolvidas (MIX VALE, 2025).
A sentença posteriormente anulada chegou a reconhecer os graves problemas de segurança da informação existentes tanto no âmbito governamental quanto nas empresas privadas que figuram como rés na presente ação. Tal contexto evidencia fragilidades estruturais na proteção de dados, apontando para a urgência de medidas eficazes de compliance e governança em privacidade.
Esse caso evidencia a relevância de uma abordagem organizacional estratégica no tratamento de dados pessoais. Entender a missão institucional e mapear os fluxos de dados, bem como os acessos internos e de terceiros, é essencial. No contexto da proteção de dados, a identificação de riscos associados à atuação de parceiros, como os correspondentes bancários, se mostra fundamental, pois tais agentes muitas vezes acessam e armazenam dados pessoais e estão sujeitos às mesmas obrigações da LGPD. A responsabilidade do controlador sobre os atos do operador, inclusive no que se refere às medidas de segurança e governança, encontra respaldo direto na legislação (LIMA, 2023).
Com base no artigo 50 da LGPD, observa-se a importância de programas internos de conscientização e educação continuada, visando o estabelecimento de boas práticas e políticas de governança em privacidade (BRASIL,2018). Conforme estudos do Fórum Econômico Mundial, aproximadamente 95% dos incidentes de segurança da informação são causados por falhas humanas, o que reforça a necessidade de investimentos em treinamentos e capacitações, não apenas para os colaboradores internos, mas também para os agentes terceirizados. A Resolução CMN n.º 4.935/2021, que regulamenta a contratação de correspondentes por instituições financeiras autorizadas pelo Banco Central do Brasil, reforça essa diretriz ao exigir a certificação técnica desses profissionais (BERTOLLI, 2022).
O setor financeiro brasileiro tem se adaptado a essa nova realidade, incorporando tecnologias inovadoras e ajustando-se ao arcabouço legal vigente. A conformidade com a LGPD representa, além de uma obrigação legal, uma vantagem competitiva, pois promove a credibilidade institucional, protege a reputação, fortalece parcerias e assegura um posicionamento responsável diante da sociedade. Nesse contexto, os programas de treinamento em proteção de dados e privacidade devem ser cuidadosamente estruturados, considerando as particularidades da organização, sua missão, visão, valores e os riscos específicos de cada setor ou departamento. É fundamental estabelecer um escopo claro para esses programas, integrando práticas específicas como mapeamento de processos, gestão de riscos, governança em tecnologia da informação, continuidade de negócios e certificações voltadas à formação de profissionais como o Data Protection Officer (LIMA, 2023).
Ficou comprovado que os órgãos públicos falharam em sua obrigação de proteger os dados pessoais dos cidadãos. O magistrado destacou que os dados foram confiados à administração pública com a legítima expectativa de resguardo e que o acesso indevido por terceiros, com finalidades fraudulentas, agrava os danos causados às vítimas (TRF3, 2023).
Nesse contexto, a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 – LGPD) assume papel central. A legislação estabelece princípios como a necessidade, a finalidade e a segurança no tratamento de dados pessoais, impondo obrigações tanto ao setor público quanto ao privado. A responsabilização dos entes públicos envolvidos no caso reflete a aplicação concreta da LGPD, especialmente no que se refere à responsabilização por incidentes de segurança e ao dever de reparação (BRASIL, 2018).
Além das indenizações individuais e coletivas, a sentença determinou a revisão dos sistemas de armazenamento de dados, a implementação de mecanismos de controle preventivo e a disponibilização dos registros relativos à violação. Tais medidas visam não apenas reparar os danos causados, mas também fortalecer a governança e a segurança da informação no setor público, prevenindo novos episódios. O caso do Auxílio Brasil representa um marco relevante no debate sobre a proteção de dados no Brasil, reforçando a importância de uma atuação mais efetiva da ANPD e a necessidade de investimentos em tecnologia, fiscalização e transparência na gestão de dados pessoais por instituições públicas (MUNIZ, 2023).
De forma semelhante, a Dataprev também anunciou que recorrerá da decisão judicial, sustentando não haver qualquer indício de incidente de segurança nos seus sistemas que justifique a alegação de vazamento de dados. Segundo a estatal, os registros internos não apontam falha ou comprometimento da base de dados relacionada ao Auxílio Brasil.
Ressalta-se ainda que, de maneira inusitada, a decisão incluiu a própria ANPD no polo passivo da condenação, sob o fundamento de suposta omissão fiscalizatória. No entanto, a Autoridade Nacional de Proteção de Dados informou que ainda não havia sido formalmente notificada da sentença e que somente após tal comunicação é que poderá avaliar as medidas administrativas e jurídicas cabíveis.
Em nota oficial divulgada à imprensa, a Caixa Econômica Federal informou que já interpôs recurso contra a sentença proferida pelo juízo federal. A instituição destacou que, após análise preliminar, não foi identificada qualquer evidência de vazamento de dados sob sua guarda, ressaltando que mantém uma robusta infraestrutura de segurança voltada à proteção dos dados do Cadastro Único, em consonância com os preceitos da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 – LGPD).
“A CAIXA informa que não foi intimada da sentença. O banco esclarece que não identificou, em análise preliminar, vazamento de dados sob sua guarda e reforça que possui infraestrutura adequada à manutenção da integridade de sua base de dados e da segurança dos sistemas do Cadastro Único, garantindo o cumprimento dos preceitos previstos na LGPD. A CAIXA realiza periodicamente avaliação de segurança do Cadastro Único, que visa identificar eventuais vulnerabilidades que possam gerar acesso indevido aos dados, promovendo melhorias constantes nos controles. O banco segue apurando a situação e, tão logo intimado da decisão judicial, avaliará os fatos considerados na sentença, e, em se constatando eventual irregularidade, adotará as medidas cabíveis, com as devidas responsabilizações”, diz a nota da Caixa (Estadão Conteúdo, 2023).
O episódio envolvendo o vazamento de dados do Auxílio Brasil evidencia a importância da LGPD como instrumento de proteção à privacidade e à integridade das informações pessoais. A legislação, estabelece princípios, direitos e deveres claros quanto ao tratamento de dados, impondo às empresas e órgãos públicos a obrigação de adotar medidas preventivas e corretivas diante de incidentes de segurança.
3. LEI GERAL DE PROTEÇÃO DE DADOS: HISTÓRICO, CONTEXTO GLOBAL E BRASILEIRO
Embora tenha surgido a partir de um movimento impulsionado pelo avanço tecnológico, a lei não se limita ao ambiente digital.
É inegável que o tratamento de dados pessoais atingiu um nível inédito devido ao progresso das tecnologias de processamento e transmissão, que se tornaram mais populares. A coleta e o processamento de dados offline apresentam limitações estruturais significativas, tornando-os menos eficazes e mais invasivos aos direitos fundamentais que agora são protegidos. Considerando que a tecnologia diminui as distâncias físicas e ultrapassa fronteiras, a sociedade passou por mudanças que resultaram em uma nova forma de organização, na qual a informação desempenha um papel crucial no desenvolvimento econômico (CASTELLS, 2000).
A evolução tecnológica, especialmente nas áreas de transmissão, coleta, armazenamento e processamento de dados, transformou as informações pessoais em ferramentas estratégicas para aprimorar a eficiência econômica. Isso permitiu relações mais personalizadas entre empresas e consumidores, além de otimizar a produção e divulgação de produtos. Contudo, essa evolução trouxe desafios: os titulares dos dados, que também são consumidores, tornaram-se mais expostos e vulneráveis. A circulação de informações entre agentes econômicos passou a ameaçar a privacidade e a autonomia dos indivíduos, frequentemente sobrepostas pelos interesses de grandes corporações (OLIVEIRA, 2019).
No Brasil, as discussões sobre privacidade e direitos da personalidade começaram muito antes da aprovação da Lei Geral de Proteção de Dados (Lei nº 13.709/2018). Já existiam diversas leis setoriais que abordavam o tema, mas essas normas formavam uma “colcha de retalhos”, como ressalta Bruno Ricardo Bioni, mas que não protegiam diversos setores da economia, o que não tinha uma devida proteção para os setores trocarem com privacidade os dados de negócios, no caso, as leis que existiam anteriormente apenas traziam conceitos abertos que davam as autoridades o direito de escolher como aplicar a lei de acordo com a época vivida (BIONI, 2021).
Um dos primeiros marcos legais a abordar o tema foi o Código de Defesa do Consumidor (Lei nº 8.078/1990), que regulou os bancos de dados e o cadastro de consumidores no artigo 43. Em seguida, o Código Civil de 2002 (Lei nº 10.406) também tratou do assunto, embora com um foco maior na definição contemporânea dos direitos da personalidade, dentro do contexto da constitucionalização do Direito Civil, estabelecendo as bases para a proteção da personalidade. Além disso, é relevante destacar a Lei do Cadastro Positivo (Lei nº 12.414/2011), que visa regulamentar as disposições do CDC, a Lei nº 12.737/2012, conhecida como Lei Carolina Dieckmann.
Somente com a criação do Marco Civil da Internet, estabelecido pela Lei nº 12.965/2014, surgiu uma legislação específica para a proteção de dados pessoais em diversas áreas, especialmente no que diz respeito às novas tecnologias. Essa lei estabelece princípios, garantias, direitos e deveres para o uso da internet no Brasil, marcando o início da formalização de normas sobre o tema, fundamentada no debate sobre a importância da internet no cotidiano. Por fim, após toda a evolução legislativa, o Brasil aprovou o projeto de lei nº 4.060/2012, que resultou na criação da Lei nº 13.709/2018, a Lei Geral de Proteção de Dados, foco principal deste estudo. Como já mencionado, essa lei é fruto de anos de discussão, e o projeto passou por diversas alterações durante sua tramitação (GODINHO, 2013).
Assim, é importante destacar que, com a aprovação dessa lei, o Brasil estabeleceu seu marco legal central para a proteção de dados, alinhando-se aos países mais avançados nesse tema, especialmente à União Europeia. Foi na União Europeia que a vanguarda da proteção de dados se consolidou, com o desenvolvimento do GDPR (General Data Protection Regulation) (EU) 2016/679, que deu início ao movimento global em prol da privacidade e do livre desenvolvimento da personalidade das pessoas naturais. Embora já existissem, tanto na União Europeia quanto no Brasil, legislações setoriais sobre o tema, essa nova codificação teve como objetivo expandir o alcance da proteção de dados. Em outras palavras, quando se afirmar que a legislação foi inovadora, não se quer dizer que ela surgiu de forma isolada, mas sim que, ao incorporar o que já havia sido construído e responder às novas demandas, ofereceu uma solução mais abrangente e eficaz no Brasil (OLIVEIRA, 2019).
Dessa maneira, foi essencial que os países com os quais a União Europeia mantinha relações comerciais fossem incentivados a criar normas próprias para regulamentar o tema, estabelecendo uma reciprocidade. Para isso, a GDPR incorporou no seu texto um critério para garantir a continuidade dos fluxos de dados. Para que a transferência de dados pessoais em tratamento ou destinados à transformação entre a UE e um país terceiro seja permitida, é necessário que sejam atendidos os requisitos da GDPR e as garantias exigidas no país de destino. Em outras palavras, os países que desejassem participar do ciclo de dados com entidades europeias precisam demonstrar que possuíam uma legislação própria, com condições mínimas de segurança e proteção desses dados. Assim, pode-se afirmar que a tramitação da LGPD no Congresso Nacional foi acelerada pela necessidade do mercado brasileiro de se adequar à legislação europeia para continuar suas operações (MEDEIROS, 2021).
Desta forma, a LGPD era para entrar em vigor em setembro de 2020, no entanto com a PL5762/2019 propôs a prorrogação da data de entrada em vigor para 15 de agosto de 2022.
Com a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), a sociedade brasileira vivenciou um momento de transição intensificada pela rápida digitalização, acelerada especialmente durante a pandemia da COVID-19. Esse cenário exige que empresas e instituições enfrentem os desafios trazidos pela implementação da lei com maior eficiência e comprometimento. A proteção de dados pessoais deixou de ser apenas uma obrigação legal e tornou-se um diferencial competitivo no mercado. Um exemplo marcante foi o êxodo de cerca de 500 milhões de usuários do WhatsApp para o Telegram, ocorrido duas semanas após a controversa atualização da política de privacidade do aplicativo. Esse episódio demonstra como a população valoriza a proteção de suas informações, priorizando relações comerciais e contratuais que ofereçam maior segurança (LIMA RAPÔSO, 2019).
A trajetória que culminou na criação da LGPD foi marcada por eventos globais significativos. Em 2013, Edward Snowden revelou um esquema de espionagem em larga escala conduzido por governos de diversos países, gerando indignação mundial. Entre as revelações, destacava-se a capacidade de monitoramento de comunicações eletrônicas, incluindo líderes mundiais. O Brasil, diretamente afetado, reagiu com indignação e buscou fortalecer a proteção digital, o que acelerou a criação do Marco Civil da Internet, aprovado em resposta à necessidade de maior regulamentação do ambiente virtual (CARVALHO, 2021).
A LGPD, por sua vez, foi resultado de uma construção colaborativa que durou aproximadamente uma década, envolvendo contribuições do setor público e da iniciativa privada. Em 2016, o anteprojeto foi apresentado ao Congresso Nacional, sendo um dos últimos marcos da gestão da então presidente Dilma Rousseff. A lei representa um avanço substancial no arcabouço jurídico nacional, consolidando princípios e normas voltadas à proteção da privacidade e à regulamentação do tratamento de dados pessoais (BIONI, 2020).
Inserida em um sistema normativo mais amplo, a LGPD se alinha a diversas disposições constitucionais e infraconstitucionais que visam garantir direitos fundamentais. A Constituição Federal, nos incisos X e XII do artigo 5º, assegura a inviolabilidade da intimidade e da vida privada, bem como o sigilo das comunicações (BRASIL, 1988). Ademais, a Lei nº 9.507/97 regulamenta o habeas data, que permite ao cidadão acessar, corrigir e esclarecer informações pessoais mantidas em bancos de dados públicos (BRASIL, 1997).
A promulgação da LGPD, formalizada pela Lei nº 13.709/2018, simboliza um marco estruturante na proteção de dados no Brasil. Sua criação consolidou e organizou princípios e normas que anteriormente estavam dispersos no ordenamento jurídico, oferecendo uma base normativa robusta e integrada. Essa abordagem fortalece a segurança jurídica e amplia as garantias individuais, alinhando o país às melhores práticas globais no campo da privacidade e da proteção de dados.
Em conclusão, a Lei Geral de Proteção de Dados (Lei nº 13.709/2018) representa um marco na consolidação de um sistema normativo voltado para a proteção da privacidade e dos direitos fundamentais em um cenário profundamente influenciado pela evolução tecnológica. Ao superar a fragmentação das legislações anteriores e estabelecer regras claras e abrangentes para a coleta, tratamento e compartilhamento de dados, a LGPD garante maior segurança jurídica para indivíduos e empresas.
3.1 PRINCÍPIOS DA LGPD: BASES LEGAIS, FINALIDADES DO TRATAMENTO DE DADOS E OS OBJETIVOS DA PROTEÇÃO DE DADOS
Além dos agentes de tratamento, a LGPD estabelece os princípios norteadores dessa atividade. O artigo 6º da referida lei enumera onze princípios que fundamentam o tratamento de dados, sendo eles: (i) boa-fé, (ii) finalidade, (iii) adequação, (iv) necessidade, (v) livre acesso, (vi) qualidade dos dados, (vii) transparência, (viii) segurança, (ix) prevenção, (x) não discriminação, e (xi) responsabilização e prestação de contas (BRASIL, 2018).
O princípio da boa-fé, que é um pilar do direito brasileiro, exige condutas baseadas na confiança, lealdade e colaboração mútua, regulando tanto relações privadas quanto públicas, conforme art. 6º da LGPD (TARTUCE, 2017). No contexto da proteção de dados, tal princípio orienta condutas e assegura os direitos dos titulares diante dos agentes de tratamento, considerando suas expectativas legítimas no momento da coleta e do uso dos dados (MIRAGEM, 2019).
Correlato à boa-fé é o princípio da finalidade, que determina que os dados pessoais devem ser utilizados para fins lícitos, específicos e informados, conforme a finalidade apresentada ao titular no momento da coleta (MENDES; DONEDA, 2018). Esse princípio garante que o tratamento seja vinculado ao propósito original e fiscalizável pelo titular.
Os princípios da adequação e da necessidade complementam a finalidade. A adequação diz respeito à conformidade entre os dados coletados e a finalidade previamente informada ao titular, enquanto a necessidade impõe que apenas os dados estritamente essenciais para atingir essa finalidade sejam tratados (BRASIL, 2018; MIRAGEM, 2019).
Já os princípios do livre acesso, qualidade dos dados e transparência que estão descritos nos incisos IV, V e VI do artigo 6º da LGPD assegura ao titular, respectivamente, o direito de consultar facilmente as informações tratadas, a exatidão e atualização dos dados e o recebimento de informações claras e acessíveis sobre o tratamento e os responsáveis envolvidos (BRASIL, 2018).
Por sua vez, os princípios da segurança, prevenção, não discriminação e da responsabilização impõem obrigações aos agentes de tratamento. A segurança exige que sejam adotadas medidas técnicas e administrativas capazes de proteger os dados contra acessos não autorizados e incidentes acidentais ou ilícitos (BRASIL, 2018). A não discriminação veda o uso de dados com fins discriminatórios, enquanto a responsabilização impõe o dever de demonstrar conformidade com as normas e a eficácia das medidas adotadas (BRASIL, 2018).
Adicionalmente, a tríade da segurança da informação, a confidencialidade, a integridade e a disponibilidade, é considerada um referencial para o tratamento de dados. A confidencialidade assegura que apenas pessoas autorizadas tenham acesso às informações, garantindo a proteção enquanto estas trafegam ou são armazenadas em sistemas (HINTZBERGEN et al., 2018). A integridade diz respeito à garantia de que os dados não foram alterados de forma indevida ou sem autorização (MORAES, 2010). A disponibilidade, por fim, refere-se à capacidade de acesso contínuo às informações sempre que necessário, mesmo diante de falhas técnicas, devendo ser garantida por meio de soluções que evitem a interrupção dos sistemas (HINTZBERGEN et al., 2018; MORAES, 2010).
Portanto, falhas na segurança da informação podem resultar em exposição indevida de dados, comprometimento da privacidade e perda de informações. Considerando que a informação é um recurso estratégico para indivíduos e empresas, sua proteção contra acessos não autorizados é essencial.
Diante desse cenário, a proteção de dados pessoais não poderia continuar limitada a áreas específicas ou restringida por barreiras geográficas, que perderam relevância no mundo globalizado. As operações de coleta e tratamento de dados envolvem diversos atores de diferentes origens e funções, exigindo uma regulamentação coordenada e adaptável (MEDEIROS, 2021).
Desta forma, a informação pode ser compreendida como um dado que adquire relevância e significado a partir do contexto de quem a recebe, e passa a ser considerada dado quando armazenada ou processada por sistemas computacionais (HINTZBERGEN et al., 2018). Para Sêmola (2003, p. 9 apud FERNANDES, 2013), a segurança da informação refere-se a um campo do conhecimento voltado à proteção dos ativos informacionais contra acessos indevidos, alterações não autorizadas ou a sua indisponibilidade.
Segundo Hintzbergen et al. (2018), qualquer recurso que possua valor para uma organização, como dados, equipamentos, sistemas, ou mesmo pessoas, é classificado como um ativo de informação. Esses ativos são fundamentais para a estrutura organizacional de segurança da informação, cujas atividades englobam a formulação, aplicação, fiscalização e revisão de políticas de proteção (FERNANDES, 2013).
A legislação brasileira prevê três papéis essenciais relacionados à proteção de dados pessoais: o controlador, o operador e o encarregado. Antes de se abordar a responsabilidade civil desses sujeitos, é necessário compreender a função de cada um. A Lei Geral de Proteção de Dados (LGPD) define o tratamento de dados como qualquer operação realizada com dados pessoais, incluindo coleta, armazenamento, uso, compartilhamento, modificação e eliminação, conforme o disposto na Lei nº 13.709/2018 (BRASIL, 2018).
Essa definição possui escopo amplo e abrange todas as etapas do ciclo de vida dos dados. Aplica-se, nos termos do artigo 3º da LGPD, às operações realizadas em território nacional ou quando os dados forem coletados no Brasil, ou ainda quando houver oferta de bens ou serviços a pessoas localizadas no país (BRASIL, 2018).
A estrutura conceitual da LGPD tem como base o Regulamento Geral de Proteção de Dados da União Europeia (GDPR), o qual já estabelecia as figuras do controlador de dados e processador de dados, correspondentes, respectivamente, ao controlador e operador no ordenamento jurídico brasileiro. O European Data Protection Board (EDPB) esclarece que o controlador é aquele que define os objetivos e os meios do tratamento dos dados pessoais, sendo responsável pelo “porquê” e “como” esse processo ocorrerá. A execução de tarefas operacionais, por sua vez, pode ser delegada ao operador (EUROPEAN DATA PROTECTION BOARD, 2021).
A ͏proteção de dados, não é só um assunto técnico, mas uma garantia importante͏ ligada à dignidade das pessoas. A LGPD define princípios como finalidade, adaptabilidade, necessidade, liberdade de acesso, qualidade dos dados, segurança, precaução não͏ discriminação e obrigação; todos visam à proteção real da privacidade das pessoas.͏ ͏ ͏ No Brasil, no que se refere à confidencialidade, um dos princípios da segurança da informação, o Governo do Brasil colocou em prática a lei LGPD. Apresentando um grande progresso quando se fala em regra de proteção de dados pessoais, a lei LGPD ͏impõe mais controle sobre o manuseio dos dados pessoais aos donos, exigindo várias ͏obrigações para ͏os cuidadosos (que tomam as decisões sobre o͏ tratamento dos dados) e agentes (aqueles que ͏tratam aos dados conforme o que está previsto pelos cuidados͏) (SILVEIRA, 2021).
São consideradas dados pessoais toda informação que se relaciona com o que pode identificar o dono ou remete a ele. Essas ͏informações vão desde ͏o nome dos pais do ͏dono, um dado que revela sua identidade, até seu próprio ͏nome͏, suas digitais,͏ voz e íris. Também estão incluídos documentos com números únicos e exclusivos daquela pessoa. O tratamento destes dados, segundo a Le͏i Geral de͏ ͏Propriedade Intelectual, é muito importante para que as pessoas͏ sintam-se seguras em redes sociais. Não se deve usar ou divulgar e-mails ou senhas das pessoas sem a permissão delas. Os dados das pessoas são sagrados, como os segredos das famílias! É melhor errar do que quebrar as regras.͏ Os dados das pessoas são bem preciosos, como os segredos de família. É melhor falhar do que quebrar as regras. (͏VELHO, 2020͏)͏.
A necessidade de maior cuidado na proteção de dados pessoais é reforçada pelas reflexões do historiador Yuval Noah Harari(2018). Em sua obra, ele alerta para os riscos de concentração de riqueza e poder nas mãos de poucos, afirmando que: “Se quisermos evitar a concentração de toda a riqueza e de todo o poder nas mãos de uma pequena elite, a chave é regulamentar a propriedade dos dados.” (HARARI, 2018, p.107). Assim, a LGPD surge como uma resposta essencial para equilibrar inovação e proteção de direitos no contexto da economia digital.
No Brasil, a Lei Geral de Proteção de Dados (LGPD) foi criada com base no pressuposto de que todo dado pessoal possui relevância e valor. Essa perspectiva é influenciada pela decisão alemã de 1983 sobre o censo, que estabeleceu que não há dados insignificantes, consolidando o entendimento relacionado à autodeterminação informativa. Assim como o Regulamento Geral de Proteção de Dados (RGPD) da União Europeia, a legislação brasileira adota um conceito abrangente de dado pessoal, o qual, define que toda informação de uma pessoa é identificada ou identificável, de modo a englobar tanto os dados que permitem a identificação direta de um indivíduo quanto aqueles que, ainda que não o identifiquem de forma imediata, possuem relação com ele (CARDOSO, 2021).
A Lei nº 13.709/2018 constitui um novo marco legal de grande relevância no Brasil, afetando tanto as entidades públicas quanto privadas, ao tratar da proteção dos dados pessoais em qualquer situação que envolva o processamento de informações consideradas dados pessoais, por meio de qualquer tecnologia, seja por pessoas físicas ou jurídicas. Essa legislação introduz um conjunto de princípios, direitos e deveres relacionados ao uso de um dos recursos mais valiosos da sociedade digital: as bases de dados pessoais (PINHEIRO p. 15, 2018).
O artigo 1º da LGPD estabelece que qualquer pessoa natural ou jurídica, de direito público ou privado, que realize o tratamento de dados pessoais, inclusive por meios digitais, está submetida às disposições da lei. Já o artigo 3º define seu âmbito de aplicação, abrangendo operações de tratamento de dados realizadas: 1º No território nacional; 2º Com o objetivo de oferecer bens, serviços ou tratar dados de indivíduos localizados no Brasil; 3º ou quando os dados pessoais forem coletados em território brasileiro (BRASIL, 2018).
3.2 PAPEL DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD), SANÇÕES E CONSEQUÊNCIAS DO DESCUMPRIMENTO
Com a promulgação da LGPD, que foi posteriormente alterada pela Lei nº 13.853/2019, o Brasil estabeleceu um marco legal significativo para a proteção de dados pessoais. Essa legislação prevê, entre outras medidas, a criação da Autoridade Nacional de Proteção de Dados (ANPD). Esta entidade tem o papel fundamental de zelar pela adequação à LGPD, regulamentando, implementando e fiscalizando seu cumprimento, conforme estipulado no artigo 55-A da referida norma. A ANPD tem como missão garantir que os direitos fundamentais de liberdade, privacidade e desenvolvimento da personalidade dos indivíduos sejam respeitados (ANPD, 2021).
As principais atribuições da ANPD incluem a formulação de diretrizes para a política nacional de proteção de dados, a promoção de conhecimento sobre o tema para a sociedade, além da fiscalização e aplicação de sanções em casos de descumprimento da LGPD. No entanto, a efetividade desse controle enfrenta desafios, uma vez que a ANPD foi oficialmente instituída apenas dois anos após a entrada em vigor da LGPD, o que limita sua capacidade de aplicar sanções administrativas a condutas ocorridas antes de 1º de agosto de 2021, exceto em situações de infrações continuadas (MOREIRA, 2021)
Esse cenário ficou particularmente evidente durante a Operação realizada no combate a obtenção e vazamento ilegal de dados pessoais de brasileiros pela internet, relacionada a um megavazamento de dados pessoais, incluindo informações de autoridades públicas, como ministros do Supremo Tribunal Federal (STF). Apesar da seriedade da situação, a ANPD declarou a impossibilidade de aplicar sanções administrativas pelos eventos que ocorreram antes de seu efetivo funcionamento, embora o caso permaneça sob investigação no âmbito do Inquérito das Fake News, conduzido pelo STF (ANPD, 2021).
A centralização de dados pelo Estado, muitas vezes essencial para a elaboração de políticas públicas, requer uma abordagem proativa e responsável na gestão dessas informações. A fragilidade da estrutura estatal no manuseio de dados sensíveis tem aberto espaço para ataques cibernéticos e vazamentos em larga escala, como os que afetaram registros do PIX, FGTS, INSS e correntistas da Caixa Econômica Federal nos últimos anos. A ineficiência governamental, somada à lentidão na imposição de sanções e à ainda inadequada adaptação de entidades públicas e privadas à LGPD, cria um ambiente favorável para a atuação de grupos que comercializam dados pessoais de maneira ilegal (BARROS, 2021).
Nesse contexto, torna-se ainda mais importante a atuação firme da ANPD, não apenas em aplicar penalidades, mas também em exigir a implementação de mecanismos efetivos de governança e segurança da informação. De acordo com o artigo 52, § 1º, da LGPD, as sanções administrativas devem considerar fatores como a gravidade da infração, a natureza dos dados afetados, a boa-fé do infrator, a reincidência e a adoção de políticas e medidas técnicas para a proteção dos dados. A presença de procedimentos internos eficazes pode atenuar a sanção imposta, enquanto a sua ausência pode agravar as penalidades (DE CARVALHO, 2021).
As sanções administrativas previstas na LGPD variam desde advertências (art. 52, I) até multas simples ou diárias (art. 52, II e III), além da publicização da infração (art. 52, IV), podendo atingir valores de até R$ 50 milhões por infração (BRASIL, 2018). Assim, a efetividade da legislação dependerá não apenas da ação punitiva da ANPD, mas também do comprometimento das instituições em implementar práticas apropriadas de governança de dados, capazes de prevenir incidentes e mitigar seus impactos.
Por fim, é essencial reconhecer que, em um cenário onde a coleta e o uso de dados pessoais são cada vez mais intensos, a segurança do direito à privacidade deve ser entendida como um compromisso fundamental do Estado. A atuação da ANPD deve buscar um equilíbrio entre o uso legítimo das informações e a proteção dos indivíduos contra abusos. Uma responsabilização eficaz e proporcional de infratores é essencial para consolidar uma cultura de respeito aos dados pessoais no Brasil.
4. RESPONSABILIDADE CIVIL NA LEI GERAL DE PROTEÇÃO DE DADOS
A Lei Geral de Proteção de Dados Pessoais (LGPD) trata da responsabilidade civil na Seção III do Capítulo VI, sob o título “Da Responsabilidade e do Ressarcimento de Danos”. Nessa parte da legislação são abordados aspectos fundamentais como a solidariedade, a inversão do ônus da prova e as hipóteses de exclusão de responsabilidade, os quais serão analisados a seguir. Para tanto, é fundamental compreender inicialmente o modelo jurídico aplicável à responsabilidade decorrente da violação à proteção de dados pessoais.
No ordenamento jurídico brasileiro, a responsabilização civil pode seguir dois caminhos distintos: o da responsabilidade subjetiva, que exige comprovação de culpa, e o da responsabilidade objetiva, baseada no risco da atividade, independentemente da verificação de dolo ou culpa. Ambos os regimes compartilham três requisitos essenciais: a conduta (comissiva ou omissiva), o nexo de causalidade e o dano. Na responsabilidade subjetiva, é necessária a demonstração de culpa lato sensu (dolo ou culpa stricto sensu), enquanto a responsabilidade objetiva prescinde dessa comprovação, bastando o risco da atividade como fundamento (NOVAKOSKI; NASPOLINI, 2020).
A LGPD, por sua vez, não adota de maneira explícita um único regime de responsabilidade, o que gerou controvérsias entre os estudiosos do tema. Parte da doutrina entende que a lei opta pela responsabilidade objetiva, dada a natureza arriscada da atividade de tratamento de dados e a necessidade de proteger de forma eficaz o direito fundamental à privacidade. Outros defendem a responsabilidade subjetiva como regra (CAPANEMA, 2020).
A interpretação sistemática da LGPD com o Código Civil, especialmente à luz do art. 927, parágrafo único, que consagra a responsabilidade objetiva para atividades que, por sua natureza, implicam risco, sustenta o entendimento de que a proteção aos dados pessoais também se enquadra nesse modelo, dada sua potencialidade lesiva (NOVAKOSKI; NASPOLINI, 2020).
A lei prevê duas situações principais que ensejam o dever de indenizar: a prática de tratamento de dados em desacordo com as normas legais e o descumprimento de normas técnicas de segurança. Ambas estão reunidas no conceito de “tratamento irregular” descrito no art. 44, caput, da LGPD (BIONI; DIAS, 2020).
A primeira hipótese está disciplinada no art. 42, caput, que estabelece a obrigação do controlador ou operador de reparar o dano causado por tratamento de dados em desconformidade com a legislação de proteção de dados pessoais (BRASIL, 2018). Ressalte-se que a menção não se limita à LGPD, mas abarca o conjunto normativo que trata da proteção de dados, incluindo normas infralegais e administrativas expedidas por órgãos como a ANPD (CAPANEMA, 2020).
Já a segunda hipótese está prevista no art. 44, parágrafo único, que impõe a responsabilização do controlador ou operador por falhas na adoção de medidas de segurança adequadas, conforme previsto no art. 46 da mesma lei (BRASIL, 2018).
A aferição dessa responsabilidade técnica exige a consideração do “estado da arte”, ou seja, das tecnologias disponíveis e acessíveis à época do tratamento dos dados. O que se espera é que os agentes implementem as medidas que razoavelmente estejam ao seu alcance, levando em conta o modo como o tratamento é realizado, os riscos envolvidos e os resultados previsíveis da atividade (BIONI; DIAS, 2020).
A responsabilidade entre os agentes também pode ser solidária, eis que o art. 42, §1º, determina que o operador será responsabilizado solidariamente quando descumprir a legislação ou atuar fora das instruções do controlador, sendo neste caso equiparado a este. Da mesma forma, os controladores que atuarem conjuntamente respondem solidariamente pelos danos causados (BRASIL, 2018).
Contudo, a LGPD também prevê hipóteses de exclusão de responsabilidade no art. 43, em que a redação prevê que os agentes de tratamento não serão responsabilizados se comprovarem: (i) que não realizaram o tratamento atribuído; (ii) que não houve violação à legislação, mesmo havendo tratamento; ou (iii) que o dano decorreu exclusivamente de culpa do titular dos dados ou de terceiro (CAPANEMA, 2020).
Essa estrutura normativa revela uma presunção em desfavor do agente de tratamento, o que permite ao titular lesado invocar a inversão do ônus da prova, conforme o art. 42, §2º, nos casos em que houver verossimilhança na alegação, hipossuficiência ou dificuldade excessiva para produção da prova. Nessas circunstâncias, caberá ao agente demonstrar a inexistência dos requisitos da responsabilidade (BIONI; DIAS, 2020).
Assim, mesmo sob a ótica da responsabilidade subjetiva, a LGPD fortalece sobremaneira a posição do titular dos dados. A legislação presume culpa e autoria do agente de tratamento e flexibiliza os encargos probatórios do titular, priorizando a proteção de seu direito fundamental à privacidade (BIONI; DIAS, 2020, p. 19).
5. CONCLUSÃO
A promulgação da Lei Geral de Proteção de Dados Pessoais (LGPD) representou um divisor de águas no ordenamento jurídico brasileiro, consolidando-se como um importante marco normativo na proteção da privacidade e dos direitos fundamentais em um cenário cada vez mais digital e orientado pelo uso intensivo de informações. A partir da análise realizada neste trabalho, com foco no caso concreto do vazamento de dados dos beneficiários do Auxílio Brasil, evidenciou-se que a legislação, embora recente, possui fundamentos robustos e mecanismos legais capazes de assegurar a responsabilização dos agentes públicos e privados que atuem de forma negligente no tratamento de dados pessoais.
O episódio envolvendo a Caixa Econômica Federal, a Dataprev, a ANPD e a União demonstrou não apenas a vulnerabilidade estrutural dos sistemas governamentais frente a incidentes de segurança, mas também as graves consequências decorrentes da exposição indevida de dados sensíveis de milhões de cidadãos, especialmente daqueles em situação de vulnerabilidade social. A sentença proferida, mesmo posteriormente anulada por vícios processuais, apontou com clareza as falhas na gestão de dados e reforçou a importância de medidas preventivas, como relatórios de impacto, comunicação transparente aos titulares e revisão de protocolos de segurança.
Verificou-se ainda que a aplicação da LGPD não se limita a punições, mas se estende à promoção de uma cultura organizacional de governança, prevenção e respeito à privacidade, impondo a adoção de boas práticas e mecanismos de controle efetivos. A atuação da ANPD, embora recente e ainda em processo de estruturação, surge como um elemento essencial para garantir a eficácia da norma, devendo atuar com firmeza tanto na fiscalização quanto na promoção da educação e conscientização sobre proteção de dados.
Além disso, a pesquisa revelou que os desafios da era digital vão além da técnica: tratam-se de questões éticas, políticas e sociais. A proteção de dados não pode ser vista apenas como um requisito legal, mas como uma expressão concreta da dignidade humana. A segurança da informação e a responsabilidade civil são pilares que, articulados à LGPD, impõem uma nova postura institucional, voltada à proteção do indivíduo contra abusos e à construção de um ambiente digital mais seguro, transparente e justo.
Dessa forma, conclui-se que a LGPD é um instrumento eficaz, mas sua plena efetividade depende de uma atuação conjunta entre o Estado, as empresas, os operadores do direito e a sociedade civil. Casos como o do Auxílio Brasil servem de alerta e aprendizado, demonstrando a urgência de se avançar não apenas na regulação, mas também na implementação de políticas públicas sólidas, investimentos em tecnologia da informação, qualificação de profissionais e fortalecimento da cultura de proteção de dados. O respeito à privacidade e ao tratamento adequado das informações deve ser visto, acima de tudo, como um compromisso ético com a cidadania em uma sociedade cada vez mais conectada e interdependente.
REFERÊNCIAS
ANPD, Autoridade Nacional de Proteção de Dados. 2021 Disponível em: < https://www.gov.br/anpd/pt-br>. Acesso em: 19 de mar. 2025.
BARROS, Felipe C. d. S. Vazamento de dados pessoais na internet: a população brasileira está protegida com a LGPD. Disponível em: < https://www.grupounibra.com/repositorio/REDES/2021/vazamento-de-dados-pessoais-na-internet-a-populacao-brasileira-esta-protegida-com-a-lgpd8.pdf>. Aceso em 19 mar. 2025.
BERTOLLI, Emilia. Estatísticas e tendências de segurança cibernética. Disponível em: < https://www.varonis.com/pt-br/blog/estatisticas-e-tendencias-de-seguranca-cibernetica>. Acesso em: 30 mar. 2025.
BIONI, Bruno Ricardo. Proteção de dados [livro eletrônico]: contexto, narrativas e elementos fundantes. Disponível em: <https://observatoriolgpd.com/wp-content/uploads/2021/08/1629122407livro-LGPD-Bruno-Bioni-completo-internet-v2.pdf>. Acesso em: 14 nov. 2024.
BIONI, Bruno Ricardo. Proteção de Dados Pessoais: a função e os limites do consentimento. 2. ed. Rio de Janeiro: Forense, 2020.
BISSO, Rodrigo et al. Vazamentos de Dados: Histórico, Impacto Socioeconômico e as Novas Leis de Proteção de Dados. Revista Eletrônica Argentina-Brasil de Tecnologias da Informação e da Comunicação, v. 3, n. 1, mar. 2020. Disponível em: https://revistas.setrem.com.br/index.php/reabtic/article/view/378/174. Acesso em: 18 mar. 2025.
BRASIL. [Constituição (1988)]. Constituição da República Federativa do Brasil de 1988. Brasília, DF: Presidência da República, [2016]. Disponível em: http://www.planalto.gov.br/ccivil_03/Constituicao/ Constituiçao.htm. Acesso em: 14 nov. 2024.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília, DF: Presidência da República, [2020]. Disponível em: <https://www.planalto.gov.br/ccivil_03/_ato2019-2022/2020/lei/l14020.htm>. Acesso em: 14 nov. 2024.
CARDOSO, Eduarda Teixeira. A RESPONSABILIDADE CIVIL À LUZ DA LEI GERAL DE PROTEÇÃO DE DADOS: uma análise acerca da sua natureza jurídica e aplicação. Disponível em: <https://lume.ufrgs.br/handle/10183/236506>. Acesso em: 14 nov. 2024.
CARVALHO, L. M de. A RESPONSABILIDADE CIVIL NA LEI GERAL DE PROTEÇÃO DE DADOS: natureza da obrigação e requisitos para o pedido de indenização individual. Disponível em: <https://monografias.ufop.br/bitstream/35400000/3053/6/MONOGRAFIA_ResponsabilidadeCivilLei.pdf>. Acesso em: 14 nov. 2024.
CASTELLS, M. A sociedade em rede. 3. ed. São Paulo: Paz e Terra, 2000.
COELHO, A. C. B. A Lei Geral de Proteção de Dados Pessoais Brasileira como meio de efetivação dos direitos da personalidade. João Pessoa: [s.n.], 2019.
DE CARVALHO, Vinicius Marques; MATTIUZO, Marcela; PONCE, Paula Pedigoni. Boas práticas e governança na LGPD. In: DONEDA, Danilo; SARLET, Ingo Wolfgang; MENDES, Laura Schertel; RODRIGUES JUNIOR, Otavio Luiz; BIONI, Bruno Ricardo. Tratado de proteção de dados pessoais. 1. ed. Rio de Janeiro: Forense, 2021, p. 1168
ESTADÃO CONTEÚDO. Caixa poderá pagar multa bilionária por vazar de dados de beneficiários do Auxílio Brasil. Disponível em: < https://istoedinheiro.com.br/caixa-podera-pagar-multa-bilionaria-por-vazar-de-dados-de-beneficiarios-do-auxilio-brasil/?utm_source=chatgpt.com>. Acesso em: 18 mar. 2025.
EUROPEAN DATA PROTECTION BOARD. Guidelines 07/2020 on the concepts of controller and processor in the GDPR. Bruxelas, Bélgica, 2021. 51 p. Disponível em: https://edpb.europa.eu/system/files/2021- 07/eppb_guidelines_202007_controllerprocessor_final_en.pdf. Acesso em: 01 abr. 2025.
FERNANDES, Nélia O. Campo. Segurança da informação. Cuiabá: UFMT: IF Rondônia, 2013. Disponível em: https://docplayer.com.br/154795856-Seguranca-dainformacao-nelia-o-campo-fernandes.html. Acesso em: 01 abr. 2025.
GODINHO, A. M. O fenômeno da constitucionalização: um novo olhar sobre o Direito Civil. Revista Libertas, janeiro 2013.
HARARI, Yuval Noah. 21 Lições para o Século 21. Trad. Paulo Geiger. São Paulo: Companhia das Letras, 2018. P. 107.
HINTZBERGEN, Jule et al. Fundamentos de Segurança da Informação: com base na ISO 27001 e na ISO 27002. 3 ed. Rio de Janeiro: Brasport 2018.
LIMA, Adrianne. Empresas públicas: condenação baseada na LGPD, Marco Civil da Internet e CDC. Disponível em: < https://www.migalhas.com.br/depeso/393654/condenacao-baseada-na-lgpd-marco-civil-da-internet-e-cdc>. Acesso em: 30 mar. 2025.
LIMA RAPÔSO, C. F.; MELO DE LIMA, H.; DE OLIVEIRA JUNIOR, W. F.; FERREIRA SILVA, P. A. .; ELAINE DE SOUZA BARROS, E. . LGPD – Lei Geral De Proteção De Dados Pessoais Em Tecnologia Da Informação: Revisão Sistemática. RACE – Revista de Administração do Cesmac, [S. l.], v. 4, p. 58–67, 2019. DOI: 10.3131/race.v4i0.1035. Disponível em: < https://revistas.cesmac.edu.br/administracao/article/view/1035>. Acesso em: 21 mar. 2025.
MARTINS, Ana Paula Pereira. Vazamento e mercantilização de dados pessoais e a fragilidade da segurança digital do consumidor: um estudo dos casos Netshoes e Uber. 2018. Disponível https://www.academia.edu/download/62362494/BRASILCON20200313-803673bi0io.pdf. Acesso em: 18 mar. 2025.
MEDEIROS, T. C. RESPONSABILIDADE CIVIL PELA VIOLAÇÃO AO DIREITO À PROTEÇÃO DE DADOS PESSOAIS. Disponível em: < https://repositorio.ufc.br/bitstream/riufc/63443/1/2021_tcc_tcmedeiros.pdf>. Acesso em: 14 nov. 2024.
MENDES, Laura Schertel; DONEDA, Danilo. Reflexões iniciais sobre a nova Lei Geral de Proteção de Dados. Revista de Direito do Consumidor, São Paulo, v. 120. N. 27. p. 469- 483, 2018.
MIRAGEM, Bruno. A Lei Geral de Proteção de Dados (Lei 13.709/2018) e o direito do consumidor. Revista dos Tribunais, São Paulo, v. 1009, n.2, p. 173-222, nov. 2019. Disponível em: <https://brunomiragem.com.br/wp-content/uploads/2020/06/002-LGPD-e-odireito-do-consumidor.pdf>. Acesso em: 01 abr. 2025.
MIX VALE. Como verificar o direito à indenização: Caixa enfrenta ação e pode pagar R$ 15 mil a 4 milhões por vazamento no Auxílio Brasil. Disponível em: < https://www.mixvale.com.br/2025/03/03/como-verificar-o-direito-a-indenizacao-caixa-enfrenta-acao-e-pode-pagar-r-15-mil-a-4-milhoes-por-vazamento-no-auxilio-brasil/>. Acesso em: 29 mar. 2025.
MORAES, Alexandre Fernandes de. Redes de Computadores: fundamentos. São Paulo: Érica, 2010.
MOREIRA, Guibson Guedes. Privacidade Financeira Como Direito Fundamental: Uma Análise Sobre O Vazamento De Dados Da Serasa Experian. Disponível em: <https://repositorio.pucgoias.edu.br/jspui/handle/123456789/3464>. Acesso em: 20 de mar. 2025.
MUNIZ, Gabriel. Auxílio Brasil e a Indenização por Vazamento de Dados. Disponível em: <https://www.jusbrasil.com.br/artigos/auxilio-brasil-e-a-indenizacao-por-vazamento-de-dados/2027336966>. Acesso em: 19 de mar. 2025.
OLIVEIRA, J. E. da S. RESPONSABILIDADE CIVIL DOS AGENTES DE PROTEÇÃO DE DADOS NO BRASIL. Disponível em: < https://repositorio.ufpb.br/jspui/bitstream/123456789/16584/1/JESO04102019.pdf>. Acesso em: 14 nov. 2024.
PINHEIRO, P. P. Proteção de Dados Pessoais: Comentários à Lei nº 13.709/2018. 1. ed. São Paulo: Saraiva Educação, 2018.
ROCHA, Rosely. Saiba se você pode ter direito a R$ 15 mil por vazamento de dados do Auxílio Brasil. Disponível em: < https://www.cut.org.br/noticias/saiba-se-voce-pode-ter-direito-a-r-15-mil-por-vazamento-de-dados-do-auxilio-bras-8f33>. Acesso em 20 de mar. 2025.
SÃO PAULO. 1ª Vara Cível Federal de São Paulo. Ação Civil Pública Cível nº 5028572-20.2022.4.03.6100. Indenização por Dano Moral, Indenização por Dano Material, Lei Geral de Proteção de Dados (LGPD), Lei Geral de Proteção de Dados (LGPD). Juiz Federal: MARCO AURELIO DE MELLO CASTRIANNI, São Paulo, 06 de setembro de 2023. Disponível em: https://pje1g.trf3.jus.br:443/pje/Processo/ConsultaDocumento/listView.seam?x=23090617380583400000290405839. Acesso em 06 mai. 2025.
SIGILO. Caso Auxílio Brasil ainda tramita e campanha de proteção às vítimas de vazamento de dados deve voltar ao ar. Disponível em: < https://sigilo.org.br/caso-auxilio-brasil-ainda-tramita-e-campanha-de-protecao-as-vitimas-de-vazamento-de-dados-deve-voltar-ao-ar/>. Acesso em: 28 mar. 2025.
SIGILO. Campanha Auxílio Brasil. Disponível em: < https://campanhas.sigilo.org.br/auxilio-brasil?_gl=1*7fkwt4*_ga*MTIzNzUyNDQ1OS4xNzQzNTUzMjcy*_ga_FRRRFDYZVW*MTc0MzcyNTg2OS4zLjEuMTc0MzcyNzAyMS4wLjAuMA.>. Acesso em: 28 mar. 2025.
SILVEIRA, Suzana Aparecida. Segurança da informação e proteção de dados pessoais: estudo de caso e proposta de governança para serviços de saúde. 2021. 211 f. Dissertação (Mestrado profissional em inovação tecnológica) – Departamento de Ciência e Tecnologia, Universidade de São Paulo, São Paulo, 2021.Disponível em: https://repositorio.unifesp.br/bitstream/handle/11600/60909/Defesa%20MPIT%20SU ZANA%20APARECIDA%20SILVEIRA%20VERSA%cc%83O%20FINAL%20UNIFES P%20CBM.pdf?sequence=1&isAllowed=y. Acesso em: 02 abr. 2025.
TARTUCE, Flávio. Manual de direito civil: volume único. 7 ed. Rio de Janeiro: Forense, 2017.
TRF3. União, Caixa, Dataprev e ANPD devem indenizar cidadãos que tiveram dados pessoais vazados em 2022. Disponível em: < https://web.trf3.jus.br/noticias-sjsp/Noticiar/ExibirNoticia/1020-uniao-caixa-dataprev-e-anpd-devem-indenizar-cidadaos>. Acesso em: 18 mar. 2025.
VELHO, Raphaela. Em vigor a partir de agosto, implementação da Lei Geral de Proteção de Dados ainda enfrenta desafios. Ciência e Cultura, São Paulo, v. 72, n. 2, abr./jun. 2020. Disponível em: http://cienciaecultura.bvs.br/scielo.php?script=sci_arttext&pid=S0009- 67252020000200004. Acesso em: 28 mar. 2025.
1Acadêmico de Direito da Faculdade ISEPE/RONDON. E-mail: eduardoamorinkurtz@gmail.com
2Professor orientador. E-mail: matheusbportela@gmail.com