
A partir de 2025 e no início de 2026, o Superior Tribunal de Justiça mudou a forma como avalia pedidos de indenização por vazamento de dados. O tribunal deixou claro que nem todo vazamento gera indenização automática: o que importa é que tipo de dado foi exposto e em que contexto isso aconteceu.
Vazamento de dados comuns não gera indenização automática
O STJ decidiu que informações rotineiras — como nome, CPF, endereço e telefone — não provocam, por si só, dano moral presumido. Essas informações já circulam em cadastros e relações comerciais, por isso o titular precisa mostrar um prejuízo concreto (por exemplo, fraude ou perseguição) para obter indenização.
Quando o dano moral é presumido (não precisa provar o dano)
Existem dois casos em que o tribunal tende a presumir o dano moral:
Com a proteção de dados reconhecida como direito fundamental pela Emenda Constitucional 115, o STJ tem almejado um meio-termo: não punir automaticamente incidentes técnicos de baixo impacto, mas ser rigoroso com empresas que lucram com a privacidade dos usuários.
O que muda na prática:
Conclusão
A nova linha do STJ tende a reduzir ações por vazamentos de baixo impacto e a pressionar empresas a melhorar governança de dados. Ao mesmo tempo, garante proteção mais efetiva quando a intimidade é violada ou quando a privacidade vira produto comercial.
Mariana Monteiro
Colunista É do Rio
Advogada sócia do Escritório Costa Monteiro Advogados Associados