Tribunal condena órgão de proteção ao crédito por vazamento/compartilhamento indevido de dados – Decisão fixa R$ 10 mil por dano moral e reforça deveres de segurança previstos na LGPD. – Camargo Neves Advogados
Skip to content Skip to footer
Close
LGPD

Tribunal condena órgão de proteção ao crédito por vazamento/compartilhamento indevido de dados – Decisão fixa R$ 10 mil por dano moral e reforça deveres de segurança previstos na LGPD.

12 de setembro de 2025

O caso:

O consumidor descobriu, por certificação emitida pela própria empresa, que seus dados pessoais foram divulgados de forma irregular em 2020 e 2021. Buscou a Justiça para impedir novos acessos/compartilhamentos e para obter indenização por danos morais.

Em 1ª instância, o pedido indenizatório foi negado. Em 2ª instância, a 13ª Câmara Cível do TJ/MG deu provimento ao recurso do consumidor e fixou a indenização em R$ 10 mil.

Pontos sublinhados pelo relator (Des. Newton Teixeira Carvalho):

  • A LGPD assegura a proteção dos dados pessoais do consumidor;
  • A instituição que não adota medidas eficazes de segurança para evitar vazamentos infringe a legislação;
  • A hipossuficiência do consumidor diante do poder econômico da empresa reforça a necessidade de tutela;
  • Em casos como este, a pretensão indenizatória é cabível.

Por que isso importa para empresas?

  1. Risco financeiro e reputacional imediato. O Judiciário tem reconhecido danos morais mesmo sem demonstração de prejuízo econômico direto em hipóteses de exposição/compartilhamento indevido de dados pessoais.
  2. Responsabilidade objetiva. A prestação de serviços com falhas de segurança, ou informações insuficientes sobre riscos e tratamento, pode gerar responsabilidade independentemente de culpa (CDC), além de sanções administrativas pela ANPD.
  3. Cadeia de terceiros. Incidentes frequentemente envolvem fornecedores e integradores. A responsabilidade pode alcançar controladores e operadores, dependendo da governança contratual e das evidências.

O que fazer agora (ações práticas).

  • Revisar o Programa de Privacidade e Segurança: políticas, controles técnicos, gestão de acessos, logs e alertas, classificação de dados, criptografia e pseudonimização quando aplicável.
  • Atualizar contratos com operadores, DPA/Anexo LGPD, cláusulas de segurança, subprocessadores e auditorias de conformidade.
  • Comunicação obrigatória: observar art. 48 da LGPD e o Regulamento de Comunicação de Incidente, que estabelece prazos e conteúdo mínimo da notificação à ANPD e aos titulares quando houver risco ou dano relevante.
  • Transparência e minimização: revisar avisos de privacidade, bases legais, finalidades e retém apenas o necessário. Atenção especial a compartilhamentos com terceiros.
  • Treinamento e cultura: capacitação recorrente de times de TI, jurídico, segurança, atendimento e marketing; campanhas sobre phishing e engenharia social.

Sinais de alerta (red flags) a monitorar.

  • Acessos anômalos ou picos de consultas a bases de dados contendo PII.
  • Exportações massivas de dados sem justificativa de negócio.
  • Integrações com provedores de scoring, antifraude ou marketing sem DPIA (avaliação de impacto) e sem registros de compartilhamento.
  • Falta de registros de incidentes ou trilhas de auditoria.

Como essa decisão dialoga com o STJ.

O Superior Tribunal de Justiça já consolidou que gestores de bancos de dados devem observar deveres de informação e segurança (CDC e Lei 12.414/2011). O compartilhamento indevido de informações pessoais pode gerar dano moral presumido (in re ipsa). A decisão do TJ/MG se alinha a essa orientação, reforçando que vazamentos/compartilhamentos indevidos são indenizáveis e exigem governança robusta.

You May Also Like

Logo no papel timbrado da CNADV
LGPD
ANPD publica Agenda Regulatória 2023-2024
Logo no papel timbrado da CNADV
Empresas, LGPD
Governança de Inteligência Artificial: por que agir antes da lei?