Seus dados vazaram? Justiça pode reconhecer dano mesmo sem fraude, aponta especialista

O recente vazamento de dados envolvendo a XP Investimentos expôs uma fragilidade que vai além da tecnologia: a falta de estrutura adequada para garantir a segurança da informação no Brasil. Milhares de clientes tiveram dados como valores investidos, e-mails, limites bancários e cargos profissionais acessados por terceiros, o que amplia significativamente o risco de fraudes, sequestros de identidade e violações à privacidade.

Para a advogada Renata Abalém, diretora jurídica do Instituto de Defesa do Consumidor e do Contribuinte (IDC), o dano causado por esse tipo de incidente é real, imediato e não precisa estar vinculado a prejuízos financeiros para ser reconhecido judicialmente. “O que foi perdido é a chance de permanecer protegido. O que foi criado é a certeza de um risco permanente”, afirma.

Dano presumido e responsabilidade objetiva

A Lei Geral de Proteção de Dados (LGPD) determina que empresas são objetivamente responsáveis por vazamentos, ou seja, não é necessário comprovar culpa para que haja responsabilização. Casos envolvendo dados sensíveis, como os financeiros, intensificam essa obrigação.

Além disso, Renata destaca que a jurisprudência atual admite o chamado dano in re ipsa — o dano presumido. “A exposição indevida já constitui por si só um abalo à esfera íntima do consumidor. Não é preciso esperar a fraude para que a Justiça reconheça a lesão”, explica.

O que muda com a teoria do risco ativo

A especialista defende a adoção da teoria do risco ativo com dano latente. “Quem cria o risco, responde pelo risco. Quem torna vulnerável, indeniza a vulnerabilidade”, afirma. A lógica é simples: a exposição de dados transfere ao consumidor um risco que ele não gerou, tornando a reparação uma obrigação da empresa.

Do ponto de vista jurídico, isso abre caminho para ações individuais e coletivas, além de investigações da Autoridade Nacional de Proteção de Dados (ANPD), que pode aplicar multas, advertências e até impedir o uso de dados pela empresa.

O que as empresas devem fazer para evitar punições

Segundo a LGPD, as empresas devem:

•    Adotar medidas técnicas e administrativas como criptografia, controle de acesso e testes de vulnerabilidade;
•    Implementar políticas de governança e compliance;
•    Realizar avaliações de impacto (DPIA);
•    Designar um encarregado de dados (DPO);
•    Treinar equipes para prevenção de incidentes;
•    Notificar consumidores e a ANPD imediatamente após qualquer vazamento.

A negligência na adoção dessas práticas agrava a responsabilização civil e administrativa.

Quando o consumidor pode ser indenizado

O consumidor tem direito à indenização nos seguintes casos:

•    Vazamento, compartilhamento indevido ou uso ilegal de dados;
•    Ausência de consentimento ou base legal para o tratamento das informações;
•    Exposição a risco real ou concreto, mesmo sem prejuízo financeiro;
•    Abalo moral, existencial ou à privacidade.

A reparação pode incluir danos morais, patrimoniais, existenciais e até indenizações punitivas, conforme o caso.

Como buscar reparação

O consumidor pode:

•    Ingressar com ação individual no Juizado Especial ou na Vara Cível;
•    Participar de ação coletiva movida por entidades como o Procon, a Defensoria Pública ou o Ministério Público;
•    Registrar reclamação na ANPD, que poderá apurar o incidente e aplicar sanções.