A Lei Geral de Proteção de Dados Pessoais (LGPD) dispõe sobre o tratamento de dados pessoais por pessoa natural ou jurídica, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade.
A LGPD diferencia dado pessoal e dado pessoal sensível. Dado pessoal é toda informação que permite identificar uma pessoa, tal como nome, sobrenome, data e local de nascimento, RG e CPF. Dado pessoal sensível corresponde à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.
O vazamento de dados de pessoas físicas é tema constante nos tribunais brasileiros desde a entrada em vigor da LGPD.
Em recente decisão, o Superior Tribunal de Justiça deliberou sobre a questão do dano moral decorrente do vazamento de dados pessoais por pessoa jurídica. Para o STJ, o vazamento de dados pessoais, a despeito de consistir em falha indesejável no tratamento de dados de pessoa natural por pessoa jurídica, não tem o condão, por si só, de gerar dano moral indenizável, sendo necessário que o titular demonstre o prejuízo decorrente da exposição de suas informações. A natureza do dado exposto é, portanto, fundamental para determinar a necessidade da prova do dano advindo das informações expostas.
Indenização por vazamento de dado pessoal exige prova do dano
