Skip to the content Solicite demonstração

Manage your privacy program with one of
the most complete and reliable tools on the market

Test our platform
x
PrivacyTools - LGPD PrivacyTools - LGPD - Menu
  • en
    • br
Ask for demonstration Login
  • About
  • Solutions

    Marketing & Privacy UX

    • Cookies Management Manage cookies and make your portal compliant
    • Policy Management Create and manage your site policies

    Privacy Management

    • Consent Management Register and manage universal consent
    • Holders' Requests DSAR - Respect the rights of data subjects
    • Audit Management Generate monitoring reports for your projects

    Governance and Compliance

    • Incident Management React quickly and provide appropriate notifications
    • Data Mapping Promote inventory, transfers and DPIA
    • Data Discovery Discover, analyze and correct data at scale
    • ESG Define and carry out the controls, actions and strategies of your ESG program
    • AI Governance Centralize, manage, and ensure compliance for your AI projects
  • Government
  • Resources
  • Blog
  • Contact us
  • Login
  • About
  • Solutions
  • Government
  • Resources
  • Blog
  • Contact us
Imagem 2 2 - Privacy Tools
Categories
Blog

The future of data protection in Brazil: is a moral damage industry emerging? PART II

  • Post author By Eduarda Chacon Rosas
  • Post date 14/01/2025
Tempo de leitura estimado (em minutos): 4

Esse texto é a segunda parte de um artigo escrito pela autora Eduarda Chacon Rosas, leia a primeira parte aqui.

Os dois julgados, REsp nº 2147374/SP e AREsp nº 2130619/SP – que não são tecnicamente “precedentes”, e esta distinção de processo civil é importante –, em termos de “pano de fundo”, são similares. O que muda é a opinião da Terceira Turma, em relação à Segunda Turma, e isso é essencial porque a primeira é de direito privado e potencialmente analisará casos muito relevantes envolvendo players da iniciativa privada e titulares de dados. 

Ao defender a competência da turma para apreciação da matéria, o relator inclusive defendeu que é atribuição das turmas de direito privado decidir sobre responsabilidade civil em casos que envolvam concessionárias de serviço público. O que acende nova luz vermelha: é possível que vazamentos de dados envolvendo o Estado sejam julgados por um colegiado que já se manifestou no sentido de que para condenar com base na LGPD, a prova do dano não é imprescindível.

Este posicionamento é inovador e não se extrai da literalidade do art. 42, segundo o qual seria necessário para fins e condenação fundada na LGPD, em tese, a demonstração da violação legal, do tratamento de dados e do dano. Ou seja, seriam requisitos cumulativos.

Banner 2 - Privacy Tools

O antes e o depois

O novo julgado do STJ inaugura o entendimento de que o macrossistema de proteção de dados envolve uma “responsabilidade ativa” ou “proativa”, a partir da qual o agente de tratamento de dados pessoais deve demonstrar a adoção de “medidas eficazes” que atestem “a observância e o cumprimento das normas de proteção de dados”. A ideia subjacente, segundo o aresto, é de que os agentes de tratamento, inclusive o Poder Público, têm a obrigação de não apenas cumprir a lei, mas de provar este cumprimento – a fim de evitar a responsabilização civil.

O que se extrai do novo julgado, em se tratando da adoção de medidas de segurança adequadas, é que o agente de tratamento que não quiser ser judicialmente sancionado, deve, no âmbito da instrução processual, provar que “cumpre a lei”, inclusive demonstrando que medidas de governança e boas práticas instituiu.

O contencioso em proteção de dados

Veja-se que o magistrado (pensando no contencioso de proteção de dados), em adesão a esta lógica, precisaria partir inicialmente da presunção de culpa do agente de tratamentos: “se o incidente de segurança ocorreu, é porque não se tomaram as medidas adequadas de segurança”. Caberia, a partir daí, a este agente, erodir tal presunção, demonstrando que adotou as medidas de segurança adequadas e necessárias, suficientes, com base na tecnologia disponível à época, para evitar o resultado indesejado (que ocorreu mesmo assim). E esta prova é extremamente delicada. Passível de questionar-se, até, se é viável fazê-la sem uma perícia ou auditoria – o que é relevante considerando que este entendimento novo do STJ certamente será aplicado nos Juizados Especiais, onde a dilação probatória sequer é admitida.

Por enquanto o que se sabe é que há duas decisões do STJ sobre a mesma situação que partem de premissas completamente distintas e que, em essência, são inconciliáveis. Ambas serão utilizadas como “paradigmas” pelo contencioso afora, o que é muito importante no Brasil, país de tradição e cultura litigiosas.

Enquanto é inquestionável a importância da adesão à LGPD, é válido lembrar que a ANPD e a cultura de proteção de dados, de modo geral, sempre sinalizaram um compromisso com a internalização de novos comportamentos, com o letramento digital e com a adoção de um mindset de proteção de dados. O foco da atuação da autoridade, sabidamente, nunca foi sancionar. Muitos questionavam esta visão de mundo e defendiam que a sociedade só aprenderia – e mudaria – na base da sanção financeira. Talvez esta convicção seja posta à prova agora.

O que esperar?

As decisões do STJ são formadoras de opinião e direcionadoras de comportamento. O primeiro julgado estava amparado na LGPD e demonstrava uma preocupação de política judiciária, pensando justamente no efeito dominó de uma decisão que admitisse dano presumido em matéria de proteção de dados e, quiçá, na inevitável repercussão deste tipo de paradigma para o Estado. A segunda decisão, embora não tenha falado sobre dano explicitamente, tirou o protagonismo dele que passou, na prática, a ser presumido na medida em que não é relevante para a condenação, ou até mesmo que decorre automaticamente do “descumprimento da lei”. O descumprimento que passou, este sim, a ser expressamente presumido – e trouxe um ônus probatório complexo ao agente de tratamento. A tônica aqui parece ser mesmo endurecer o enforcement. 

Existe, agora, a expectativa de que a ANPD, competente para interpretar precipuamente a LGPD, regule, enfim, o que são “medidas de segurança adequadas”. Até lá, tudo indica que foi inaugurada a pedra fundamental da indústria do dano moral em matéria de proteção de dados.

Gostou do texto? Então você também pode gostar desse texto sobre governança e compliance.

Autor

  • D88923CA 45C8 41F6 8572 6FD2EC1EE932 - Privacy Tools
    Eduarda Chacon Rosas

    Advogada e Coordenadora no BFBM Advogados. Professora. Autora de livro e artigos. Doutoranda e Mestre pela UNB. Pós-Graduada lato sensu em Direito Empresarial pela Fundação Getúlio Vargas, FGV. Pós-Graduada lato sensu em Relações Internacionais, UnB. Graduada em Direito, Universidade Federal do Rio Grande do Norte, UFRN. Pesquisadora no IDP (Ethics4AI). CIPM e CDPO pelo IAPP. ECPC-B DPO pela Universidade de Maastricht. Membro da Comissão de IA e do Observatório Nacional de Cibersegurança, Inteligência Artificial e Proteção de Dados da OAB.

    View all posts
  • Tags brasil, danos morais, lgpd, proteção de dados
Avatar of Eduarda Chacon Rosas

By Eduarda Chacon Rosas

Advogada e Coordenadora no BFBM Advogados. Professora. Autora de livro e artigos. Doutoranda e Mestre pela UNB. Pós-Graduada lato sensu em Direito Empresarial pela Fundação Getúlio Vargas, FGV. Pós-Graduada lato sensu em Relações Internacionais, UnB. Graduada em Direito, Universidade Federal do Rio Grande do Norte, UFRN. Pesquisadora no IDP (Ethics4AI). CIPM e CDPO pelo IAPP. ECPC-B DPO pela Universidade de Maastricht. Membro da Comissão de IA e do Observatório Nacional de Cibersegurança, Inteligência Artificial e Proteção de Dados da OAB.

View Archive →

Posts relacionados

PrivacyTools - LGPD

Safe Elections: How the LGPD strengthens Brazilian democracy


← How to build a Data Processing Policy – Part II → How data mapping strengthens strategic management and protection of personal data





Marketing & UX

  • Cookie management
  • Policy management

Privacy management

  • Consent Management
  • Holders' requests
  • Audit

Governance and compliance

  • Incident management
  • Data mapping
  • Data discovery
  • ESG
  • AI Governance

Social networks

  • Privacy Policy
  • Cookies Policy
  • Code of Ethics

© Privacy Tools 2025 PrivacyTools - LGPD