Blog
Você está aqui: / / / LGPD: meus dados foram vazados — o que fazer e como pedir indenização...

LGPD: meus dados foram vazados — o que fazer e como pedir indenização

LGPD: meus dados foram vazados — o que fazer e como pedir indenização

O vazamento de dados pessoais se tornou uma das maiores preocupações de pessoas físicas e empresas no Brasil. CPF, nome completo, telefone, endereço, e-mail, dados bancários, documentos, informações de saúde, dados de compras e até credenciais de acesso podem ser expostos em incidentes de segurança.

O problema não termina no vazamento. Muitas vezes, os dados expostos passam a ser usados em golpes digitais, abertura de contas fraudulentas, compras indevidas, empréstimos não contratados, clonagem de WhatsApp, falsas cobranças, boletos falsos, fraudes com Pix, invasão de contas, tentativas de extorsão e engenharia social.

A Lei Geral de Proteção de Dados Pessoais — LGPD, Lei nº 13.709/2018, protege dados pessoais tratados por pessoas naturais e pessoas jurídicas de direito público ou privado, inclusive em meios digitais, com o objetivo de proteger direitos fundamentais de liberdade, privacidade e desenvolvimento da personalidade.

Neste artigo, você vai entender o que fazer se seus dados foram vazados, quais direitos a LGPD garante, quando cabe indenização, quais provas reunir, como empresas devem agir em caso de incidente e como pessoas físicas e jurídicas podem reduzir riscos diante do crescimento dos golpes digitais.

O que é vazamento de dados pessoais?

Vazamento de dados pessoais é a exposição indevida, acesso não autorizado, divulgação, perda, alteração, destruição ou compartilhamento irregular de informações relacionadas a uma pessoa identificada ou identificável.

Exemplos de dados pessoais:

Tipo de dado Exemplos
Identificação Nome, CPF, RG, CNH, data de nascimento
Contato Telefone, e-mail, endereço
Financeiros Dados bancários, cartões, renda, score, dívidas
Profissionais Cargo, salário, empresa, currículo
Digitais Login, senha, IP, cookies, identificadores
Saúde Exames, laudos, prontuários, plano de saúde
Biométricos Digital, reconhecimento facial, voz
Consumo Compras, hábitos, histórico de pedidos
Familiares Filiação, dependentes, estado civil

Nem todo incidente envolve vazamento público. Às vezes, os dados são acessados por terceiros não autorizados, copiados por criminosos, enviados para destinatário errado ou expostos em sistemas vulneráveis.

Dados pessoais comuns e dados sensíveis: qual a diferença?

A LGPD diferencia dados pessoais comuns e dados pessoais sensíveis.

Dados pessoais comuns

São informações que identificam ou podem identificar uma pessoa, como:

  • nome;
  • CPF;
  • telefone;
  • e-mail;
  • endereço;
  • número de documento;
  • dados de consumo;
  • informações cadastrais.

Dados pessoais sensíveis

São dados que podem gerar maior risco de discriminação ou violação da intimidade, como:

  • origem racial ou étnica;
  • convicção religiosa;
  • opinião política;
  • filiação sindical;
  • dado referente à saúde;
  • dado referente à vida sexual;
  • dado genético;
  • dado biométrico.

Essa diferença é importante porque vazamentos envolvendo dados sensíveis podem aumentar o risco jurídico e a gravidade do dano.

Vazamento de dados e golpes digitais: por que o risco aumentou?

Dados vazados são matéria-prima para golpes digitais.

Com dados básicos, golpistas conseguem tornar abordagens falsas muito mais convincentes. A pessoa recebe uma mensagem com nome completo, CPF, endereço ou dados de compra e acredita que está falando com banco, loja, Receita Federal, plano de saúde, transportadora ou órgão público.

A Receita Federal alertou em 2026 para golpes digitais envolvendo falsas pendências de IRPF. Segundo o órgão, criminosos enviam mensagens com links suspeitos que simulam ambientes oficiais do governo e induzem o usuário a “regularizar” suposta pendência.

Golpes comuns após vazamento de dados:

Golpe Como costuma aparecer
Phishing Link falso por e-mail, SMS ou aplicativo
Boleto falso Cobrança com dados reais da vítima
Falso atendimento bancário Criminoso se passa por banco
Clonagem de WhatsApp Pedido de código ou confirmação
Falsa central de segurança Ligação dizendo que houve compra suspeita
Empréstimo fraudulento Contratação usando dados da vítima
Conta aberta indevidamente Uso de CPF e documentos vazados
Compra não reconhecida Cadastro fraudulento em loja ou marketplace
Golpe do gov.br Tentativa de acesso indevido à conta
Fraude em empresa Uso de dados de sócios, clientes ou fornecedores

O Governo Federal orienta que, ao identificar alteração ou acesso suspeito em conta gov.br, o usuário registre boletim de ocorrência, detalhe a situação e anexe cópias de e-mails ou telas que comprovem a atividade indevida. Também recomenda alterar a senha da conta.

Meus dados foram vazados: o que fazer imediatamente?

Se você descobriu que seus dados foram vazados, agir rápido pode reduzir prejuízos.

1. Identifique quais dados foram expostos

Tente descobrir:

  • quais dados vazaram;
  • quando ocorreu o incidente;
  • qual empresa ou órgão estava com os dados;
  • se houve comunicação formal;
  • se há risco financeiro;
  • se envolve senha, cartão, banco ou documentos;
  • se envolve dados sensíveis;
  • se outras pessoas da família ou empresa foram afetadas.

Quanto mais sensível o dado, maior deve ser o cuidado.

2. Troque senhas e ative autenticação em duas etapas

Se e-mail, telefone, login ou senha foram expostos, troque imediatamente:

  • senha do e-mail principal;
  • senha de bancos;
  • senha de redes sociais;
  • senha da conta gov.br;
  • senha de marketplaces;
  • senha de sistemas corporativos;
  • senha de aplicativos de mensagem.

Use senhas diferentes para cada serviço e ative autenticação em duas etapas sempre que possível.

3. Avise bancos, cartões e instituições financeiras

Se há risco de fraude financeira, entre em contato com:

  • banco;
  • cartão de crédito;
  • fintech;
  • cooperativa;
  • corretora;
  • empresa de pagamento;
  • plataforma de crédito.

Peça bloqueio preventivo, contestação de transações suspeitas e registro formal dos protocolos.

4. Registre boletim de ocorrência

O boletim de ocorrência é importante quando há:

  • fraude financeira;
  • empréstimo não contratado;
  • compra indevida;
  • invasão de conta;
  • golpe com WhatsApp;
  • uso indevido de CPF;
  • ameaça;
  • abertura de conta fraudulenta;
  • tentativa de extorsão;
  • alteração indevida de cadastro.

Guarde o número do boletim.

5. Reúna provas

Guarde tudo:

Prova Por que é importante
E-mail comunicando vazamento Prova ciência do incidente
Prints de mensagens suspeitas Mostra tentativa de golpe
Boletim de ocorrência Registra fraude ou risco
Protocolos com empresa Comprova tentativa de solução
Extratos bancários Demonstra prejuízo financeiro
Faturas de cartão Mostra compras indevidas
Contratos não reconhecidos Prova uso indevido de dados
Negativação indevida Demonstra dano
Comunicações da empresa Mostra falha ou resposta
Reclamações na ANPD, Procon ou consumidor.gov.br Reforça tentativa administrativa

Essas provas serão importantes para reclamação administrativa ou ação judicial.

6. Peça explicações à empresa responsável

Você pode solicitar:

  • confirmação de tratamento dos seus dados;
  • quais dados foram afetados;
  • finalidade do tratamento;
  • com quem foram compartilhados;
  • quais medidas foram tomadas;
  • quando a empresa soube do incidente;
  • se a ANPD foi comunicada;
  • se os titulares foram comunicados;
  • quais medidas de mitigação foram oferecidas;
  • exclusão ou correção de dados, quando cabível.

A ANPD informa que a LGPD prevê direitos como confirmar a existência de tratamento, acessar dados pessoais e pedir correção de informações incompletas ou desatualizadas.

A empresa é obrigada a comunicar vazamento de dados?

Sim, em determinadas situações.

A LGPD determina que o controlador deve comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. A própria ANPD reforça essa obrigação em orientação sobre vazamento de dados.

Em 2024, a ANPD aprovou o Regulamento de Comunicação de Incidente de Segurança. A comunicação à ANPD deve ser feita pelo controlador no prazo de três dias úteis, contados do conhecimento de que o incidente afetou dados pessoais, salvo prazo específico em outra legislação.

O que a comunicação do incidente deve informar?

A comunicação deve ser clara e útil ao titular.

Em geral, o titular deve receber informações como:

  • natureza do incidente;
  • categorias de dados afetados;
  • número de titulares afetados, quando possível;
  • riscos relacionados ao incidente;
  • medidas técnicas e de segurança adotadas;
  • providências recomendadas aos titulares;
  • canais de contato;
  • medidas para mitigar danos.

Se a empresa comunica de forma genérica, tardia ou incompleta, isso pode ser relevante juridicamente.

Pessoa física: quais direitos tenho se meus dados vazaram?

A pessoa física, como titular dos dados, pode exercer direitos previstos na LGPD.

Entre eles:

Direito O que permite
Confirmação de tratamento Saber se a empresa trata seus dados
Acesso aos dados Obter cópia ou informações sobre os dados
Correção Corrigir dados incompletos ou errados
Anonimização, bloqueio ou eliminação Em situações de dados desnecessários ou irregulares
Informação sobre compartilhamento Saber com quem os dados foram compartilhados
Revogação de consentimento Retirar autorização, quando essa for a base usada
Revisão de decisões automatizadas Questionar decisões tomadas por sistemas
Petição à ANPD Reclamar à autoridade competente

A ANPD possui canal para denúncia e petição de titular referente à LGPD. A denúncia pode ser feita por qualquer pessoa, natural ou jurídica, diante de suposta infração à legislação de proteção de dados.

Pessoa jurídica também pode ser vítima de vazamento?

Sim, mas com uma diferença importante.

A LGPD protege dados pessoais, isto é, dados relacionados a pessoas naturais. Uma empresa, como pessoa jurídica, não é titular de dados pessoais no mesmo sentido. Porém, uma PJ pode sofrer vazamento de dados envolvendo:

  • sócios;
  • administradores;
  • funcionários;
  • clientes;
  • fornecedores pessoas físicas;
  • pacientes, alunos ou consumidores;
  • representantes legais;
  • usuários de sistemas;
  • dados de acesso;
  • contratos contendo dados pessoais;
  • informações financeiras ligadas a pessoas naturais.

Além disso, a empresa pode sofrer golpes digitais e prejuízos próprios, como:

  • fraude bancária;
  • golpe do boleto;
  • invasão de e-mail corporativo;
  • vazamento de base de clientes;
  • uso indevido de marca;
  • sequestro de dados;
  • indisponibilidade de sistema;
  • perda de contratos;
  • dano reputacional;
  • sanções administrativas;
  • ações de clientes e titulares.

Portanto, mesmo quando a PJ não é “titular” pela LGPD, ela pode ser controladora, operadora, vítima de crime digital ou responsável por indenizar titulares afetados.

Empresa que sofre vazamento: o que fazer?

Para empresas, a reação ao incidente precisa ser rápida, organizada e documentada.

1. Acionar plano de resposta a incidentes

A empresa deve identificar:

  • o que aconteceu;
  • quando começou;
  • se ainda está em andamento;
  • quais sistemas foram afetados;
  • quais dados foram expostos;
  • quantas pessoas foram afetadas;
  • se há dados sensíveis;
  • se houve ataque externo ou falha interna;
  • se houve sequestro de dados;
  • quais medidas já foram adotadas.

2. Preservar evidências

Evite apagar logs, e-mails, arquivos ou registros sem orientação técnica.

É importante preservar:

  • logs de acesso;
  • IPs;
  • trilhas de auditoria;
  • registros de firewall;
  • e-mails suspeitos;
  • arquivos comprometidos;
  • backups;
  • relatórios de antivírus;
  • registros de suporte;
  • prints de telas;
  • comunicações internas.

Essas evidências ajudam a comprovar a extensão do incidente e as providências adotadas.

3. Conter o incidente

Medidas comuns:

  • trocar senhas;
  • revogar acessos;
  • bloquear usuários suspeitos;
  • desligar sistemas comprometidos, quando necessário;
  • corrigir vulnerabilidades;
  • restaurar backup seguro;
  • aplicar atualizações;
  • revisar permissões;
  • isolar máquinas afetadas.

4. Avaliar comunicação à ANPD e aos titulares

Se o incidente puder acarretar risco ou dano relevante aos titulares, deve ser comunicado à ANPD e aos titulares.

A ANPD informa que a comunicação deve ser feita pelo encarregado de proteção de dados ou representante legal do controlador, por peticionamento eletrônico via SEI!ANPD.

5. Registrar tudo

A empresa deve documentar:

  • cronologia do incidente;
  • decisões tomadas;
  • equipe envolvida;
  • medidas técnicas;
  • comunicações;
  • pareceres;
  • avaliação de risco;
  • justificativa para comunicar ou não comunicar;
  • providências de mitigação;
  • revisão posterior.

Esse registro pode ser decisivo em investigação, ação judicial ou fiscalização.

Empresas pequenas também precisam cumprir a LGPD?

Sim.

Pequenas empresas, clínicas, consultórios, escritórios, escolas, e-commerces, imobiliárias, academias, restaurantes, prestadores de serviço e startups também tratam dados pessoais.

A ANPD publicou Guia Orientativo sobre Segurança da Informação para Agentes de Tratamento de Pequeno Porte, com medidas administrativas e técnicas de segurança e checklist para auxiliar pequenos agentes no cumprimento da LGPD.

Exemplos de medidas básicas para PJ:

Medida Por que importa
Controle de acesso Evita acesso indevido
Senhas fortes e 2FA Reduz invasão de contas
Backup seguro Ajuda em ataques e perdas
Treinamento de equipe Reduz phishing e erro humano
Política de privacidade Dá transparência
Contratos com fornecedores Define responsabilidades
Registro de operações Organiza tratamento de dados
Plano de resposta a incidentes Evita improviso
Antivírus e atualizações Reduz vulnerabilidades
Gestão de permissões Evita exposição interna

Quando cabe indenização por vazamento de dados?

A indenização pode ser possível quando o vazamento decorre de falha da empresa ou órgão no tratamento de dados e gera dano ao titular.

A LGPD prevê que quem causar dano patrimonial, moral, individual ou coletivo a outrem, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

Mas atenção: nem todo vazamento gera indenização automática.

O STJ decidiu, em 2023, que o vazamento de dados pessoais comuns não gera, por si só, dano moral indenizável; nesse caso, o titular deve comprovar dano efetivo.

Por outro lado, em 2025, o STJ noticiou decisão da Terceira Turma no sentido de que a disponibilização indevida de informações pessoais em banco de dados para terceiros pode gerar dano moral presumido, em contexto específico analisado pela Corte.

A conclusão prática é: a viabilidade da indenização depende do tipo de dado vazado, da gravidade do incidente, da conduta da empresa e das consequências para a vítima.

Que danos podem ser indenizados?

1. Dano material

É o prejuízo financeiro comprovável.

Exemplos:

  • dinheiro retirado da conta;
  • empréstimo fraudulento;
  • compra indevida;
  • cartão usado por terceiros;
  • pagamento de boleto falso;
  • contratação fraudulenta;
  • gastos para recuperar contas;
  • custos com advogado, perícia ou serviços de proteção;
  • perda de contratos, no caso de empresa.

É essencial guardar comprovantes.

2. Dano moral

Pode ocorrer quando o vazamento causa angústia relevante, exposição indevida, risco à segurança, fraude, constrangimento, negativação indevida, uso de dados sensíveis ou violação grave da privacidade.

Exemplos:

  • dados de saúde vazados;
  • CPF usado em fraude;
  • negativação por dívida não contratada;
  • exposição de dados íntimos;
  • vazamento de biometria;
  • golpe que causa constrangimento;
  • divulgação de endereço com risco à segurança;
  • exposição de dados de crianças ou adolescentes;
  • vazamento massivo com consequências comprovadas.

3. Dano reputacional para empresas

Pessoa jurídica pode discutir prejuízos próprios quando sofre fraude ou ataque que causa:

  • perda de clientes;
  • interrupção de operação;
  • queda de faturamento;
  • dano à marca;
  • rompimento de contratos;
  • custos emergenciais;
  • necessidade de comunicação pública;
  • investigações e auditorias;
  • ações de clientes.

A estratégia jurídica aqui pode envolver responsabilidade de fornecedores, prestadores de tecnologia, banco, parceiro comercial ou criminosos identificados.

O que preciso provar para pedir indenização?

Em geral, é importante provar:

  1. que seus dados foram tratados pela empresa;
  2. que houve vazamento, exposição ou uso indevido;
  3. que a empresa falhou na segurança, transparência ou resposta;
  4. que houve dano ou risco relevante;
  5. que há relação entre o vazamento e o prejuízo sofrido.

Provas úteis:

Prova Utilidade
Comunicação oficial de vazamento Prova incidente
Prints de dados expostos Mostra divulgação
Protocolos com a empresa Mostra tentativa de solução
Boletim de ocorrência Registra fraude
Extratos e faturas Prova prejuízo
Negativação indevida Demonstra dano concreto
Contratos fraudulentos Prova uso indevido
Mensagens de golpe com seus dados Mostra risco e uso dos dados
Relatórios técnicos Fortalece nexo
Resposta incompleta da empresa Indica falha de transparência
Reclamação na ANPD Reforça histórico

Dados vazados geram dano moral presumido?

Depende.

A jurisprudência ainda exige análise do caso concreto.

O STJ já decidiu que vazamento de dados pessoais comuns, sem comprovação de dano efetivo, não gera automaticamente indenização por dano moral.

Mas também há decisões mais recentes reconhecendo dano moral presumido em situações específicas de disponibilização indevida de informações pessoais, especialmente quando o contexto expõe o titular a riscos relevantes.

Na prática, a chance de indenização aumenta quando há:

  • dados sensíveis;
  • dados financeiros;
  • fraude comprovada;
  • negativação indevida;
  • abertura de conta fraudulenta;
  • empréstimo não contratado;
  • exposição pública;
  • omissão da empresa;
  • demora para comunicar;
  • recusa em informar;
  • ausência de medidas de segurança;
  • risco concreto à integridade, segurança ou privacidade.

O que fazer se usaram meus dados para aplicar golpe?

Siga este roteiro:

  1. registre boletim de ocorrência;
  2. comunique banco ou empresa envolvida;
  3. conteste compras, empréstimos ou contratos;
  4. peça bloqueio preventivo de cartões e contas;
  5. guarde protocolos;
  6. solicite cópia de documentos usados na fraude;
  7. peça exclusão de dívida indevida;
  8. monitore CPF e contas;
  9. comunique a empresa que vazou ou tratava os dados;
  10. procure orientação jurídica se houver prejuízo ou negativação.

Se houver dívida não reconhecida, peça documento que prove a contratação. Em situações de negativação indevida, é importante obter extrato do órgão de proteção ao crédito e contestar formalmente.

Posso reclamar na ANPD?

Sim.

A ANPD recebe denúncias e petições de titulares.

A denúncia é uma comunicação feita por qualquer pessoa, natural ou jurídica, sobre suposta infração à legislação de proteção de dados pessoais. Já a petição de titular está ligada ao exercício de direitos quando o controlador não respondeu ou respondeu de forma inadequada.

Antes de acionar a ANPD, é recomendável tentar contato com a empresa responsável e guardar prova da solicitação.

Posso reclamar no Procon ou consumidor.gov.br?

Sim, quando houver relação de consumo.

O consumidor.gov.br é um serviço público e gratuito que permite comunicação direta entre consumidores e empresas participantes para solução de problemas de consumo.

Esse caminho pode ser útil em casos envolvendo:

  • banco;
  • operadora de telefonia;
  • e-commerce;
  • plano de saúde;
  • instituição de ensino;
  • companhia aérea;
  • marketplace;
  • aplicativos;
  • empresas de serviços.

Posso entrar na Justiça?

Sim, quando houver fundamento jurídico e provas.

A ação judicial pode pedir:

  • indenização por dano moral;
  • indenização por dano material;
  • exclusão de dívida;
  • declaração de inexistência de contrato;
  • obrigação de fazer;
  • remoção de dados;
  • correção de dados;
  • fornecimento de informações;
  • bloqueio de tratamento irregular;
  • tutela de urgência em casos graves.

A ação pode ser contra:

  • empresa que vazou os dados;
  • banco que permitiu fraude;
  • empresa que negativou indevidamente;
  • plataforma que falhou na segurança;
  • fornecedor que tratou dados de forma irregular;
  • órgão público, conforme o caso.

Quando pedir liminar?

A liminar pode ser útil quando há urgência.

Exemplos:

Situação Pedido possível
Nome negativado por fraude Retirada imediata da negativação
Empréstimo fraudulento Suspensão de cobrança
Conta invadida Recuperação ou bloqueio de acesso
Dados expostos publicamente Remoção urgente
Golpe em andamento Bloqueio de transações
Empresa usando dados indevidamente Suspensão do tratamento
Contrato falso Bloqueio de cobrança
Risco a criança ou adolescente Medidas urgentes de proteção

Empresas podem ser multadas pela ANPD?

Sim.

A ANPD publicou regulamento de dosimetria que permite aplicar sanções administrativas por descumprimento da LGPD.

A LGPD prevê sanções como advertência, multa simples, multa diária, publicização da infração, bloqueio e eliminação dos dados pessoais relacionados à infração. A multa simples pode chegar a até 2% do faturamento da pessoa jurídica de direito privado no Brasil, limitada a R$ 50 milhões por infração, conforme art. 52 da LGPD.

Importante: multa administrativa aplicada pela ANPD não é a mesma coisa que indenização ao titular. A indenização depende de pedido administrativo ou judicial próprio, conforme o caso.

Checklist para pessoa física após vazamento de dados

Ação Feito?
Identificar quais dados vazaram
Trocar senhas importantes
Ativar autenticação em duas etapas
Avisar banco e cartão
Registrar boletim de ocorrência, se houver fraude
Guardar prints e protocolos
Pedir explicações à empresa
Solicitar direitos pela LGPD
Reclamar na ANPD, Procon ou consumidor.gov.br
Monitorar CPF, contas e faturas
Avaliar indenização se houve dano

Checklist para empresas após incidente de dados

Ação Feito?
Acionar plano de resposta
Identificar sistemas afetados
Preservar logs e evidências
Conter o incidente
Avaliar dados e titulares afetados
Verificar risco ou dano relevante
Comunicar ANPD, se obrigatório
Comunicar titulares, se obrigatório
Registrar decisões e medidas
Revisar segurança e contratos
Treinar equipe
Atualizar políticas internas

Principais erros após vazamento de dados

Erros da pessoa física

  • ignorar mensagens suspeitas;
  • clicar em links recebidos por SMS ou aplicativo;
  • reutilizar senha vazada;
  • não registrar boletim de ocorrência;
  • apagar provas;
  • não contestar compras ou contratos;
  • esperar a dívida negativar;
  • não pedir explicações à empresa;
  • não guardar protocolos.

Erros da empresa

  • esconder o incidente;
  • demorar para conter o problema;
  • apagar logs;
  • comunicar de forma genérica;
  • não avaliar risco aos titulares;
  • não envolver jurídico e segurança da informação;
  • culpar apenas o usuário sem investigação;
  • não revisar fornecedores;
  • não treinar colaboradores;
  • não documentar decisões.

Quando procurar advogado?

A orientação jurídica pode ser importante para pessoa física quando:

  • houve golpe após vazamento;
  • fizeram empréstimo em seu nome;
  • houve compra não reconhecida;
  • seu nome foi negativado;
  • seus dados sensíveis foram expostos;
  • a empresa não responde;
  • há prejuízo financeiro;
  • houve invasão de conta;
  • você precisa de liminar;
  • deseja pedir indenização.

Para empresas, a orientação jurídica é importante quando:

  • houve incidente de segurança;
  • há risco de comunicação à ANPD;
  • titulares foram afetados;
  • dados sensíveis foram expostos;
  • há risco reputacional;
  • fornecedores estão envolvidos;
  • clientes ameaçam ação;
  • houve sequestro de dados;
  • é preciso revisar contratos e políticas;
  • há investigação administrativa.

Conclusão

O vazamento de dados pessoais não é apenas um problema técnico. Ele pode gerar golpes digitais, fraudes financeiras, prejuízo moral, dano material, exposição indevida e responsabilidade jurídica.

Para pessoas físicas, o caminho é agir rápido: trocar senhas, ativar autenticação, avisar bancos, registrar boletim de ocorrência, reunir provas, exercer direitos da LGPD e avaliar indenização quando houver dano.

Para empresas, a LGPD exige prevenção, segurança, resposta organizada, documentação, avaliação de risco e comunicação à ANPD e aos titulares quando o incidente puder causar risco ou dano relevante. A comunicação à ANPD deve ocorrer, em regra, no prazo de três dias úteis após o conhecimento de que o incidente afetou dados pessoais.

A indenização por dados vazados depende do caso. Vazamentos de dados comuns podem exigir prova de dano efetivo, mas situações envolvendo dados sensíveis, fraudes, uso indevido, exposição relevante ou falha grave da empresa podem fortalecer o pedido indenizatório.

Perguntas frequentes sobre dados vazados, LGPD e indenização

1. O que fazer se meus dados foram vazados?

Identifique quais dados foram expostos, troque senhas, ative autenticação em duas etapas, avise bancos, registre boletim de ocorrência se houver fraude, guarde provas e peça explicações à empresa responsável.

2. Vazamento de CPF dá direito a indenização?

Depende. O vazamento de dado comum, como CPF, pode exigir prova de dano efetivo, como fraude, negativação, contratação indevida ou exposição relevante.

3. Dados sensíveis vazados aumentam a chance de indenização?

Sim. Dados de saúde, biometria, religião, opinião política, origem racial ou vida sexual podem gerar risco maior e fortalecer a tese de dano moral.

4. A empresa é obrigada a avisar que meus dados vazaram?

Sim, quando o incidente puder acarretar risco ou dano relevante aos titulares. A LGPD prevê comunicação à ANPD e ao titular nesses casos.

5. Qual o prazo para a empresa comunicar a ANPD?

Em regra, três dias úteis, contados do conhecimento de que o incidente afetou dados pessoais.

6. Posso pedir informações à empresa sobre meus dados?

Sim. A LGPD garante direitos como confirmação de tratamento, acesso aos dados e correção de informações incompletas ou desatualizadas.

7. Posso reclamar na ANPD?

Sim. A ANPD recebe denúncias e petições de titulares sobre possíveis infrações à LGPD.

8. Posso reclamar no consumidor.gov.br?

Sim, quando houver relação de consumo e a empresa estiver cadastrada na plataforma. O serviço permite comunicação direta entre consumidores e empresas participantes.

9. Vazamento de dados gera dano moral automático?

Nem sempre. O STJ já decidiu que vazamento de dados comuns não gera automaticamente dano moral, exigindo prova de dano efetivo em determinados casos.

10. O que pode provar dano moral?

Negativação indevida, fraude, exposição pública, uso de dados sensíveis, risco concreto à segurança, omissão da empresa, demora na comunicação e sofrimento relevante documentado.

11. O que pode provar dano material?

Extratos, faturas, comprovantes de Pix, boletos pagos, contratos fraudulentos, compras não reconhecidas, empréstimos indevidos e recibos de despesas.

12. Usaram meus dados para empréstimo. O que fazer?

Registre boletim de ocorrência, conteste o contrato no banco, peça cópia da contratação, guarde protocolos e avalie ação para declarar inexistência da dívida e pedir indenização.

13. Meu nome foi negativado por fraude. Cabe liminar?

Pode caber. É possível pedir retirada urgente da negativação quando houver indícios de fraude e risco de dano ao consumidor.

14. Empresa pequena precisa cumprir LGPD?

Sim. A ANPD possui guia orientativo para agentes de tratamento de pequeno porte com medidas de segurança e checklist.

15. Pessoa jurídica pode pedir indenização por vazamento?

Pode pedir reparação por prejuízos próprios, como dano reputacional, perda financeira, interrupção de operação ou falha de fornecedor. A LGPD protege dados de pessoas naturais, mas a PJ pode ter outros fundamentos jurídicos.

16. A empresa pode ser multada pela ANPD?

Sim. As sanções incluem advertência, multa, publicização da infração, bloqueio e eliminação de dados. A multa simples pode chegar a 2% do faturamento no Brasil, limitada a R$ 50 milhões por infração.

17. Multa da ANPD vai para a vítima?

Não necessariamente. A multa administrativa não substitui o pedido individual de indenização.

18. Posso processar banco por golpe usando meus dados?

Pode ser possível, especialmente se houver falha de segurança, abertura de conta irregular, empréstimo fraudulento, transação contestada ou ausência de verificação adequada.

19. O que uma empresa deve fazer após incidente?

Conter o incidente, preservar provas, avaliar dados afetados, comunicar ANPD e titulares quando obrigatório, registrar decisões e revisar medidas de segurança.

20. Quando procurar advogado?

Quando houver fraude, prejuízo financeiro, negativação indevida, dados sensíveis expostos, omissão da empresa, necessidade de liminar ou interesse em pedir indenização.

Seus dados foram vazados ou usados em golpe digital? Reúna prints, protocolos, boletim de ocorrência, faturas, extratos e comunicações da empresa. Uma análise jurídica pode indicar se cabe reclamação à ANPD, retirada de cobrança indevida, liminar ou pedido de indenização por danos morais e materiais.

/por
Talvez você goste dos artigos
Reajuste abusivo de plano de saúde: quando o aumento pode ser contestado?Reajuste abusivo de plano de saúde: quando o aumento pode ser contestado?
Estatuto dos Direitos do Paciente: guia completo da Lei 15.378/2026Estatuto dos Direitos do Paciente: guia completo da Lei 15.378/2026
FGTS: como sacar, quando é obrigatório e o que fazer se não foi depositadoFGTS: como sacar, quando é obrigatório e o que fazer se não foi depositado
Reembolso de plano de saúde: quando cabe reembolso integral, quando vale a tabela e o que fazer em caso de negativaReembolso de plano de saúde: quando cabe reembolso integral, quando vale a tabela e o que fazer em caso de negativa
Por que construtoras precisam revisar seus contratos bancários antes que o problema vire uma execução?Por que construtoras precisam revisar seus contratos bancários antes que o problema vire uma execução?
Entenda quando a falta de termo de consentimento informado pode gerar ação contra médico, dentista ou clínica por falha de informação.Entenda quando a falta de termo de consentimento informado pode gerar ação por falha de informação.
Pensão por morte: quem tem direito e como requerer em 2026Pensão por morte: quem tem direito e como requerer em 2026
diagnóstico jurídico gratuitoDiagnóstico Jurídico Gratuito Online: Descubra em Minutos se Você Tem Direito — e o Que Fazer Agora

Gutemberg Amorim Sociedade Individual de Advocacia

CNPJ nº 53.659.853/0001-04

OAB GO/33.567

Contato

  • contato@gutembergamorim.com.br
  • (62) 62 8159-3736
    (62) 98175-1315
  • Rua 3, 1022, Ed. West Office, Setor Oeste, Goiânia - GO, 74.115-050.
    Ver no mapa

Acesso rápido

Sobre nós
Guias e E-Books
Áreas de Atuação
Blog
Diagnósticos Jurídicos
Atendimento
FAQ
Política de Privacidade

Redes Sociais

Cobertura de saúde mental pelo plano: direitos após a RN 539 da ANSCobertura de saúde mental pelo plano: direitos após a RN 539 da ANSGolpes bancários e LGPD: banco falhou, banco paga?Golpes bancários e LGPD: banco falhou, banco paga?
// CODIGO PARA IDENTIFICACAO DE LINK DO DIAGNOSTICO - Sao 2 partes do codigo esse aqui e no Widget