A possibilidade de condenação das empresas ao pagamento de indenização por incidentes de segurança com dados pessoais (vazamentos de dados) sempre foi muito questionada, especialmente quanto à qualificação ou não do dano moral presumido.

A primeira grande decisão proferida pelo Superior Tribunal de Justiça (STJ) sobre o tema ocorreu em 2022, no âmbito do Recurso Especial nº 2130619 – SP, onde através de um entendimento unânime, o STJ decidiu que o vazamento de dados pessoais comuns, por si só, não gera o dano moral presumido, sendo necessário comprovar os efetivos prejuízos causados.

Por outro lado, em caso de vazamento de dados pessoais sensíveis (aqueles sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico), o dano moral presumido seria qualificado. Neste caso, vale lembrar que o acórdão em referência não abordou a tese de culpa exclusiva de terceiro.

A decisão, apesar de não atender às expectativas de grande parte da sociedade, foi de extrema relevância para o mercado, diante do grande número de incidentes com dados pessoais registrados anualmente e, especialmente, frente ao volume de titulares afetados.

Posteriormente, em dezembro de 2024, o STJ decidiu, no julgamento do REsp 2.147.374/SP, que as empresas não podem se esquivar da responsabilidade por vazamentos de dados, mesmo sob a alegação de haverem sido objeto de ataques hacker ou de haverem os referidos incidentes sido causados por culpa exclusiva de terceiros.

Com tal precedente, reforça-se a necessidade das empresas em demonstrar, através de evidências concretas, a adoção de medidas de segurança efetivas e prevenção de riscos relacionados ao tratamento de dados pessoais, de forma eficaz e adequada a cada circunstância, sob risco de responsabilização por prejuízo aos titulares de dados.

O posicionamento do STJ destaca a importância do compliance de dados, ou seja, a conformidade com padrões de segurança, governança e boas práticas de tratamento de dados pessoais, de forma a garantir transparência, monitoramento contínuo e uma estrutura concreta e efetiva para proteger os dados pessoais e garantir os direitos dos titulares.

As decisões estabelecem precedentes de extrema relevância para demonstrar a responsabilidade das empresas, reforçando que eventuais incidentes poderão levar a consequências judiciais e implicações financeiras às empresas, seja através de processos postulados pelos titulares frente a vazamentos e danos causados, ou por processos administrativos por parte da Autoridade Nacional de Proteção de Dados (ANPD) ou dos Ministérios Públicos.