Quando um vazamento de dados acontece, a primeira reação da maioria das empresas é tratar o problema como um incidente de TI. Mas o que começa como uma falha técnica pode rapidamente se tornar uma questão jurídica, com consequências que vão de sanções administrativas a ações judiciais.
Se a sua empresa coleta, armazena ou compartilha dados de clientes, colaboradores ou parceiros, ela está sujeita a esse risco. E a pergunta que todo empresário deveria fazer antes de um incidente é: o que acontece com a empresa se esses dados forem expostos?
Neste artigo, a advocacia empresarial da LAW.SA explica, de forma clara e prática, quais são as responsabilidades jurídicas envolvidas e como sua empresa pode se proteger.
O que a LGPD diz sobre vazamento de dados?
A Lei Geral de Proteção de Dados (Lei nº 13.709/2018), conhecida como LGPD, estabelece obrigações claras para todas as pessoas e empresas que tratam dados pessoais, o que inclui praticamente qualquer negócio que tenha clientes, funcionários ou fornecedores.
Uma dessas obrigações está no artigo 48 da LGPD: em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares dos dados, a empresa tem o dever de comunicar a ocorrência à ANPD (Autoridade Nacional de Proteção de Dados) e às pessoas afetadas, via de regra, em até 3 dias úteis.
É importante entender que a lei não exige má-fé para responsabilizar a empresa. Mesmo que o vazamento tenha ocorrido por falha de um fornecedor de tecnologia ou por negligência interna sem intenção, a ausência de medidas preventivas adequadas já é suficiente para configurar responsabilidade.
A LGPD diferencia dois atores centrais nesse processo:
- Controlador: a empresa que decide como e por que os dados são coletados e tratados, geralmente, o próprio negócio.
- Operador: quem trata os dados em nome do controlador, como uma plataforma de RH, um escritório de contabilidade terceirizado, uma agência de marketing, etc.
Ambos podem ser responsabilizados em caso de incidente. Por isso, a responsabilidade não desaparece simplesmente porque o dado estava com um fornecedor.
Quais são as consequências jurídicas de um vazamento de dados para a empresa?
As consequências vão além do constrangimento e transtornos operacionais. Um incidente de segurança mal gerenciado pode gerar passivos concretos em diferentes frentes. Veja as principais:
Sanções administrativas pela ANPD
Com base no artigo 52 da LGPD, a ANPD pode aplicar multas de até 2% do faturamento da empresa no Brasil, limitadas a R$ 50 milhões por infração. Além da multa, outras penalidades incluem:
- Bloqueio ou eliminação dos dados afetados;
- Suspensão parcial do funcionamento do banco de dados;
- Publicização da infração, o que expõe a empresa publicamente.
Para empresas de médio porte, essas sanções podem representar um impacto financeiro e reputacional significativo.
Responsabilidade civil, ações judiciais dos titulares afetados
O artigo 42 da LGPD estabelece que o controlador ou o operador que causar dano ao titular dos dados é obrigado a repará-lo. Em muitos casos, especialmente nas relações de consumo, essa responsabilidade é objetiva, ou seja, não é necessário provar que houve intenção ou culpa, bastando demonstrar que o dano ocorreu e que há relação com o tratamento dos dados.
Além disso, quando aplicável o Código de Defesa do Consumidor, a responsabilização pode ser direcionada diretamente ao controlador, independentemente de o incidente ter ocorrido no âmbito de atuação do operador.
Na prática, isso significa que clientes, funcionários ou parceiros cujos dados foram expostos podem entrar com ações de indenização por danos morais e materiais. Para empresas com grande base de clientes, mesmo ações individuais de valores menores podem se acumular em um passivo relevante.
Responsabilidade contratual
Contratos com parceiros corporativos, fornecedores e clientes empresariais cada vez mais incluem cláusulas de proteção de dados. Um vazamento pode configurar inadimplemento contratual, abrindo espaço para indenizações e até a rescisão de contratos estratégicos para o negócio.
Empresas que atuam com clientes internacionais ou que integram cadeias de fornecimento de grandes corporações estão especialmente expostas a esse risco, já que os contratos nesses contextos tendem a ser mais rigorosos.
Para entender como um advogado de direito digital e eletrônico pode ajudar na revisão dessas cláusulas, vale buscar orientação especializada.
Dano reputacional
Não é uma sanção formal, mas tem consequências diretas no negócio. Empresas que sofrem vazamentos sem uma resposta adequada perdem credibilidade com clientes e parceiros.
A forma como o incidente é gerenciado, com transparência e responsabilidade, faz diferença tanto na percepção do mercado quanto no nível de sanção que pode ser aplicado.
Como a empresa pode se proteger antes que o vazamento aconteça?
A melhor resposta a um vazamento de dados começa antes de ele ocorrer. Conformidade com a LGPD não é burocracia, é proteção patrimonial. Confira as principais medidas preventivas:
- Mapeamento de dados (ROPA): identifique quais dados a empresa coleta, onde estão armazenados, por quanto tempo são mantidos e com quem são compartilhados. Sem esse mapa, é impossível gerenciar os riscos adequadamente.
- Política de privacidade e termos de uso atualizados: os documentos precisam refletir as práticas reais da empresa, não apenas textos genéricos copiados da internet, que não protegem ninguém.
- Contratos com fornecedores e parceiros que tratam dados: inclua cláusulas que definam responsabilidades claras, especialmente com prestadores de serviços de TI, contabilidade, RH e marketing. Lembre-se: o operador também pode ser responsabilizado, mas a empresa controladora precisa ter instrumentos contratuais para acionar essa responsabilidade.
- Plano de resposta a incidentes: saber exatamente o que fazer nas primeiras horas após a descoberta de um vazamento pode influenciar diretamente o nível de sanção aplicada pela ANPD. Ter um protocolo definido demonstra diligência e boa-fé.
- Nomeação de um DPO (Encarregado de Dados): obrigatório para muitas empresas e fortemente recomendado para as demais, o DPO é o responsável por intermediar a relação com a ANPD e com os titulares dos dados.
Vale lembrar que questões digitais muitas vezes envolvem outras camadas jurídicas, como o uso indevido de imagens e conteúdos online.
Se quiser entender mais sobre um tema relacionado, o artigo sobre como lidar com o uso de memes em propagandas aborda riscos que muitas empresas ignoram no ambiente digital.
Proteção de dados é uma decisão de gestão
Um vazamento de dados não é só um problema de TI. É um risco jurídico concreto, com consequências financeiras, contratuais e reputacionais que podem afetar diretamente a operação e o patrimônio da empresa.
A empresa que trata o tema com seriedade antes do incidente está em uma posição muito mais segura do que aquela que apenas reage. Multas, ações judiciais e rescisões contratuais são evitáveis, ou ao menos mitigáveis, com as medidas certas implementadas no momento certo.
Se a sua empresa ainda não revisou seus processos de proteção de dados ou não tem clareza sobre suas obrigações em caso de incidente, este é o momento certo para agir.
Quer saber mais? Entre em contato com os autores ou visite a página da área de Privacidade e Proteção de Dados.
