Responsabilidade Civil das Empresas em Vazamentos de Dados: O Que Diz a Lei

setembro 14, 2025 Código Alpha

Por que o vazamento de dados é, ao mesmo tempo, problema jurídico e de negócio

Vazamentos de dados passaram de “incidente de TI” para risco jurídico estratégico.
Quando informações pessoais são expostas — seja por ataque externo, erro interno, acesso indevido ou perda de mídia —
a empresa enfrenta três frentes ao mesmo tempo: (i) deveres legais de prevenção e de resposta;
(ii) responsabilidade civil pelos danos causados a titulares; e (iii) impactos econômicos
diretos (multas, processos, custo de remediação) e indiretos (reputação, quebra de confiança, perda de contratos).

A Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018) organiza esse jogo: ela define quem responde, quais são os
princípios e medidas de segurança esperadas, quando notificar a Autoridade Nacional de Proteção de Dados (ANPD) e
os titulares, além de prever sanções administrativas. O Marco Civil da Internet (Lei 12.965/2014) e
o Código de Defesa do Consumidor (CDC — Lei 8.078/1990) completam o quadro, reforçando deveres de
transparência, guarda de registros e, no caso de relações de consumo, a responsabilidade objetiva por falha na prestação
do serviço.

Quem responde: controlador, operador e co-controlador

A LGPD distingue controlador (quem decide as finalidades e os meios do tratamento) e operador
(quem realiza o tratamento em nome do controlador). Vaza um banco em poder do operador? O controlador continua responsável
perante o titular e a ANPD, sem prejuízo do direito de regresso contra o operador. Se a arquitetura
do negócio envolve decisões conjuntas sobre finalidades, pode haver corresponsabilidade entre co-controladores.

Responsabilidade solidária e direito de regresso

Perante titulares e ANPD: a regra prática é a solidariedade. O titular pode cobrar de qualquer agente envolvido.
Entre os agentes: contratos bem feitos (DPA/ACD) definem responsabilidades, padrões de segurança,
deveres de notificação, SLA de resposta e alocação de riscos (regresso, limites de indenização, seguros).

Qual é o dever de segurança — e o que ele significa na prática

O art. 46 da LGPD impõe que controladores e operadores adotem medidas de segurança, técnicas e administrativas
aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição,
perda, alteração, comunicação ou difusão. Não é uma lista fechada; a régua é a proporcionalidade ao risco
e ao contexto (natureza dos dados, volume, criticidade, exposição, tecnologia disponível).

Princípios que orientam a responsabilidade

Prevenção: agir antes do problema, com gestão de riscos contínua.
Segurança e Accountability: capacidade de demonstrar o que foi feito — políticas,
registros, auditorias, treinamentos, testes.
Minimização: menos dado exposto, menos dano potencial (coleta e retenção estritamente necessárias).
Privacy by design: proteção desde a concepção e por padrão, e não como remendo posterior.

Boas práticas técnicas e organizacionais (exemplos)

Classificação de dados e data mapping (saber onde estão, quem acessa e por quê).
Gestão de identidade e acesso (MFA, princípio do menor privilégio, revisão periódica).
Criptografia em repouso e em trânsito; tokenization quando aplicável.
Segmentação de rede, WAF, EDR/XDR, varreduras e testes de invasão (com plano de correção).
Backups imutáveis e testados; planos de continuidade e de recuperação de desastres.
Treinamento recorrente contra engenharia social e simulações de phishing.
Políticas de retenção e descarte seguro; diários de logs e trilhas de auditoria.
Homologação segura de terceiros; cláusulas contratuais de segurança e auditoria.

Quando e como notificar incidentes

O art. 48 da LGPD determina que o controlador comunique à ANPD e ao titular, em prazo razoável,
a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante.
A comunicação deve ser clara e suficiente para permitir que a autoridade e os titulares avaliem o impacto e adotem medidas.

O que informar (conteúdo mínimo útil)

Descrição do incidente e data estimada de início/detecção.
Natureza dos dados afetados (pessoais comuns, cadastro, credenciais, financeiros, dados sensíveis etc.).
Volume de titulares e alcance (interno, clientes, parceiros).
Riscos envolvidos e possíveis impactos (fraude, discriminação, exposição de segredos, dano reputacional).
Medidas técnicas e administrativas adotadas para conter e remediar.
Orientações aos titulares (troca de senha, vigilância de movimentos suspeitos, contato oficial, canais de dúvida).

Critérios práticos de risco/dano relevante

Presença de dados sensíveis (origem racial, convicção religiosa, saúde, biometria etc.).
Dados que permitam fraude financeira ou furto de identidade.
Volume e contexto (ex.: exposição pública vs. acesso individual e efêmero).
Capacidade de reversão/mitigação e evidências de uso malicioso.

CDC e Marco Civil: como entram no jogo

Em relações de consumo, o CDC reforça a proteção do usuário:
responsabilidade objetiva do fornecedor por defeito na prestação do serviço (art. 14),
dever de informação (art. 6º) e possibilidade de inversão do ônus da prova.
O Marco Civil garante direitos como inviolabilidade e sigilo (art. 7º) e disciplina a guarda e o fornecimento de registros (arts. 10 e 11).
Na prática, em vazamentos que atingem consumidores, é comum a discussão de dano moral e
de dano material quando há fraude, além de tutelas inibitórias e obrigações de fazer (notificação, reforço de controles, relatórios).

Sanções administrativas e outras consequências

Além da responsabilidade civil, a LGPD prevê sanções aplicáveis pela ANPD (art. 52), que vão de
advertência a multa (até 2% do faturamento do grupo no Brasil, limitada a R$ 50 milhões por infração),
publicização da infração, bloqueio/eliminação de dados pessoais,
suspensão parcial do banco de dados ou da atividade de tratamento e, em casos extremos,
proibição do tratamento. Some-se a isso: custos de resposta, honorários periciais,
elevação de prêmios de seguro cibernético, perda de contratos e de valor de marca.

Como os tribunais têm decidido

A jurisprudência brasileira tem evoluído em duas linhas:
(1) quando há exposição relevante e dados sensíveis, muitos tribunais reconhecem
o dano moral in re ipsa (presumido), pela gravidade do próprio fato;
(2) em casos de dados menos críticos e sem prova de uso indevido, algumas decisões exigem
demonstração do prejuízo concreto. Fatores como falha de segurança demonstrável,
postura colaborativa da empresa, rapidez na contenção, transparência e oferta de suporte aos titulares
pesam na dosimetria do dever de indenizar.

Plano de resposta a incidentes: guia de campo

Janela de tempo	Ações essenciais	Saídas/Registros
Primeiras 24 horas	Isolar vetores, revogar credenciais suspeitas, conter exfiltração; acionar IR/forense e DPO; classificar dados e escopo preliminar; preservar evidências (chain of custody).	Ticket de incidente; linha do tempo; checklist de contenção; avaliação inicial de risco.
Até 72 horas	Inventariar titulares impactados; mapear dados sensíveis; decidir sobre notificação à ANPD e aos titulares; ativar plano de comunicação e Q&A; negociar com fornecedores afetados.	Comunicações oficiais; evidências técnicas; medidas de mitigação; orientação aos titulares.
Até 7 dias	Concluir análise forense; aplicar patches e correções estruturais; revisar acessos; determinar causa-raiz; iniciar programa de reforço (treinamento, política, tecnologia).	Relatório de causa-raiz; plano de ação e prazos; indicadores e lições aprendidas.

Contratos e cadeia de fornecedores: onde muita responsabilidade mora

Boa parte dos vazamentos surge em prestadores (contact center, marketing, nuvem, folha, logística).
Ao controlador cabe due diligence pré-contratual (segurança, certificações, histórico),
cláusulas contratuais específicas (padrões mínimos, auditoria, notificação em 24–72h,
relato de incidente, confidencialidade reforçada, obrigação de cooperação com ANPD e titulares,
alocação de riscos e seguros) e monitoramento contínuo (KPIs, auditorias, testes).

Bases legais e minimização do dano

O vazamento não “apaga” a base legal do tratamento, mas eleva o risco de ilicitude por falta de segurança.
Bases de consentimento exigem clareza sobre riscos e direitos; legítimo interesse precisa de
balanço de interesses bem documentado; execução de contrato e cumprimento de obrigação legal
continuam válidos, mas não dispensam segurança. Logs, registros de decisão, DPIA/LIA e
políticas robustas cumprem o papel de accountability e ajudam a reduzir dano e sanções.

Checklist rápido para diretoria (governança e prova de diligência)

Existe comitê de privacidade ativo, com atas e indicadores periódicos?
Há mapa de dados vivo (sistemas, terceiros, fluxos internacionais)?
Últimos testes de invasão e varreduras foram executados e remediados?
Os contratos com operadores têm cláusulas de segurança, notificação e auditoria?
O DPO (encarregado) tem independência, orçamento e canal com a alta gestão?
Existe plano de resposta com papéis definidos, simulado no último ano?
Treinamentos e campanhas contra phishing são recorrentes e medidos?
Há política de retenção e descarte, com registros de eliminação?
Seguro cibernético e reserva de resposta (forense, jurídico, PR) estão contratados?

Danos e indenização: como dimensionar

A responsabilidade civil se compõe de três elementos clássicos: conduta, dano e nexo.
No contexto de vazamentos, a conduta culposa pode estar na ausência de
controles razoáveis; o dano pode ser moral (ansiedade, abalo, estigma) e/ou material
(fraude, gastos, tempo gasto na resolução); o nexo liga o evento ao prejuízo.
Boas práticas documentadas e reação diligente não eliminam o dever de reparar,
mas ajudam a reduzir extensão e dosimetria. Transparência, suporte e remediação efetiva contam muito.

Comunicação: o que dizer aos titulares (e como)

Comunique rapidamente e com empatia, por canais oficiais e verificáveis.
Explique o que ocorreu, quais dados foram potencialmente afetados, que riscos existem e
o que a empresa está fazendo (contenção, monitoramento, oferta de serviços de proteção/alerta, canais de suporte).
Evite jargões e, principalmente, promessas que não possam ser cumpridas.
Cada interação é também prova de diligência e de respeito ao princípio da transparência.

Erros comuns que aumentam a responsabilidade

Minimizar o incidente sem base técnica e atrasar a comunicação.
Tratar segurança como projeto pontual, e não como processo.
Guardar dados por tempo indefinido “para o caso de precisar”.
Deixar de treinar terceirizados e usuários privilegiados.
Negligenciar logs e evidências, prejudicando a perícia e a defesa.

Mapa mental prático (resumo em tópicos)

Antes: governança + mapeamento + medidas técnicas + contratos + treinamento + testes.
Durante: conter + preservar evidências + classificar + decidir notificação + comunicar + mitigar.
Depois: causa-raiz + lições aprendidas + reforço de controles + prestação de contas (ANPD/titulares).

Em poucas palavras: a responsabilidade civil das empresas em vazamentos de dados nasce do
dever legal de segurança e transparência, e se mede pela capacidade de prevenir, reagir e provar diligência.
Quem se prepara reduz risco jurídico, custo e dano reputacional — e, principalmente, respeita as pessoas cujos dados
tornam o negócio possível.

Guia rápido: 12 respostas essenciais sobre vazamento de dados

1) Quem responde primeiro quando há vazamento?

O controlador é quem responde diretamente perante titulares e ANPD, ainda que o incidente tenha ocorrido no operador. Depois, ele pode exercer direito de regresso contra o operador conforme contrato (DPA/ACD).

2) Todo incidente precisa ser comunicado à ANPD e aos titulares?

Não. A regra prática é notificar quando o evento puder acarretar risco ou dano relevante (ex.: dados sensíveis, credenciais, alto volume, exposição pública, fraude potencial). Incidentes sem risco relevante podem ser apenas registrados e tratados internamente, com documentação.

3) Qual é o prazo?

A LGPD fala em “prazo razoável”. A boa prática é avaliar e comunicar rapidamente (em horas, não semanas), atualizando as informações conforme a perícia avança. Em paralelo, orientar os titulares para reduzir dano (troca de senha, vigilância de transações, canal oficial).

4) O que precisa constar na comunicação de incidente?

Descrição do ocorrido, natureza dos dados afetados, número estimado de titulares, riscos envolvidos, medidas adotadas de contenção/remediação e orientações ao titular. Linguagem clara, sem jargões e com canal de atendimento dedicado.

5) Dano moral é automático?

Depende. Em exposição relevante (sobretudo com dados sensíveis), muitos tribunais têm reconhecido dano moral presumido. Em situações menos gravosas, várias decisões exigem prova do prejuízo. A postura diligente da empresa pesa na dosimetria.

6) A empresa responde mesmo sem culpa (responsabilidade objetiva)?

Em relações de consumo, a falha de segurança costuma ser tratada como defeito do serviço, atraindo responsabilidade objetiva do fornecedor. Fora do CDC, a análise volta-se à culpa: ausência de medidas razoáveis de segurança e governança.

7) Quais controles mínimos reduzem risco jurídico?

Mapa de dados, gestão de acesso com MFA e menor privilégio, criptografia em trânsito e repouso, segmentação, EDR/antimalware, backups imutáveis testados, varreduras e pentest, logs e auditorias, política de retenção/descarte e treinamento contínuo.

8) O que fazer nas primeiras 24–72 horas?

Conter o incidente, preservar evidências (cadeia de custódia), classificar o impacto, acionar DPO e forense, avaliar risco/dano relevante, decidir sobre notificação, orientar titulares e registrar tudo (linha do tempo, decisões, responsáveis).

9) Vazou via fornecedor: como mitigar exposição?

Pré-contratos com due diligence de segurança; DPA com padrões mínimos, prazo de notificação (24–72h), auditoria, cooperação com ANPD e titulares, alocação de risco/seguro e direito de regresso. Acompanhar com KPIs, testes e auditorias periódicas.

10) Criptografia evita a obrigação de notificar?

Ajuda muito. Se os dados estavam fortemente criptografados e as chaves não foram comprometidas, o risco para titulares pode ser baixo, o que pode afastar a necessidade de notificação ampla. Ainda assim, registre a análise de risco e as evidências.

11) O que não fazer (erros que agravam a responsabilidade)?

Minimizar o evento sem base técnica, atrasar comunicação útil, apagar evidências, não orientar titulares, prometer o que não será cumprido, ignorar cadeia de terceiros e não revisar controles após o incidente.

12) Como provar diligência para reduzir multas e indenizações?

Documente políticas, DPIA/LIA, testes, treinamentos, decisões de risco, contratos com operadores, plano de resposta (simulado) e as medidas adotadas durante o incidente. Transparência, velocidade e cooperação com a ANPD e com os titulares contam muito.

Quem responde pelo vazamento: controlador ou operador?

O controlador responde diretamente perante titulares e ANPD. Se o incidente ocorreu no operador, o controlador pode buscar regresso conforme o contrato (DPA/ACD) e a prova de culpa do terceiro.

Todo incidente precisa ser comunicado à ANPD e aos titulares?

Não. A comunicação é exigida quando houver risco ou dano relevante aos titulares (ex.: dados sensíveis, alto volume, exposição pública, possibilidade de fraude). Sem risco relevante, registre e trate internamente, com documentação técnica.

Qual é o prazo para notificar?

A LGPD fala em “prazo razoável”. A boa prática é avaliar e notificar rapidamente (em horas), complementando com atualizações conforme a perícia evolui.

O que deve constar na notificação?

Descrição do incidente, natureza dos dados afetados, número estimado de titulares, riscos potenciais, medidas de contenção/remediação e orientações ao titular, além de canal de contato dedicado.

Existe responsabilidade objetiva da empresa?

Em relações de consumo, o vazamento pode ser tratado como defeito do serviço, atraindo responsabilidade objetiva. Fora do CDC, prevalece análise de culpa pela falta de medidas razoáveis de segurança e governança.

Dano moral é automático quando há vazamento?

Depende do caso. Com dados sensíveis e exposição relevante, há decisões que reconhecem dano moral presumido. Em outras hipóteses, os tribunais exigem demonstração de prejuízo concreto.

Criptografia evita a necessidade de notificação?

Se os dados estavam fortemente criptografados e as chaves não foram comprometidas, o risco para os titulares tende a ser baixo, o que pode afastar a notificação ampla. Documente a análise e as evidências.

Quais controles mínimos ajudam a reduzir risco jurídico?

Mapa de dados, gestão de acesso com MFA e menor privilégio, criptografia em trânsito/repouso, segmentação, EDR/antimalware, backups imutáveis testados, logs/auditoria, treinamento, política de retenção/descarte e plano de resposta a incidentes com simulado.

Como lidar com vazamento em fornecedor (terceiro)?

Exigir due diligence de segurança, DPA com padrões mínimos, prazo de notificação (24–72h), direito de auditoria, cooperação com ANPD e titulares e cláusulas de regresso/seguro. Monitorar com KPIs e testes periódicos.

Quais erros mais agravam a responsabilidade?

Atrasar comunicação útil, minimizar o evento sem base técnica, apagar evidências, não orientar titulares, prometer medidas que não serão cumpridas e não revisar controles após o incidente.

Explicação técnica (com fontes legais)

Em vazamentos de dados, a responsabilidade da empresa decorre de três eixos: dever de segurança, dever de transparência e dever de reparação. A LGPD (Lei 13.709/2018) impõe padrões técnicos e organizacionais de proteção, comunicação de incidentes relevantes e possibilidade de sanções e indenizações.

1) Dever de segurança e governança

Princípio da segurança e prevenção (LGPD, art. 6): adoção de medidas técnicas e administrativas proporcionais ao risco.
Medidas de segurança (art. 46): controle de acessos (menor privilégio/MFA), criptografia em repouso e em trânsito, segmentação de rede, gestão de vulnerabilidades, EDR/antimalware, backups imutáveis e testados, logs e auditoria, políticas de retenção/descarte.
Registros de tratamento (art. 37) e programa de governança (art. 50): mapear dados, riscos e responsáveis; treinar equipes; simular incidentes.
Encarregado/DPO (art. 41) e RIPD quando aplicável (art. 38): estrutura de responsabilidade e avaliação de impacto.

2) Incidente de segurança: quando e como notificar

Art. 48: comunicar à ANPD e aos titulares “em prazo razoável” quando houver risco ou dano relevante (dados sensíveis, grande volume, exposição pública, risco de fraude etc.).
Conteúdo mínimo: descrição do incidente, natureza dos dados afetados, número estimado de titulares, riscos potenciais, medidas técnicas/organizacionais adotadas e orientações ao titular, além de canal de contato.
Se os dados estavam criptografados e as chaves não foram comprometidas, o risco pode ser reduzido; documente a avaliação.

3) Quem responde: controlador x operador

Art. 42: controlador ou operador que causar dano pelo tratamento deve reparar. A participação conjunta pode ensejar responsabilidade solidária.
Art. 43: excludentes — prova de que não realizou o tratamento, que não houve violação à LGPD ou que o dano decorreu exclusivamente de terceiro.
Contratos com operadores (Data Processing Agreement) devem prever padrões mínimos de segurança, prazo de notificação (p.ex. 24–72h), auditoria e direito de regresso.

4) Reparação civil e direitos dos titulares

Danos materiais e morais (LGPD, art. 42; CC, arts. 186 e 927). Em relações de consumo, pode incidir responsabilidade objetiva por defeito do serviço (CDC, art. 14).
Não há “dano moral automático” em todo vazamento; a jurisprudência reconhece com maior frequência quando há dados sensíveis ou exposição relevante (risco concreto de fraude, humilhação, discriminação etc.).

5) Sanções administrativas

Art. 52: advertência, multa simples/diária (até 2% do faturamento, limitada a R$ 50 milhões por infração), publicização, bloqueio/eliminação de dados, suspensão e proibição de tratamento.
Aplicação segundo o regulamento de fiscalização e de dosimetria da ANPD (critérios de gravidade, vantagem auferida, reincidência, cooperação, boas práticas).

6) Plano de resposta a incidentes (linha do tempo prática)

0–4h: acionar CSIRT/comitê de crise; conter; preservar evidências; abrir trilhas de auditoria; segregar sistemas afetados.
4–24h: perícia inicial; avaliação de risco para titulares; rascunho de comunicação (ANPD/titulares); decisões com base em criptografia, tipo de dado e volume.
24–72h: envio de comunicações necessárias; ativação de medidas protetivas (troca de senhas, monitoramento antifraude, call center); registro documental completo para defesa futura.
Após: lições aprendidas, hardening de controles e atualização de contratos/políticas.

7) Boas práticas que reduzem o risco jurídico

Criptografia com gestão segura de chaves; tokenização/pseudonimização para dados sensíveis.
MFA, segregação de funções e menor privilégio em todos os sistemas.
Backups imutáveis (WORM) com testes de restauração e plano de continuidade.
Treinamento recorrente (phishing, uso aceitável), gestão de terceiros, auditorias e testes (pentest/red team).

Fontes legais essenciais (para consulta)

LGPD – Lei 13.709/2018: arts. 6, 37–38, 41, 46, 48, 50, 52–54, 42–45.
CF/88: art. 5º, X e XII (intimidade e sigilo) e LXXIX (proteção de dados como direito fundamental).
CDC – Lei 8.078/1990: arts. 6º e 14 (segurança do serviço e responsabilidade objetiva).
Código Civil: arts. 186 e 927 (ato ilícito e dever de indenizar).
Marco Civil da Internet – Lei 12.965/2014 e Decreto 8.771/2016 (padrões de segurança, guarda e sigilo).
Normativos da ANPD sobre fiscalização e dosimetria de sanções, guias de comunicação de incidentes e boas práticas.

Síntese executiva

Para mitigar responsabilidade em vazamentos, a empresa precisa demonstrar diligência contínua (programa de governança, controles robustos, contratos com terceiros) e resposta rápida e documentada (análise de risco, comunicação útil e medidas de contenção). A combinação LGPD + CDC + CC exige postura proativa: prevenir, registrar, comunicar e reparar quando necessário. Quem prova preparo e cooperação reduz substancialmente multas, danos e perda de confiança.

Mais sobre este tema

Obrigado por ler — este conteúdo foi pensado em você

Antes de mais nada, obrigado por dedicar seu tempo a este artigo. O Código Alpha existe para facilitar sua vida com conteúdos claros, úteis e responsáveis. Nosso objetivo é transformar temas complexos em informação prática, para que você tome decisões com mais segurança no dia a dia.

Nosso compromisso com você

Publicamos com foco em clareza, utilidade e respeito ao leitor. Linguagem acessível, exemplos reais e atualização constante. Quando houver mudanças relevantes, nossa missão é atualizar rapidamente.

Como garantimos qualidade

Seguimos pauta, pesquisa em fontes confiáveis, redação humanizada, revisão e melhoria contínua. Em temas sensíveis, reforçamos que o conteúdo é informativo e não substitui atendimento profissional.

Navegue com profundidade

Este artigo é um ponto de partida. Use os conteúdos relacionados ao final da página para se aprofundar com curadoria.

Mensagem-chave

Você é a razão de existir do Código Alpha. Informação útil e responsável — sempre.

Fale com a gente — dúvidas, correções e sugestões

Se ficou alguma dúvida ou tem sugestões, fale conosco pela página Contato. Seu retorno nos ajuda a manter o conteúdo preciso e útil.

Como sua participação ajuda

Sugestões de temas para aprofundarmos;
Exemplos práticos (sem dados sensíveis);
Correções/updates quando regras mudarem.