LGPD Comentada13 min de leitura

LGPD Comentada #14: Exercício de direitos e tutela jurisdicional

Equipe Confidata·
Compartilhar

Este post faz parte da série LGPD Comentada, que analisa todos os artigos da Lei Geral de Proteção de Dados. Veja todos os posts da série.

Os Arts. 21 e 22 fecham o Capítulo III da LGPD — "Dos Direitos do Titular" — com duas garantias que funcionam como escudo e espada: o Art. 21 protege o titular contra retaliação por exercer seus direitos, e o Art. 22 abre as portas do Judiciário para a defesa individual e coletiva desses mesmos direitos. São dispositivos curtos, mas com implicações profundas para o equilíbrio de poder entre titulares e controladores.

Este post analisa cada artigo, explora a jurisprudência que está se formando sobre indenizações por violação de dados pessoais e examina o papel do Ministério Público, dos Procons e da Defensoria Pública na tutela coletiva de dados pessoais no Brasil.

Art. 21 — Proibição de uso prejudicial de dados do exercício de direitos

O texto legal

"Art. 21. Os dados pessoais referentes ao exercício regular de direitos pelo titular não podem ser utilizados em seu prejuízo."

O dispositivo é direto e sem parágrafos adicionais: dados que se originam do exercício legítimo de direitos pelo titular não podem ser usados contra ele. É uma norma antirretaliação.

O que o Art. 21 protege na prática

O artigo cria uma blindagem para o titular que decide exercer os direitos previstos na LGPD. Sem essa proteção, haveria um risco concreto de que organizações usassem o fato de alguém solicitar acesso, correção ou eliminação de dados como um marcador negativo — uma espécie de "lista negra" de titulares inconvenientes.

Cenários concretos que o Art. 21 veda:

  • Score de crédito rebaixado por pedir acesso a dados. Um consumidor solicita ao bureau de crédito informações sobre quais dados são utilizados no cálculo do score (Art. 18, II). O bureau não pode usar essa solicitação como fator negativo na pontuação.

  • Candidato descartado por revogar consentimento anterior. Um candidato a emprego que participou de um banco de talentos revoga o consentimento para uso de seus dados (Art. 18, IX). A empresa não pode registrar essa revogação como indicador de "perfil problemático" em processos seletivos futuros.

  • Cliente penalizado comercialmente por exercer direito à eliminação. Um cliente solicita a eliminação de dados desnecessários (Art. 18, IV). A empresa não pode responder oferecendo condições comerciais piores ou reduzindo benefícios.

  • Funcionário prejudicado por acionar canal de titular. Um colaborador solicita ao RH informações sobre quais dados de saúde estão sendo tratados (Art. 18, II). A organização não pode utilizar esse pedido como fator negativo em avaliações de desempenho ou decisões de promoção.

Interação com outras normas

O Art. 21 dialoga com princípios presentes em outras leis brasileiras. O CDC (Código de Defesa do Consumidor) já proíbe práticas que coloquem o consumidor em desvantagem exagerada. A CLT e a legislação trabalhista protegem contra retaliação a denúncias. O Art. 21 da LGPD estende essa lógica especificamente para o exercício de direitos de proteção de dados.

No contexto trabalhista, o TST já reconheceu que privacidade e proteção de dados são direitos fundamentais indisponíveis, o que reforça a leitura de que qualquer retaliação pelo exercício desses direitos viola não apenas a LGPD, mas o próprio núcleo de direitos fundamentais do trabalhador.

Na prática: como implementar

Para o DPO e a equipe de compliance, o Art. 21 impõe uma obrigação organizacional: garantir que os registros de solicitações de titulares sejam segregados dos sistemas utilizados para decisões comerciais, trabalhistas ou de crédito. Isso significa:

  1. Segregar o registro de solicitações. O canal de atendimento ao titular não pode alimentar automaticamente sistemas de CRM, scoring ou avaliação de desempenho.
  2. Treinar equipes. Colaboradores que atendem solicitações de titulares devem saber que a existência de um pedido não pode influenciar decisões sobre aquela pessoa.
  3. Auditar periodicamente. Verificar se há correlação indevida entre exercício de direitos e tratamento desfavorável.

Art. 22 — Tutela jurisdicional dos direitos do titular

O texto legal

"Art. 22. A defesa dos interesses e dos direitos dos titulares de dados poderá ser exercida em juízo, individual ou coletivamente, na forma do disposto na legislação pertinente, acerca dos instrumentos de tutela individual e coletiva."

O artigo confirma que os direitos previstos na LGPD são judicialmente exigíveis — e não apenas pelo titular individualmente, mas também por meio de instrumentos de tutela coletiva.

Instrumentos processuais disponíveis

O Art. 22 remete à "legislação pertinente", o que integra a LGPD ao microssistema de tutela coletiva brasileiro. Os principais instrumentos são:

Tutela individual:

  • Ação indenizatória — O titular que sofreu dano patrimonial ou moral em decorrência de violação da LGPD pode buscar reparação em juízo (fundamento conjunto com o Art. 42)
  • Habeas data — Para obtenção de informações que o controlador se recuse a fornecer administrativamente (Art. 5º, LXXII, CF)
  • Tutela de urgência — Medidas liminares para cessar tratamento ilícito imediato

Tutela coletiva:

  • Ação Civil Pública (Lei 7.347/1985) — Proposta pelo Ministério Público, Defensoria Pública, associações ou entes públicos para proteger interesses difusos e coletivos relacionados a dados pessoais
  • Ação coletiva do CDC (Arts. 81 a 104) — Para proteção de direitos individuais homogêneos de consumidores afetados por violações de dados
  • Inquérito civil — Instrumento investigatório do Ministério Público para apurar violações antes de judicializar

O Ministério Público e a proteção coletiva de dados

O Ministério Público tem atuado de forma pioneira na tutela coletiva de dados pessoais. O destaque é a Unidade Especial de Proteção de Dados e Inteligência Artificial (Espec) do MPDFT (Ministério Público do Distrito Federal e Territórios), criada como a primeira iniciativa nacional dedicada exclusivamente à proteção de dados pessoais e privacidade.

Casos emblemáticos:

  • Netshoes (2018-2019): Após o vazamento de dados de quase 2 milhões de clientes, o MPDFT propôs ação civil pública. O caso resultou em acordo: a Netshoes pagou R$ 500 mil em danos morais coletivos ao Fundo de Defesa de Direitos Difusos (FDD), além de se comprometer a implementar medidas de segurança e conformidade com a LGPD.

  • Uber (2018): O MPDFT cobrou esclarecimentos da empresa sobre vazamento que expôs dados de aproximadamente 57 milhões de contas de motoristas e passageiros globalmente, incluindo usuários brasileiros.

Os Procons na proteção de dados

Os Procons estaduais e municipais integram o Sistema Nacional de Defesa do Consumidor e possuem legitimidade para investigar violações da LGPD em relações de consumo. O Procon-SP mantém um canal específico para registro de violações de dados pessoais e tem atuado ativamente em casos que envolvem coleta e compartilhamento indevido de dados por aplicativos e plataformas digitais.

A atuação dos Procons é complementar à da ANPD: enquanto a ANPD aplica sanções administrativas com base na LGPD, os Procons atuam com base no CDC — e as sanções podem se somar.

Jurisprudência: indenizações por violação de dados pessoais

O Art. 22, combinado com o Art. 42 (responsabilidade civil), tem gerado uma jurisprudência crescente sobre indenizações por violação de dados pessoais.

O crescimento das ações judiciais

Os números são expressivos: entre outubro de 2023 e outubro de 2024, as decisões judiciais que citam a LGPD passaram de 7.503 para 15.921 — mais que dobraram em um ano, segundo o Painel "LGPD nos Tribunais" (CEDIS/IDP em parceria com o Jusbrasil). Em 33% dessas decisões, a LGPD foi o tema central da lide.

Desde a vigência plena da LGPD em 2021 — incluindo a possibilidade de aplicação de penalidades —, o volume de decisões judiciais envolvendo proteção de dados praticamente dobra a cada ano.

Dano moral: presumido ou não?

O debate mais relevante na jurisprudência é se o vazamento de dados pessoais gera dano moral presumido (in re ipsa) ou se o titular deve comprovar prejuízo efetivo.

Dados pessoais comuns: O STJ decidiu que o vazamento de dados pessoais comuns (nome, e-mail, telefone, CPF) — frequentemente fornecidos em cadastros do dia a dia — não gera dano moral presumido. O titular precisa comprovar o efetivo prejuízo causado pela exposição (AREsp 2.130.619/SP, Segunda Turma, 2023).

Dados pessoais sensíveis: Em sentido oposto, a Terceira Turma do STJ reconheceu em 2025 que o vazamento de dados sensíveis (saúde, biometria, orientação sexual) gera dano moral presumido, pois a simples exposição indevida já submete o titular a riscos significativos de discriminação e estigma, independentemente de comprovação de prejuízo material.

Dados disponibilizados indevidamente em banco de dados: O STJ também decidiu que disponibilizar informações pessoais guardadas em banco de dados para terceiros, sem consentimento do titular, gera dano moral presumido — bastando provar a ocorrência do fato (divulgação indevida).

Valores de indenização

Os valores variam significativamente conforme o tipo de dado e a extensão do dano:

Tipo de casoValor de referênciaTribunal/Fonte
Divulgação de dados pessoais sem consentimentoR$ 8.000STJ (REsp 1.758.799)
Vazamento de dados individuais (dados comuns)R$ 5.000 a R$ 15.000TJs estaduais (casos diversos)
Vazamento de dados por empresa (acordo coletivo)R$ 500.000 (coletivo)MPDFT/Netshoes

É importante notar que esses valores são referenciais — cada caso é analisado com base nas circunstâncias concretas, incluindo a natureza dos dados, o volume de titulares afetados, a conduta do controlador e a existência de medidas de mitigação.

Responsabilidade civil: objetiva ou subjetiva?

O debate doutrinário sobre a natureza da responsabilidade civil na LGPD (Art. 42) permanece aberto. Uma corrente sustenta que se trata de responsabilidade objetiva (basta o dano e o nexo causal, sem necessidade de provar culpa), enquanto outra defende a responsabilidade subjetiva (necessidade de provar culpa ou dolo do controlador).

Nas relações de consumo, o Art. 45 da LGPD remete ao CDC, que adota a responsabilidade objetiva do fornecedor por defeito do serviço — o que inclui falhas de segurança que resultem em vazamento de dados de consumidores.

O caminho do titular: da reclamação administrativa ao Judiciário

Na prática, o titular que tem seus direitos violados dispõe de um percurso processual com diferentes instâncias:

1. Pedido ao controlador (Art. 18)

O primeiro passo é exercer os direitos diretamente junto ao controlador, pelo canal de atendimento ao titular. O controlador tem até 15 dias para fornecer declaração completa (Art. 19, II).

2. Petição à ANPD (Art. 18, §1º)

Se o controlador não atender o pedido ou o atender de forma insuficiente, o titular pode peticionar à ANPD. A autoridade pode determinar que o controlador cumpra a obrigação e, se houver infração, aplicar sanções administrativas (Art. 52).

3. Reclamação ao Procon

Em relações de consumo, o titular pode reclamar ao Procon de seu estado ou município. O Procon pode instaurar procedimento administrativo e aplicar sanções com base no CDC.

4. Ação judicial (Art. 22)

Se as vias administrativas não forem suficientes, o titular pode ingressar em juízo — individualmente ou por meio de tutela coletiva. A ação pode buscar a cessação do tratamento ilícito, a reparação de danos e a condenação do controlador a obrigações de fazer ou não fazer.

Implicações para as organizações

Custo da não conformidade judicial

Com o volume de decisões judiciais dobrando anualmente, o risco judicial da não conformidade com a LGPD é cada vez mais concreto. As organizações devem considerar não apenas as sanções administrativas da ANPD (que podem chegar a R$ 50 milhões por infração), mas também o custo de ações judiciais individuais e coletivas — honorários advocatícios, indenizações, danos morais e custos reputacionais.

Prevenção como estratégia

O melhor caminho é preventivo: manter um canal de atendimento ao titular eficiente, responder dentro dos prazos legais, documentar as decisões e garantir que o exercício de direitos pelo titular nunca resulte em tratamento desfavorável (Art. 21). Organizações com programas de governança em privacidade documentados (Art. 50) têm argumentos mais sólidos em eventual defesa judicial.

Seguro cyber e reserva de contingência

Dado o crescimento das ações, organizações que tratam dados em volume devem considerar a contratação de seguro contra incidentes de dados (cyber insurance) e a constituição de reservas de contingência para potenciais condenações — especialmente em setores com alto volume de dados sensíveis (saúde, finanças, educação).

Conclusão

Os Arts. 21 e 22 completam o sistema de garantias do titular na LGPD. O Art. 21 assegura que ninguém será punido por exercer seus direitos — uma garantia fundamental em um contexto onde o desequilíbrio de poder entre titular e controlador é evidente. O Art. 22 abre os caminhos judiciais para quando os mecanismos administrativos não funcionam, integrando a LGPD ao robusto sistema brasileiro de tutela coletiva.

Os números mostram que esses dispositivos não são teóricos: as decisões judiciais sobre LGPD estão dobrando ano a ano, a jurisprudência sobre dano moral está se consolidando e os legitimados coletivos — MP, Procons, Defensoria — estão cada vez mais ativos. Para as organizações, a mensagem é clara: a conformidade com a LGPD não é apenas uma obrigação regulatória perante a ANPD — é uma necessidade jurídica perante o Judiciário.

A Confidata oferece canal de atendimento ao titular integrado ao inventário de atividades de tratamento, com rastreamento de prazos, registro segregado de solicitações e documentação completa para defesa em caso de questionamento judicial. Conheça nossa plataforma.

Compartilhar
#lgpd-comentada#LGPD#Art. 21#Art. 22#tutela jurisdicional#ação coletiva#defesa judicial#exercício de direitos

Artigos relacionados

LGPD Comentada #28: Vigência, transição e o futuro da proteção de dados no BrasilLGPD Comentada · 13 minLGPD Comentada #27: O Conselho Nacional de Proteção de Dados e da PrivacidadeLGPD Comentada · 12 minANPD: Competências, Estrutura e Poderes de FiscalizaçãoLGPD Comentada · 16 minLGPD Comentada #25: Sanções administrativas — da advertência à multa de R$ 50 milhõesLGPD Comentada · 16 min

Quer ir além? Conheça o Confidata

Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.

© 2026 Confidata — Todos os direitos reservados|Privacidade|Cookies
Falar com especialista