LGPD Comentada16 min de leitura

LGPD Comentada #22: Responsabilidade Civil — Quem Responde Quando Há Dano

Equipe Confidata·
Compartilhar

Este post faz parte da série LGPD Comentada, que analisa todos os artigos da Lei Geral de Proteção de Dados. Veja todos os posts da série.

Quando uma organização trata dados pessoais em desconformidade com a LGPD e isso causa dano ao titular, quem paga? A resposta está nos Arts. 42 a 45 da lei — quatro dispositivos que definem o regime de responsabilidade civil aplicável ao tratamento de dados pessoais no Brasil. Esses artigos determinam quem responde, em que condições, com que excludentes e sob qual regime jurídico.

Mas a aparente simplicidade do texto esconde um dos debates jurídicos mais intensos desde a entrada em vigor da LGPD: a responsabilidade é objetiva (independe de culpa) ou subjetiva (exige prova de culpa ou negligência)? O STJ já começou a responder essa pergunta — com decisões que traçam caminhos nem sempre convergentes.

Este post analisa cada um dos quatro dispositivos, apresenta o estado atual da jurisprudência e discute as implicações práticas para controladores, operadores e DPOs.

Art. 42: a obrigação de reparar

Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

O caput do Art. 42 estabelece a regra geral: quem causa dano tratando dados pessoais em violação à LGPD tem o dever de reparar. Alguns elementos merecem destaque:

"Dano patrimonial, moral, individual ou coletivo" — o escopo é amplo. Inclui desde o dano material (fraude financeira decorrente de vazamento de dados bancários) até o dano moral (exposição indevida de dados de saúde). E alcança tanto danos individuais quanto coletivos — o que abre caminho para ações civis públicas e ações coletivas.

"Em violação à legislação de proteção de dados pessoais" — essa expressão é central no debate sobre a natureza da responsabilidade. A inclusão do termo "em violação" sugere que o simples tratamento de dados não gera responsabilidade — é necessário que haja uma violação normativa. Voltaremos a isso adiante.

§ 1º — solidariedade entre agentes

§ 1º A fim de assegurar a efetiva indenização ao titular dos dados:

I – o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43;

II – os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43.

A solidariedade é a ferramenta da LGPD para proteger o titular. Se o titular sofre dano por um vazamento que envolveu tanto o controlador quanto o operador, ele pode cobrar a reparação integral de qualquer um deles — não precisa identificar quem falhou especificamente.

Para o operador, a solidariedade se ativa em duas hipóteses: (i) descumprimento das obrigações legais de proteção de dados, ou (ii) descumprimento das instruções lícitas do controlador. Na segunda hipótese, o operador é equiparado a controlador — o que agrava suas obrigações.

Para controladores, a solidariedade se aplica quando múltiplos controladores estão diretamente envolvidos no mesmo tratamento que causou o dano. É o caso, por exemplo, de co-controladores em uma plataforma de marketplace que compartilha dados de clientes.

Na prática: a solidariedade reforça a importância do DPA (Data Processing Agreement). Um contrato bem redigido entre controlador e operador define responsabilidades, instruções de tratamento e mecanismos de indenização — e pode ser a diferença entre absorver integralmente o dano ou exercer o direito de regresso.

§ 2º — inversão do ônus da prova

§ 2º O juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa.

Esse parágrafo se inspira na lógica consumerista do CDC (Art. 6º, VIII). A inversão não é automática — depende de decisão judicial fundamentada em pelo menos um de três critérios: verossimilhança, hipossuficiência ou onerosidade.

Na prática, a inversão é quase sempre deferida em casos de vazamento de dados. O titular raramente tem acesso aos sistemas internos do controlador para provar que houve falha de segurança — cabe ao controlador demonstrar que adotou medidas adequadas.

§ 3º — ações coletivas

§ 3º As ações de reparação por danos coletivos que tenham por objeto a responsabilização nos termos do caput deste artigo podem ser exercidas coletivamente em juízo, observado o disposto na legislação pertinente.

A LGPD remete à legislação processual de tutela coletiva — Lei da Ação Civil Pública (Lei 7.347/1985), CDC e Lei 8.078/1990. Ministério Público, Defensoria Pública e associações de defesa do consumidor podem propor ações coletivas contra agentes de tratamento que causem dano difuso ou coletivo. Procons estaduais e municipais também atuam nessa frente, especialmente em casos de vazamento massivo.

§ 4º — direito de regresso

§ 4º Aquele que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso.

Consequência direta da solidariedade. Se o controlador indeniza integralmente o titular, pode cobrar proporcionalmente do operador (ou vice-versa) a parcela correspondente à participação de cada um no evento danoso. Mais uma vez, a clareza do DPA é fundamental para operacionalizar o regresso.

Art. 43: as excludentes de responsabilidade

Art. 43. Os agentes de tratamento só não serão responsabilizados quando provarem:

I – que não realizaram o tratamento de dados pessoais que lhes é atribuído;

II – que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados pessoais; ou

III – que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.

O Art. 43 lista três hipóteses de exclusão — e o ônus de provar qualquer delas recai sobre o agente de tratamento, não sobre o titular.

Inciso I — "não fui eu". O agente pode provar que não realizou o tratamento em questão. Exemplo: uma empresa cujo nome consta em um banco de dados vazado demonstra que nunca coletou aqueles dados — o vazamento veio de outra fonte.

Inciso II — "fiz, mas não violei a lei". Mesmo que o agente tenha realizado o tratamento, ele pode demonstrar que cumpriu todas as obrigações legais. Tratou os dados com base legal válida, adotou medidas de segurança adequadas, respeitou os princípios do Art. 6º. O dano ocorreu apesar da conformidade — não por causa de uma violação.

Inciso III — "culpa exclusiva do titular ou de terceiro". A excludente exige que a culpa seja exclusiva. Se houve concorrência de culpa (ex: titular usou senha fraca, mas o controlador também não implementou autenticação multifator), a excludente não se aplica integralmente — pode, no máximo, atenuar a responsabilidade.

Na prática

A excludente mais invocada é a do inciso III — especialmente em casos de ataques cibernéticos (ransomware, phishing). O argumento é que o ataque constitui fato de terceiro. Mas o STJ vem sinalizando que nem sempre o ataque cibernético configura excludente: se o controlador não adotou medidas de segurança razoáveis (Art. 46), a invasão não é "culpa exclusiva de terceiro" — é consequência previsível de uma falha de segurança.

Art. 44: o tratamento irregular

Art. 44. O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:

I – o modo pelo qual é realizado;

II – o resultado e os riscos que razoavelmente dele se esperam;

III – as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.

Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa a dano.

O Art. 44 complementa o Art. 42 ao definir quando o tratamento é considerado "irregular". São duas hipóteses alternativas:

  1. Descumprimento da legislação — qualquer violação à LGPD ou normas complementares da ANPD.
  2. Falta de segurança razoável — o tratamento não fornece a segurança que o titular "pode esperar", considerando o modo de tratamento, os riscos previsíveis e as técnicas disponíveis.

O segundo critério é particularmente relevante porque introduz um padrão de expectativa razoável — não se exige segurança absoluta, mas sim um nível compatível com o estado da arte tecnológico e com os riscos da atividade.

O parágrafo único torna explícita a consequência: se o controlador ou operador não adotou as medidas de segurança do Art. 46 e isso causou dano, responde por ele. É uma relação direta entre dever de segurança e responsabilidade civil.

Art. 45: a ponte com o CDC

Art. 45. As hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente.

O Art. 45 é breve, mas suas consequências são profundas. Ele determina que, nas relações de consumo, o regime de responsabilidade civil do CDC se aplica cumulativamente com a LGPD.

Isso significa que:

  • Responsabilidade objetiva do CDC (Art. 14 — responsabilidade pelo fato do serviço, independente de culpa) se aplica a controladores que atuam como fornecedores em relações de consumo.
  • Inversão do ônus da prova do CDC se soma à do Art. 42, § 2º da LGPD.
  • Solidariedade da cadeia de fornecimento do CDC reforça a do Art. 42, § 1º.

Na prática, a maioria dos casos judiciais envolvendo LGPD ocorre em relações de consumo (e-commerce, serviços financeiros, telecomunicações, planos de saúde). O Art. 45 garante que o titular-consumidor tenha acesso ao regime protetivo mais amplo disponível.

O grande debate: responsabilidade objetiva ou subjetiva?

O tema mais controverso dos Arts. 42 a 45 é a natureza jurídica da responsabilidade civil: ela é objetiva (independente de culpa) ou subjetiva (exige comprovação de culpa ou negligência)?

Os argumentos pela responsabilidade subjetiva

A corrente subjetivista aponta que:

  • A expressão "em violação à legislação" no caput do Art. 42 pressupõe uma conduta contrária à norma — o que remete ao conceito de culpa (negligência, imprudência, imperícia).
  • Durante a tramitação legislativa, a referência expressa à responsabilidade objetiva foi eliminada do texto final. Se o legislador quisesse responsabilidade objetiva, teria dito expressamente — como fez no CDC.
  • O Art. 43 lista excludentes que são típicas do regime subjetivo. No regime objetivo, as excludentes seriam mais restritas (caso fortuito, força maior).
  • A LGPD prevê condutas específicas (medidas de segurança, princípios do Art. 6º) que devem ser seguidas — sugerindo que o dever é de conduta, não de resultado.

Os argumentos pela responsabilidade objetiva

A corrente objetivista argumenta que:

  • A atividade de tratamento de dados pessoais é, por natureza, uma atividade de risco — e o Código Civil brasileiro (Art. 927, parágrafo único) já prevê responsabilidade objetiva para atividades que, por sua natureza, impliquem risco.
  • O Art. 44, ao definir tratamento "irregular" com base na segurança que o titular "pode esperar", adota um padrão de resultado, não de conduta.
  • A inversão do ônus da prova (Art. 42, § 2º) e a solidariedade (Art. 42, § 1º) são instrumentos típicos do regime objetivo.
  • A LGPD protege direitos fundamentais — e a proteção efetiva desses direitos exige um regime que não dependa da capacidade do titular de provar a culpa do agente.

A posição intermediária

Alguns autores defendem uma responsabilidade proativa — nem puramente objetiva, nem puramente subjetiva. Nesse modelo, o agente de tratamento é responsável a menos que demonstre que adotou todas as medidas razoáveis de conformidade e segurança. É, na prática, uma responsabilidade subjetiva com inversão do ônus da prova — o que se aproxima do resultado prático da responsabilidade objetiva.

O que o STJ já decidiu

A jurisprudência do STJ sobre responsabilidade civil na LGPD está em construção, mas alguns precedentes já traçam tendências importantes.

AREsp 2.130.619/SP (2ª Turma, março de 2023)

Fatos: titular de dados ajuizou ação contra concessionária de energia elétrica por vazamento de dados pessoais comuns (nome, CPF, endereço).

Decisão: a 2ª Turma entendeu que o vazamento de dados pessoais comuns (não sensíveis), por si só, não gera dano moral presumido. O titular precisa comprovar o dano efetivo — o mero vazamento constitui aborrecimento, mas não necessariamente dano moral indenizável.

Impacto: esse precedente estabeleceu a regra de que o dano moral por vazamento de dados comuns não é in re ipsa (presumido) — exige prova de consequências concretas.

REsp 2.147.374/SP (3ª Turma, 2024)

Fatos: ação contra a Eletropaulo por vazamento de dados pessoais de clientes em decorrência de ataque cibernético.

Decisão: a 3ª Turma decidiu, por unanimidade, que o ataque cibernético não isenta automaticamente o controlador de responsabilidade. O controlador deve demonstrar que adotou medidas de segurança adequadas. A empresa foi condenada a informar com quais entidades compartilhava os dados do titular e a fornecer declaração completa da origem e finalidade do tratamento.

Impacto: o precedente enfraquece a tese de que ataque hacker é "fato de terceiro" (Art. 43, III). Se o controlador não adotou medidas técnicas razoáveis, o ataque é consequência previsível — não excludente de responsabilidade.

REsp 2.201.694/SP (3ª Turma, agosto de 2025)

Fatos: ação por vazamento de informações pessoais de banco de dados.

Decisão: a 3ª Turma, por maioria (relatora Ministra Nancy Andrighi), entendeu que o dano moral em vazamento de dados pessoais é presumido — dispensando prova de prejuízo concreto. A indenização foi fixada em R$ 11.000.

Impacto: esse precedente contraria parcialmente o AREsp 2.130.619/SP, criando uma divergência entre a 2ª e a 3ª Turma do STJ. Enquanto a 2ª Turma exige prova de dano efetivo, a 3ª Turma admite dano moral presumido. A questão tende a ser pacificada pela Corte Especial ou por recurso repetitivo.

Tendência geral

A jurisprudência do STJ está se movendo na direção de uma responsabilização mais rigorosa dos agentes de tratamento, especialmente quando:

  • Não há prova de adoção de medidas de segurança adequadas
  • O vazamento envolve volume significativo de titulares
  • O controlador não cumpre o dever de informação (Art. 18)
  • Há relação de consumo (ativando o CDC via Art. 45)

Números que mostram a tendência

O crescimento das ações judiciais envolvendo a LGPD é expressivo. Segundo o Painel LGPD nos Tribunais, iniciativa apoiada pelo PNUD (Programa das Nações Unidas para o Desenvolvimento):

  • Entre outubro de 2023 e outubro de 2024, foram identificadas 15.921 decisões judiciais que mencionaram a LGPD — um crescimento de 112% em relação ao período anterior (7.503 decisões).
  • Desse total, apenas 33% aplicaram a LGPD como fundamento principal da decisão; 46% a mencionaram de forma superficial.
  • As áreas mais afetadas são Direito do Consumidor, Direito Civil e Direito do Trabalho.

O volume crescente de litígios reforça a importância de investir em conformidade preventiva — não apenas para evitar sanções da ANPD, mas para reduzir a exposição judicial.

Aplicações práticas: como se proteger

Para controladores

  1. Documente tudo. O Art. 43, II permite excluir a responsabilidade se o controlador provar que não violou a legislação. Essa prova depende de documentação: políticas de privacidade, registros de tratamento (ROPA), relatórios de impacto (RIPD), treinamentos, logs de acesso, contratos com operadores.

  2. Invista em segurança proporcional ao risco. O Art. 44 avalia a segurança pela expectativa razoável do titular. Dados de saúde em uma clínica exigem mais segurança que dados de contato em um cadastro de newsletter. O parâmetro é proporcionalidade, não perfeição.

  3. Formalize DPAs com operadores. A solidariedade do Art. 42, § 1º torna o controlador co-responsável por falhas do operador. Um DPA bem redigido define responsabilidades, medidas de segurança exigidas, obrigação de notificação de incidentes e cláusulas de indenização.

  4. Prepare-se para a inversão do ônus da prova. Em juízo, o controlador frequentemente será chamado a demonstrar que agiu corretamente — não cabe ao titular provar a falha. A capacidade de produzir essa prova depende de registros contemporâneos, não de reconstruções a posteriori.

Para operadores

  1. Siga rigorosamente as instruções do controlador. A solidariedade do inciso I do § 1º se ativa quando o operador descumpre instruções lícitas. Manter registros das instruções recebidas e das ações tomadas é essencial.

  2. Não tome decisões autônomas sobre dados. Se o operador começa a decidir sobre finalidades ou meios de tratamento, pode ser equiparado a controlador — assumindo responsabilidades maiores.

  3. Mantenha suas próprias medidas de segurança. O parágrafo único do Art. 44 responsabiliza tanto controlador quanto operador pela falta de medidas de segurança. O operador não se exime dizendo que "o controlador não exigiu".

Erros mais comuns

ErroRiscoCorreção
Assumir que ataque hacker é sempre "fato de terceiro"Excludente negada se não houver medidas de segurança adequadasDocumentar medidas de segurança adotadas; implementar controles técnicos proporcionais
Não ter DPA com operadoresResponsabilidade solidária sem direito de regresso claroFormalizar DPA com cláusulas de responsabilidade e indenização
Responder a incidente sem documentarIncapacidade de provar conformidade em juízo (Art. 43, II)Registrar todas as ações de resposta, medidas adotadas e comunicações
Ignorar o Art. 45 em relações de consumoResponsabilidade objetiva do CDC se soma à da LGPDTratar clientes-consumidores com regime protetivo do CDC
Não investir em segurança alegando custo elevadoArt. 44 avalia técnicas "disponíveis à época" — custo não é excludenteImplementar medidas proporcionais ao risco e ao porte

Conclusão

Os Arts. 42 a 45 da LGPD constroem um regime de responsabilidade civil que, embora debate doutrinário persista sobre sua natureza exata, produz resultados práticos claros: quem trata dados pessoais assume um dever de segurança e conformidade; quem falha nesse dever responde pelos danos — solidariamente com outros agentes da cadeia, com possível inversão do ônus da prova, e sob o regime agravado do CDC nas relações de consumo.

A jurisprudência do STJ está em formação, com decisões que ora exigem prova de dano efetivo, ora admitem dano moral presumido. A tendência, contudo, aponta para uma responsabilização crescente — o que torna a conformidade preventiva não apenas uma obrigação legal, mas uma estratégia de gestão de risco.

Para DPOs e profissionais de compliance, a lição é direta: a melhor defesa contra a responsabilidade civil não é uma tese jurídica sofisticada — é um programa de conformidade documentado, medidas de segurança proporcionais e contratos claros com todos os agentes da cadeia de tratamento.

A Confidata documenta automaticamente o inventário de atividades de tratamento, bases legais e medidas de segurança — gerando o registro de conformidade que o Art. 43 exige para excluir responsabilidade. Quando o juiz pedir provas, sua organização terá o que apresentar. Conheça nossa plataforma.

Compartilhar
#lgpd-comentada#LGPD#Art. 42#Art. 43#Art. 44#Art. 45#responsabilidade civil#dano moral#solidária#CDC#tratamento irregular

Artigos relacionados

LGPD Comentada #28: Vigência, transição e o futuro da proteção de dados no BrasilLGPD Comentada · 13 minLGPD Comentada #27: O Conselho Nacional de Proteção de Dados e da PrivacidadeLGPD Comentada · 12 minANPD: Competências, Estrutura e Poderes de FiscalizaçãoLGPD Comentada · 16 minLGPD Comentada #25: Sanções administrativas — da advertência à multa de R$ 50 milhõesLGPD Comentada · 16 min

Quer ir além? Conheça o Confidata

Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.

© 2026 Confidata — Todos os direitos reservados|Privacidade|Cookies
Falar com especialista