JurisprudênciaIA

Empresa responde pelo vazamento de dados pessoais causado por ataque hacker segundo a LGPD?

Atualizado em 07/07/2026 · Fundamentado em jurisprudência de STJ

Resposta rápida

Em regra, sim. O STJ decidiu, em precedente divulgado em informativo de jurisprudência, que o ataque hacker, por si só, não livra o agente de tratamento de dados de suas obrigações. Se a empresa não provar que o vazamento decorreu exclusivamente do incidente de segurança causado por terceiro, não se aplica a excludente do art. 43, III, da LGPD.

O dever de segurança do agente de tratamento

A proteção de dados pessoais é direito fundamental (art. 5º, LXXIX, da Constituição, incluído pela EC 115/2022), e as empresas que tratam dados têm obrigação legal de adotar as medidas de segurança que o titular pode legitimamente esperar, seguindo padrões de boas práticas, governança e conformidade com a LGPD.

O tratamento é considerado irregular quando deixa de fornecer a segurança esperada pelo titular, consideradas as técnicas disponíveis à época (art. 44, III, da LGPD). A alegação genérica de ataque hacker não basta: cabe à empresa comprovar que o vazamento ocorreu exclusivamente por culpa de terceiro para invocar a excludente de responsabilidade.

As obrigações impostas no caso concreto

No precedente, que envolvia vazamento de dados não sensíveis, o STJ manteve a condenação da empresa a cumprir deveres de transparência: informar as entidades públicas e privadas com as quais compartilhou os dados (art. 18, VII) e fornecer declaração completa sobre origem, critérios e finalidade do tratamento, além de cópia dos dados do titular (art. 19, II).

A extensão da responsabilidade em cada vazamento, inclusive quanto a eventual indenização, depende das provas sobre a falha de segurança e a conduta da empresa, o que os tribunais examinam caso a caso.

O que dizem os tribunais

Informativo 838 do STJ

É passível a imputação das obrigações previstas no art. 19, II, da Lei Geral de Proteção de Dados Pessoais (LGPD), ao agente de tratamento de dados, na ocasião de vazamento de dados pessoais não sensíveis do titular, decorrente de atividade alegadamente ilícita (ataque hacker) .

Decisões recentes sobre o tema

Selecionadas automaticamente na nossa base e atualizadas com frequência.

Acórdão

Terceira Turma · Rel. Ministro Humberto Martins · j. 30/06/2026

Direito processual civil. Agravo interno. Recurso especial. Deficiência de fundamentação (Súmula 284/STF). Reexame de provas (Súmula 7/STJ).I. Caso em exame1. Agravo interno interposto contra decisão monocrática que conheceu do agravo para não conhecer do recurso especial, em razão dos óbices da Súmula 284 do STF e da Súmula 7 do STJ.2. Recurso especial fundado no art. 105, III, a, da Constituição Federal, dirigido contra acórdão que, em demanda de responsabilidade civil com …

Acórdão

Terceira Turma · Rel. Ministro Ricardo Villas Bôas Cueva · j. 22/06/2026

AGRAVO INTERNO NO RECURSO ESPECIAL. DIREITO DO CONSUMIDOR E BANCÁRIO. GOLPE DO FALSO BOLETO. PRESTAÇÃO DE SERVIÇO. DEFEITO. AUSÊNCIA. VÍTIMA. CULPA EXCLUSIVA. REEXAME DE MATÉRIA FÁTICA. IMPOSSIBILIDADE. SÚMULA Nº 7/STJ. ÔNUS DA PROVA. INVERSÃO. PREQUESTIONAMENTO. AUSÊNCIA. SÚMULA Nº 282/STF.1. De acordo com a orientação emanada da Súmula nº 479/STJ, as instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos pratic…

Acórdão

Sexta Turma · Rel. Ministra Nilsoni de Freitas (Desembargadora Convocada do Tjdft) · j. 16/06/2026

DIREITO PENAL E PROCESSUAL PENAL. AGRAVO REGIMENTAL NO AGRAVO EM RECURSO ESPECIAL. CONDENAÇÃO POR EXTORSÃO DIGITAL (ART. 158, CAPUT, C/C O ART. 71, CAPUT, AMBOS DO CÓDIGO PENAL). RÉU QUE ENVIOU E-MAILS À EMPRESA DE TRANSPORTE DA VÍTIMA ALEGANDO TER INVADIDO SEU SISTEMA DE E-COMMERCE E OBTIDO DADOS PESSOAIS SENSÍVEIS E DE CARTÃO DE CRÉDITO DE 103 MIL CLIENTES. EXIGÊNCIA DE PAGAMENTO MEDIANTE AMEAÇA DE VAZAMENTO DESSAS INFORMAÇÕES. RECURSO ESPECIAL INADMITIDO EM RAZÃO DOS ÓBICE…

Acórdão

j. 08/06/2026

RECURSO ESPECIAL. CIVIL. CONSUMIDOR. CADASTRO POSITIVO. BANCO DE DADOS. DISPONIBILIZAÇÃO DE DADOS TELEFÔNICOS A TERCEIROS CONSULENTES. DEVER DE INFORMAÇÃO E CONSENTIMENTO. DANO MORAL IN RE IPSA.I. Caso em exame1. Recurso especial interposto por consumidor, com fundamento no art. 105, III, "a" e "c", da Constituição Federal, em ação condenatória em obrigação de fazer cumulada com indenização por danos morais e desvio de tempo útil do consumidor, ajuizada contra gestora de banc…

Acórdão

j. 27/05/2026

PROCESSUAL CIVIL E TRIBUTÁRIO. AGRAVO INTERNO NO AGRAVO EM RECURSO ESPECIAL. CONTRIBUIÇÕES AO PIS E À COFINS. REGIME DA NÃO CUMULATIVIDADE. CREDITAMENTO. DESPESAS COM IMPLEMENTAÇÃO DA LEI GERAL DE PROTEÇÃO DE DADOS (LEI N. 13.709/2018). CONCEITO DE INSUMO. TEMA N. 779 DO STJ. CRITÉRIOS DA ESSENCIALIDADE E DA RELEVÂNCIA. DESPESAS OPERACIONAIS DECORRENTES DE IMPOSIÇÃO LEGAL GENÉRICA. AUSÊNCIA DE VINCULAÇÃO DIRETA COM A ATIVIDADE-FIM DA EMPRESA. PREMISSAS FÁTICAS ASSENTADAS PELA…

Acórdão

Quarta Turma · Rel. Ministro Raul Araújo · j. 18/05/2026

CONSUMIDOR E PROCESSUAL CIVIL. AGRAVO EM RECURSO ESPECIAL. AÇÃO DE OBRIGAÇÃO DE FAZER E INDENIZATÓRIA. FRAUDE BANCÁRIA. VAZAMENTO DE DADOS BANCÁRIOS SENSÍVEIS. AGRAVO CONHECIDO. RECURSO ESPECIAL DESPROVIDO.1. "Uma vez comprovada a hipótese de vazamento de dados por culpa da instituição financeira, será dela, em regra, a responsabilidade pela reparação integral de eventuais danos" (REsp 2.229.519/DF, Relator Ministro RICARDO VILLAS BÔAS CUEVA, Terceira Turma, julgado em 7/10/2…

Pesquise a jurisprudência completa

Busque decisões sobre este e outros temas em dezenas de tribunais brasileiros.

Pesquisar jurisprudência

Perguntas relacionadas

Como elaboramos esta resposta

As citações são conferidas contra a nossa base de jurisprudência antes da publicação, e a lista de decisões recentes é gerada automaticamente a partir dela. Este conteúdo tem caráter informativo e não constitui aconselhamento jurídico; para um caso concreto, procure um advogado.