Vazamento de Dados: Responsabilidade Legal

“A negligência é a forma mais democrática de culpa: atinge a todos.” — José de Aguiar Dias

Os dados dos seus clientes vazaram. Você não hackeou ninguém. Não vendeu informações. Simplesmente não protegeu o que devia proteger. E agora responde nas esferas administrativa, civil e criminal. Simultaneamente.

Vazamentos de dados tornaram-se uma das maiores ameaças ao ambiente corporativo brasileiro. A cada ano, milhões de registros contendo informações pessoais de clientes, colaboradores e parceiros são expostos por falhas de segurança, ataques cibernéticos ou negligência organizacional. Para além dos prejuízos reputacionais (que podem ser devastadores), o vazamento de dados gera responsabilidades concretas nas esferas administrativa, civil e criminal que podem atingir não apenas a empresa, mas pessoalmente seus sócios, administradores e gestores.

Com a consolidação da Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018) e o fortalecimento da atuação fiscalizatória da Autoridade Nacional de Proteção de Dados (ANPD), conhecer as consequências jurídicas de um incidente de segurança é obrigação de qualquer empresa que trate dados pessoais — ou seja, de praticamente todas.

O que caracteriza um vazamento de dados

Nos termos da LGPD e das normas regulatórias da ANPD, um incidente de segurança é qualquer evento adverso confirmado que comprometa a confidencialidade, integridade ou disponibilidade de dados pessoais. Isso inclui, mas não se limita a:

• Acessos não autorizados a bancos de dados contendo informações pessoais
• Exposição pública de dados por falha de configuração de sistemas (servidores abertos, APIs desprotegidas)
• Ataques de ransomware que comprometam a disponibilidade dos dados
• Roubo de dispositivos (notebooks, celulares, pen drives) contendo dados pessoais não criptografados
• Envio acidental de informações pessoais para destinatários errados
• Descarte inadequado de documentos físicos ou mídias eletrônicas contendo dados pessoais
• Acesso indevido por funcionários que excedam suas permissões

Ora, o conceito de incidente de segurança é amplo: não se restringe a ataques cibernéticos sofisticados. Um simples e-mail enviado com cópia aberta (em vez de cópia oculta) contendo dados pessoais de centenas de clientes pode configurar um incidente que aciona as obrigações legais da empresa.

A obrigação de notificação (art. 48 da LGPD)

O art. 48 da LGPD impõe ao controlador a obrigação de comunicar à ANPD e aos titulares a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. A comunicação deve ser feita em prazo razoável — a ANPD recomenda que seja realizada em até 72 horas após a ciência do incidente — e deve conter, no mínimo:

1. Descrição da natureza dos dados pessoais afetados
2. Informações sobre os titulares envolvidos
3. Indicação das medidas técnicas e de segurança utilizadas para proteção dos dados
4. Riscos relacionados ao incidente
5. Motivos da demora, quando a comunicação não for imediata
6. Medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo

A ANPD pode determinar que o controlador divulgue amplamente o fato em meios de comunicação, o que configura uma sanção adicional com potencial devastador para a reputação da empresa.

O descumprimento da obrigação de notificação é, por si só, uma infração administrativa que pode agravar significativamente as sanções aplicadas pela ANPD.

Responsabilidade administrativa perante a ANPD

A primeira e mais imediata esfera de responsabilização é a administrativa. A ANPD, no exercício de sua competência fiscalizatória, pode instaurar processo administrativo sancionador e aplicar as seguintes penalidades previstas no art. 52 da LGPD:

• Advertência com prazo para medidas corretivas
• Multa simples de até 2% do faturamento bruto (limitada a R$ 50 milhões por infração)
• Multa diária
• Publicização da infração: determinação de que a empresa divulgue publicamente o ocorrido
• Bloqueio dos dados pessoais até regularização
• Eliminação dos dados pessoais relacionados à infração
• Suspensão parcial do banco de dados por até 6 meses
• Suspensão da atividade de tratamento por até 6 meses
• Proibição parcial ou total do exercício de atividades de tratamento

A ANPD publicou o Regulamento de Dosimetria e Aplicação de Sanções que estabelece critérios objetivos para fixação das penalidades, considerando fatores como:

• Gravidade e natureza das infrações
• Boa-fé e cooperação do infrator
• Condição econômica do infrator
• Reincidência
• Grau do dano
• Adoção de política de boas práticas e governança (arts. 46 e 50 da LGPD)
• Pronta adoção de medidas corretivas
• Proporcionalidade entre a gravidade da falta e a intensidade da sanção

A existência de um programa de conformidade robusto pode servir como fator atenuante — mas não exclui a responsabilidade da empresa.

Responsabilidade civil: objetiva ou subjetiva?

A questão da natureza da responsabilidade civil por vazamento de dados é uma das mais debatidas no Direito brasileiro contemporâneo. A LGPD prevê, em seus arts. 42 a 45, o regime de responsabilização civil do controlador e do operador de dados.

A posição dos tribunais

O Superior Tribunal de Justiça (STJ) tem sido demandado a se posicionar sobre a natureza da responsabilidade civil em casos de vazamento de dados. A jurisprudência ainda está em formação, mas algumas tendências se delineiam:

Corrente da responsabilidade objetiva: sustenta que, sendo o tratamento de dados pessoais uma atividade de risco, a responsabilidade do controlador independe de culpa, bastando a comprovação do dano e do nexo causal. Essa corrente se apoia no art. 927, parágrafo único, do Código Civil e na analogia com o Código de Defesa do Consumidor.

Corrente da responsabilidade subjetiva (com inversão do ônus da prova): argumenta que a LGPD não adotou expressamente a responsabilidade objetiva, mas facilita a prova para o titular por meio da inversão do ônus probatório. Cabe ao controlador demonstrar que adotou as medidas de segurança adequadas.

É que, na prática, independentemente da corrente adotada, a empresa que sofre um vazamento de dados terá de demonstrar que adotou medidas técnicas e administrativas adequadas para a proteção dos dados — o que reforça a importância da implementação efetiva de um programa de conformidade com a LGPD. Para orientações sobre como estruturar esse programa, consulte nosso guia prático de adequação à LGPD.

Dano moral coletivo e individual

O vazamento de dados pode gerar direito a indenização por:

• Dano moral individual: cada titular cujos dados foram expostos pode pleitear indenização, especialmente quando se trata de dados sensíveis (saúde, orientação sexual, dados financeiros)
• Dano moral coletivo: o Ministério Público ou associações de defesa do consumidor podem ajuizar ação civil pública pleiteando indenização em benefício de toda a coletividade afetada
• Dano material: quando o titular sofre prejuízo econômico direto (fraudes, clonagem de cartão, contratação indevida de serviços)

As indenizações por dano moral em casos de vazamento de dados no Brasil ainda variam significativamente, mas decisões recentes demonstram uma tendência de elevação dos valores, especialmente em casos envolvendo dados sensíveis ou grande número de titulares afetados.

Responsabilidade solidária entre controlador e operador

A LGPD estabelece que o operador (empresa que trata dados pessoais em nome do controlador) responde solidariamente pelos danos causados pelo tratamento quando descumpre obrigações da lei ou quando não segue as instruções do controlador (art. 42, §1º).

A empresa controladora não se exime de responsabilidade simplesmente por ter terceirizado o tratamento de dados. Ao contrário: permanece responsável perante os titulares e deve assegurar, contratualmente, que seus operadores adotem medidas de segurança adequadas.

Responsabilidade criminal dos gestores

Embora a LGPD não contenha tipos penais próprios, o vazamento de dados pode ter implicações criminais para os sócios, administradores e gestores da empresa, dependendo das circunstâncias do incidente.

Condutas que podem configurar crime

• Invasão de dispositivo informático (art. 154-A do CP): quando o gestor instala vulnerabilidades intencionalmente ou facilita a invasão de sistemas
• Violação de sigilo funcional ou profissional (arts. 325 e 154 do CP): quando há divulgação deliberada de informações sigilosas
• Estelionato (art. 171 do CP): quando dados vazados são utilizados para obtenção de vantagem ilícita, com participação ou anuência do gestor
• Apropriação indébita (art. 168 do CP): quando dados pessoais confiados à empresa são utilizados para finalidade diversa da autorizada
• Inserção de dados falsos em sistema de informações (art. 313-A do CP): aplicável a agentes públicos

A questão da omissão penalmente relevante

A responsabilidade criminal do gestor por omissão é tema de especial relevância. Veja-se: o art. 13, §2º, do Código Penal estabelece que a omissão é penalmente relevante quando o omitente devia e podia agir para evitar o resultado. No contexto da proteção de dados, o gestor que:

• Conhecia as vulnerabilidades do sistema e não tomou providências
• Recusou investimentos em segurança da informação apesar de alertas técnicos
• Não implementou as medidas mínimas de segurança exigidas pela LGPD
• Ignorou incidentes anteriores sem adotar medidas corretivas

pode, em tese, ser responsabilizado criminalmente por omissão imprópria (ou comissão por omissão), especialmente quando o vazamento gera danos significativos aos titulares.

Para compreender melhor o panorama dos crimes digitais e as estratégias de prevenção, recomendamos a leitura do nosso artigo sobre crimes cibernéticos e defesa empresarial.

Estudos de caso na jurisprudência brasileira

Caso ANPD vs. Telekall (2023)

A primeira sanção administrativa aplicada pela ANPD no Brasil foi contra a empresa Telekall Infoservice, condenada por tratamento irregular de dados pessoais para fins de disparo de mensagens eleitorais via WhatsApp. A empresa foi multada e teve seus dados bloqueados. O caso demonstrou que a ANPD não hesita em sancionar mesmo empresas de pequeno porte.

Vazamentos em órgãos públicos

Diversos órgãos públicos brasileiros foram alvos de ataques cibernéticos que resultaram na exposição de dados de milhões de cidadãos. O STJ, o TSE e o Ministério da Saúde sofreram incidentes significativos, evidenciando que nenhuma organização — pública ou privada — está imune.

Megavazamentos de dados

O Brasil registrou megavazamentos que expuseram dados de mais de 200 milhões de CPFs, incluindo informações como nome, data de nascimento, endereço, renda e score de crédito. Esses episódios geraram investigações policiais, processos administrativos na ANPD e dezenas de ações civis.

Plano de resposta a incidentes: como se preparar

A diferença entre uma empresa que supera um incidente de segurança com danos controlados e uma que sofre consequências devastadoras está, em grande parte, na preparação prévia. Um plano de resposta a incidentes eficaz deve contemplar:

Fase 1: Preparação

• Constituição de equipe de resposta a incidentes (jurídico, TI, comunicação, alta direção)
• Definição de papéis e responsabilidades de cada membro
• Estabelecimento de canais de comunicação de emergência
• Contratação prévia de perícia forense digital
• Revisão de apólices de seguro cyber

Fase 2: Detecção e análise

• Implementação de sistemas de monitoramento e alertas
• Procedimentos de triagem e classificação de incidentes por severidade
• Protocolo de escalação conforme a gravidade
• Documentação detalhada desde o primeiro momento

Fase 3: Contenção e erradicação

• Isolamento dos sistemas afetados (sem desligá-los)
• Identificação e eliminação da causa raiz
• Preservação de evidências digitais com cadeia de custódia
• Restauração de dados a partir de backups verificados

Fase 4: Comunicação

• Notificação à ANPD no prazo regulamentar
• Comunicação aos titulares afetados com orientações claras
• Nota à imprensa, quando necessário
• Comunicação a parceiros comerciais e operadores afetados
• Comunicação ao Ministério Público, quando cabível

Fase 5: Pós-incidente

• Análise completa do incidente (post-mortem)
• Implementação de medidas corretivas
• Atualização do plano de resposta com lições aprendidas
• Treinamento adicional dos colaboradores
• Revisão de contratos com operadores

Estratégias de mitigação de responsabilidade

Embora não eliminem a responsabilidade, determinadas medidas podem atenuar significativamente as sanções aplicáveis e reduzir a exposição da empresa:

• Programa de conformidade documentado: demonstrar que a empresa mantém política de proteção de dados, realizou mapeamento, nomeou DPO e implementou medidas de segurança
• Comunicação tempestiva: notificar a ANPD e os titulares dentro do prazo, com informações completas
• Cooperação com a ANPD: colaborar com a investigação e fornecer as informações solicitadas
• Medidas corretivas imediatas: demonstrar pronta resposta ao incidente
• Indenização voluntária aos titulares: quando cabível, pode demonstrar boa-fé e reduzir o passivo judicial
• Contratação de seguro cyber: mitigar o impacto financeiro do incidente
• Auditoria independente: comprovar a adequação das medidas por meio de avaliação externa

Considerações finais

O vazamento de dados é um evento que pode gerar consequências devastadoras e simultâneas nas esferas administrativa, civil e criminal. A melhor estratégia é a prevenção: investir em segurança da informação, implementar um programa robusto de conformidade com a LGPD e preparar um plano de resposta a incidentes antes que eles ocorram.

Quando o incidente já ocorreu, a assessoria jurídica especializada é o que separa uma crise controlada de um desastre irreversível.

A pergunta não é se a sua empresa vai sofrer um incidente. É se ela está preparada para quando acontecer.

---

Leia também:

• LGPD para empresas: guia de adequação
• Crimes cibernéticos e defesa empresarial
• Marco Civil da Internet

O escritório SMARGIASSI Advogado, com atuação no Sul de Minas Gerais e em todo o Brasil, oferece assessoria jurídica especializada em proteção de dados, resposta a incidentes de segurança e Direito Penal Empresarial. Se sua empresa sofreu um incidente de segurança ou precisa estruturar seu programa de conformidade, entre em contato pelo WhatsApp para orientação imediata.