RESUMO: A crescente digitalização das relações de consumo tem levantado preocupações sobre a proteção dos dados pessoais dos consumidores. Este trabalho analisa a configuração do dano moral decorrente da exposição indevida de dados pessoais nas relações de consumo, com ênfase na aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD) e do Código de Defesa do Consumidor (CDC). Por meio de uma abordagem qualita va e análise jurisprudencial, busca-se compreender os critérios jurídicos para a caracterização do dano moral e os mecanismos de reparação disponíveis.

Palavras-chave: Dano moral, proteção de dados, LGPD, relações de consumo, privacidade.

ABSTRACT: The increasing digitaliza on of consumer rela ons has raised concerns about personal data protec on. This study analyzes the characteriza on of moral damages resul ng from the undue exposure of personal data in consumer rela ons, emphasizing the applica on of the General Data Protec on Law (LGPD) and the Consumer Protec on Code (CDC). Through a qualita ve approach and case law analysis, the study seeks to understand the legal criteria for configuring moral damages and the available redress mechanisms.

Key words: Moral damages, data protec on, LGPD, consumer rela ons, privacy.

1 INTRODUÇÃO

O processo de digitalização progressiva das relações de consumo tem gerado importantes desafios para a proteção dos direitos dos consumidores, especialmente no que tange à exposição indevida de dados pessoais. A proteção da privacidade, consolidada na Lei Geral de Proteção de Dados Pessoais (LGPD), tem sido constantemente desafiada por práticas que expõem, sem consentimento adequado, as informações pessoais dos consumidores.

A violação dessa privacidade pode resultar em danos significa vos, incluindo danos morais, que afetam a integridade emocional e a confiança do consumidor. O presente trabalho de conclusão de curso visa analisar as implicações jurídicas da exposição indevida de dados pessoais nas relações de consumo, abordando a configuração do dano moral decorrente dessa violação.

A pesquisa se propõe a identificar as circunstâncias em que ocorre o dano moral, os critérios utilizados pelos tribunais para a sua configuração e a eficácia das normativas existentes para a proteção dos consumidores. O tema central da pesquisa é a configuração do dano moral por exposição indevida de dados pessoais nas relações de consumo.

O recorte será feito com base na análise de casos em que consumidores foram prejudicados por práticas que envolvem o vazamento ou uso inadequado de seus dados pessoais por empresas, considerando a legislação vigente, especialmente a LGPD e o Código de Defesa do Consumidor (CDC). A pesquisa se concentrará na análise dos requisitos para a configuração do dano moral e os aspectos jurisprudenciais que tratam deste tema.

2 CÓDIGO DE DEFESA DO CONSUMIDOR (CDC)

A proteção do consumidor no ordenamento jurídico brasileiro tem sido constantemente reafirmada por instrumentos legais que refletem os princípios fundamentais da dignidade da pessoa humana, da vulnerabilidade e da transparência. Com o advento da Lei nº 8.078/1990, o Código de Defesa do Consumidor (CDC) tornou-se referência no cenário jurídico ao promover o equilíbrio entre as partes na relação de consumo, estabelecendo normas de ordem pública e interesse social, conforme dispõe seu artigo 1º. Em paralelo, a transformação digital intensificou a coleta e o tratamento de dados pessoais, elevando-os à condição de ativos valiosos, o que gerou novas tensões entre liberdade econômica e proteção de direitos fundamentais. A exposição indevida de dados pessoais nesse contexto configura grave lesão à esfera íntima do consumidor e pode ensejar responsabilização civil por dano moral, conforme se demonstrará com base no CDC, à luz de sua harmonização com a Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018).

No cenário atual, é impossível dissociar a figura do consumidor da identidade digital que o acompanha em diversas interações de mercado. A personalização de serviços, o marketing direcionado, os cadastros de crédito e os perfis de consumo são todos estruturados sobre a manipulação de dados pessoais. Essa nova configuração da sociedade de consumo exige que o CDC seja interpretado à luz dos princípios constitucionais da privacidade, liberdade e autodeterminação informativa. Para Cláudia Lima Marques (2020), o princípio da vulnerabilidade deve ser ampliado na era digital, considerando a assimetria informacional ainda mais acentuada no tratamento de dados pessoais. Segundo a autora, a proteção de dados nas relações de consumo não pode se limitar a uma perspectiva contratual, mas deve ser vista como dimensão essencial da dignidade do consumidor.

A LGPD surgiu para estruturar esses direitos com base em princípios como finalidade, necessidade, transparência, segurança, qualidade dos dados e prevenção. Entretanto, o CDC já trazia, desde sua origem, fundamentos normativos suficientes para a responsabilização por práticas lesivas, inclusive aquelas relacionadas ao tratamento abusivo de informações pessoais. O artigo 6º do CDC enumera os direitos básicos do consumidor, entre os quais se destaca o inciso VI, que garante a efetiva prevenção e reparação de danos patrimoniais e morais. Já o artigo 14 estabelece a responsabilidade objetiva do fornecedor pelos danos causados por defeitos relativos à prestação dos serviços, sendo prescindível a demonstração de culpa. Nesse contexto, a simples violação da privacidade, como ocorre em vazamentos ou compartilhamentos não autorizados de dados, pode configurar, por si só, o dano moral presumido.

O Superior Tribunal de Justiça tem reconhecido essa linha em diversas decisões. No Recurso Especial nº 1.758.799/MG, a Corte entendeu que a indevida exposição de dados pessoais sensíveis é suficiente para gerar dano moral, prescindindo da comprovação de prejuízo concreto. Essa jurisprudência reafirma que a violação da confiança e da expectativa legítima de segurança das informações pessoais é um fator autônomo de responsabilização civil.

Esse desequilíbrio entre consumidores e fornecedores, acentuado pelo poder tecnológico das empresas, legitima uma intervenção mais protetiva do Estado, por meio da atuação de órgãos como os Procons, a Secretaria Nacional do Consumidor (Senacon), o Ministério Público e, em especial, a Autoridade Nacional de Proteção de Dados (ANPD). Tais órgãos possuem competência para aplicar sanções, instaurar processos administrativos e, quando necessário, propor ações civis públicas com base no artigo 81 do CDC, visando cessar práticas abusivas e garantir a reparação coletiva dos danos. Do ponto de vista prático, o consumidor lesado pode se valer de diversas estratégias para buscar a tutela de seus direitos: registrar reclamações junto aos Procons e à ANPD, notificar a empresa para esclarecer a extensão do dano, denunciar ao Ministério Público, ou ainda ingressar com ação judicial individual ou coletiva, com fundamento no artigo 6º, inciso VII, do CDC, que assegura o acesso à justiça.

Danilo Doneda (2019) destaca que a integração entre o CDC e a LGPD é uma das mais promissoras vias para consolidar uma proteção efetiva dos direitos dos titulares de dados. Para o autor, as normas de proteção de dados pessoais devem dialogar com os princípios consumeristas, em especial a boa-fé e a informação adequada, como forma de reequilibrar relações marcadas pela assimetria informacional e pelo poder computacional concentrado em poucos agentes econômicos.

Em síntese, o Código de Defesa do Consumidor se mantém como instrumento essencial para a proteção dos consumidores em um cenário marcado pelo uso intensivo de dados pessoais. Sua harmonização com a LGPD potencializa a defesa da privacidade e da dignidade dos consumidores, e legitima a responsabilização por danos morais mesmo em situações de dano presumido. A exposição indevida de dados, portanto, além de um problema técnico ou contratual, é uma violação de direitos fundamentais que deve ser enfrentada com o rigor da legislação consumerista e com a atuação integrada dos órgãos de defesa coletiva.

3 DANO MORAL E DIREITOS DA PERSONALIDADE

A responsabilidade objetiva, do Código de Defesa do Consumidor (CDC), já citado no capitulo anterior, estabelece que o fornecedor de serviços responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e riscos. Essa responsabilização encontra respaldo na teoria do risco do empreendimento, segundo a qual aquele que exerce atividade econômica assume os riscos a ela inerentes, conforme destaca Rizzatto Nunes (2019).

A proteção de dados pessoais ultrapassa a esfera meramente técnica e se insere no campo dos direitos da personalidade, especialmente quando envolve relações assimétricas como as de consumo. Conforme destaca Laura Schertel Mendes (2014), os dados pessoais representam uma extensão da identidade do indivíduo, sendo o controle sobre essas informações um componente essencial para o exercício da liberdade e da autodeterminação. A exposição indevida dessas informações, sem consentimento ou por falhas na segurança digital, representa não apenas uma violação contratual, mas uma afronta direta à dignidade da pessoa humana. Tal perspectiva reforça a necessidade de reconhecimento do dano moral independentemente da demonstração de prejuízo material, especialmente quando há comprometimento da privacidade e da integridade psíquica do titular dos dados.

Além disso, o princípio da boa-fé objetiva impõe deveres anexos de lealdade, informação e cooperação nas relações de consumo. Quando o fornecedor utiliza cláusulas genéricas para coletar dados, sem informar adequadamente suas finalidades, ou modifica tais finalidades posteriormente, incorre em comportamento contraditório, incompatível com a confiança depositada pelo consumidor.

Essa responsabilidade é reforçada pela LGPD, que impõe aos agentes de tratamento o dever de adotar medidas eficazes de segurança, como detalhado no capítulo específico sobre essa legislação. A inobservância dessas medidas gera responsabilidade civil objetiva, independentemente de culpa.

Dando continuidade à análise do princípio da vulnerabilidade, anteriormente tratado, destaca-se que sua aplicação se intensifica no cenário digital, exigindo maior proteção jurídica. Algumas práticas empresariais contemporâneas têm tentado transferir para o consumidor o ônus da própria proteção de seus dados, como a cobrança por serviços adicionais de “proteção de dados” ou “monitoramento de vazamentos”. Tais condutas são abusivas e ferem tanto a LGPD quanto o CDC, uma vez que a proteção dos dados é dever legal do fornecedor, não podendo ser condicionada a qualquer tipo de pagamento.

O CDC também autoriza a inversão do ônus da prova em favor do consumidor, diante da sua hipossuficiência técnica. Em casos de vazamento de dados, é suficiente que o consumidor demonstre a ocorrência do fato e o dano, cabendo ao fornecedor provar que não houve falha na prestação do serviço. A jurisprudência tem reforçado a responsabilidade dos fornecedores mesmo quando terceiros se aproveitam dos dados vazados para aplicar fraudes, como na emissão de boletos falsos ou contratação de serviços não solicitados. A responsabilidade decorre da ausência de medidas eficazes de segurança e da falha na guarda das informações, caracterizando, portanto, a violação da confiança legítima depositada pelo consumidor.

A crescente digitalização das interações de consumo impõe novas obrigações aos fornecedores, que devem zelar pela integridade dos dados sob sua guarda. Para Patrícia Peck (2021), a proteção de dados pessoais deve ser tratada como uma ferramenta de cidadania digital, e o dever de cuidado dos fornecedores vai além de meras exigências legais: constitui um compromisso ético com a segurança informacional dos consumidores. A inobservância desse dever, sobretudo quando resulta em vazamentos, acessos não autorizados ou uso indevido dos dados, justifica a responsabilização civil por dano moral, ainda que não se comprove dano patrimonial. O simples abalo à confiança do consumidor e a perda de controle sobre suas informações pessoais já são suficientes para configurar lesão relevante à sua esfera moral.

No cenário contemporâneo, os dados pessoais passaram a representar uma extensão da própria individualidade. O controle sobre tais informações é expressão do direito à autodeterminação informativa, o que reforça sua inserção no rol dos direitos da personalidade. O tratamento inadequado de dados compromete não apenas a segurança patrimonial, mas também valores existenciais como a privacidade, o respeito e a dignidade. Nesse sentido, Clara Angélica Gonçalves Cavalcanti Dias e Bricio Luis da Anunciação Melo (2023) destacam que a autodeterminação informativa é uma manifestação do direito à privacidade, conferindo ao indivíduo o controle sobre seus dados pessoais.

A jurisprudência brasileira tem reconhecido o dano extrapatrimonial mesmo em contextos aparentemente triviais, como a divulgação não consentida de imagens ou a exposição de dados por empresas que promovem cobranças excessivas ou indevidas. Há casos em que a violação extrapola o âmbito da simples inconveniência, atingindo profundamente o bem-estar psíquico da vítima e, por consequência, sua esfera moral e jurídica.

Esses exemplos mostram como o direito à proteção de dados não se limita a questões econômicas, mas envolve aspectos éticos, sociais e jurídicos que compõem a integridade do indivíduo enquanto sujeito de direitos.

3.1 Estudo de Caso e Jurisprudências

Tendo em vista a responsabilidade objetiva dos fornecedores e a proteção dos direitos da personalidade no ambiente digital, destaca-se o caso ocorrido em 2022, uma conhecida plataforma de e-commerce foi alvo de ataques cibernéticos que resultou no vazamento de dados pessoais de mais de 100 mil consumidores. Entre as informações expostas estavam nomes completos, endereços, CPF, números de telefone e, em alguns casos, dados de cartão de crédito parcialmente mascarados.

Diversos consumidores ajuizaram ações indenizatórias alegando exposição indevida de seus dados, com base nos dispositivos da LGPD e do CDC. Em decisão proferida por um Tribunal de Justiça estadual, a empresa foi condenada ao pagamento de indenização por danos morais no valor de R$ 5.000,00 por consumidor, em razão da falha na adoção de medidas de segurança adequadas e pela ausência de comunicação eficaz e tempestiva do incidente aos titulares dos dados.

O tribunal entendeu que, mesmo sem comprovação de prejuízo financeiro direto, a simples exposição de dados sensíveis em ambiente digital já configura abalo à esfera moral do indivíduo, especialmente por causar angústia, sensação de insegurança e violação à privacidade. Foi ressaltado, ainda, que a empresa, ao operar no mercado digital, assume o risco da atividade e deve responder objetivamente pelos danos causados.

O entendimento jurisprudencial que admite a configuração do dano moral presumido em casos de exposição indevida de dados encontra respaldo na doutrina. Leonardo Roscoe Bessa (2022) defende que, nas relações de consumo, a violação à privacidade do consumidor atinge diretamente a sua dignidade, bastando a demonstração do ato ilícito para que se configure o dano moral. Essa posição reforça a função reparadora e preventiva da responsabilização civil, especialmente em um cenário onde o poder técnico e econômico dos fornecedores coloca o consumidor em situação de acentuada vulnerabilidade. Assim, admitir a necessidade de prova do dano concreto implicaria impor ao consumidor um ônus desproporcional, incompatível com os princípios norteadores do Código de Defesa do Consumidor.

Este caso evidencia a aplicação prática dos princípios da LGPD e do CDC na proteção da privacidade dos consumidores e reforça a tendência jurisprudencial de reconhecer o dano moral pela simples exposição indevida de dados pessoais, ainda que não haja demonstração de dano material.

Os tribunais brasileiros vêm consolidando o entendimento de que o dano moral é presumido em casos de violação à privacidade de dados pessoais, sobretudo quando envolve relações de consumo. Destacam-se as seguintes decisões:

Superior Tribunal de Justiça (STJ)

Processo: AREsp 2.130.619/SP

Data do Julgamento: 15 de março de 2023

Relator: Min. Francisco Falcão

Resumo: A 2ª Turma do STJ decidiu que o vazamento de dados pessoais comuns (como nome, RG, endereço e telefone) não gera, por si só, dano moral presumido. É necessário que o titular dos dados comprove efetivamente o dano sofrido.

Superior Tribunal de Justiça (STJ)

Processo: REsp 2.121.904/SP

Data do Julgamento: 11 de fevereiro de 2025

Relatora: Min. Nancy Andrighi

Resumo: A 3ª Turma do STJ entendeu que o vazamento de dados sensíveis, como informações de saúde e financeiras, no contexto de contrato de seguro de vida, gera dano moral presumido, configurando a responsabilização objetiva da empresa seguradora.

Tribunal de Justiça de São Paulo (TJSP)

Processo: Apelação Cível nº 1008430-77.2021.8.26.0100

Data do Julgamento: 25 de março de 2022

Relator: Des. Claudio Godoy

Resumo: O TJSP condenou uma empresa de comércio eletrônico ao pagamento de indenização por danos morais, no valor de R$ 5.000,00, a um consumidor que teve seus dados pessoais vazados devido a falha na segurança do sistema da empresa.

Tribunal de Justiça de Minas Gerais (TJMG)

Processo: Apelação Cível nº 1.0000.21.111444-7/001

Data do Julgamento: 4 de maio de 2022

Relator: Des. Luiz Carlos Gomes da Mata

Resumo: O TJMG reconheceu o dano moral presumido em caso de vazamento de dados sensíveis de um consumidor por parte de uma empresa de telefonia, condenando-a ao pagamento de indenização.

Diante da análise das jurisprudências apresentadas, é possível observar uma evolução significativa no entendimento dos tribunais quanto à responsabilização por vazamento de dados pessoais, sobretudo nas relações de consumo. As decisões apontam para uma crescente valorização da privacidade e da segurança da informação como direitos fundamentais, consolidando o dano moral presumido como instrumento de proteção à dignidade do consumidor. Com esse panorama consolidado, passa-se à análise da Lei Geral de Proteção de Dados Pessoais (LGPD), que representa o principal marco normativo na estruturação desses direitos no ordenamento jurídico brasileiro.

4.LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD)

A Lei nº 13.709/2018, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), foi criada com o objetivo de resguardar os direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da personalidade da pessoa natural. Inspirada em legislações internacionais como o Regulamento Geral sobre a Proteção de Dados (GDPR) da União Europeia, a LGPD representa um marco regulatório no Brasil ao estabelecer diretrizes claras para o tratamento de dados pessoais, consolidando um novo paradigma na proteção da informação. A aplicação da LGPD se dá a qualquer operação de tratamento de dados pessoais realizada por pessoa natural ou jurídica, de direito público ou privado, independentemente do meio, do país de sua sede ou do local onde os dados estejam armazenados, desde que haja tratamento de dados de indivíduos localizados no território brasileiro ou oferta de bens e serviços a essas pessoas, (Doneda, 2019).

A definição de dados pessoais contempla qualquer informação relacionada à pessoa natural identificada ou identificável, abrangendo, por exemplo, nome, CPF, endereço, e-mail, número de telefone, dados bancários e de geolocalização. Já os dados pessoais sensíveis, por sua vez, são aqueles que exigem proteção reforçada em razão de sua natureza discriminatória, como origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, dados genéticos, biométricos e informações sobre a saúde (Monteiro e Vasconcelos, 2019). A LGPD regula todo o ciclo de vida dos dados pessoais, desde a coleta até sua eliminação, incluindo produção, recepção, classificação, utilização, acesso, reprodução, transmissão, processamento, armazenamento, arquivamento, avaliação, modificação, comunicação, transferência e difusão, aplicando-se tanto a dados em meio físico quanto digital.

O tratamento dos dados deve obedecer a princípios fundamentais estabelecidos na legislação. O princípio da finalidade exige que os dados sejam utilizados com um propósito legítimo, específico e informado ao titular; o da adequação demanda compatibilidade com essa finalidade; o da necessidade impõe a limitação do tratamento ao mínimo necessário para atingir os objetivos pretendidos. Além disso, a lei estabelece o princípio do livre acesso, que garante aos titulares o direito de consultar, de forma facilitada, as informações relativas ao tratamento de seus dados; o da qualidade dos dados, que assegura sua exatidão, clareza e atualização; e o da transparência, que determina a oferta de informações claras, precisas e acessíveis sobre o tratamento.

. Os princípios da segurança e da prevenção impõem aos agentes de tratamento a adoção de medidas técnicas e administrativas para proteger os dados de acessos não autorizados e evitar danos. Também se destacam os princípios da não discriminação, que visa impedir o uso de dados para fins discriminatórios, e da responsabilização e prestação de contas, que exige dos agentes a comprovação da adoção de medidas eficazes e capazes de demonstrar a conformidade com a LGPD.

A LGPD define três figuras centrais envolvidas no tratamento dos dados: o controlador, o operador e o encarregado pelo tratamento de dados pessoais, também conhecido como DPO (Data Protection Officer). O controlador é quem toma as decisões sobre o tratamento dos dados; o operador realiza o tratamento em nome do controlador; e o encarregado atua como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). O encarregado deve possuir conhecimento técnico e jurídico, sendo responsável por orientar os agentes de tratamento sobre as boas práticas, supervisionar a conformidade com a legislação, promover treinamentos e responder a incidentes de segurança.

Aos titulares dos dados são assegurados diversos direitos, que devem ser garantidos de forma gratuita e acessível. Esses direitos incluem a confirmação da existência de tratamento, o acesso aos dados, a correção de dados incompletos, inexatos ou desatualizados, a anonimização, o bloqueio ou a eliminação de dados desnecessários ou excessivos, a portabilidade dos dados a outro fornecedor, a eliminação dos dados tratados com consentimento, a informação sobre as entidades com as quais os dados foram compartilhados, a revogação do consentimento e a oposição ao tratamento de dados quando realizado em desconformidade com a lei (Bioni; Doneda 2019).

A Autoridade Nacional de Proteção de Dados (ANPD), criada pela mesma legislação, é o órgão responsável por zelar pela proteção dos dados pessoais e fiscalizar a aplicação da LGPD. Entre suas atribuições estão a elaboração de diretrizes para a política nacional de proteção de dados, a fiscalização e aplicação de sanções, a promoção de estudos e debates sobre a matéria, o incentivo à adoção de boas práticas de governança e a condução de ações educativas. A ANPD pode aplicar sanções que variam desde advertências até multas de até 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração, além de medidas como bloqueio e eliminação de dados, suspensão de atividades de tratamento e proibição parcial ou total do exercício da atividade (Doneda e Bioni, 2019).

A conformidade com a LGPD exige que organizações públicas e privadas implementem políticas de governança de dados e práticas de segurança da informação que garantam a integridade, a confidencialidade e a disponibilidade das informações. Entre as medidas recomendadas estão a criptografia de dados sensíveis, o controle de acesso, a realização de auditorias, o mapeamento de riscos, treinamentos internos e a elaboração de planos de resposta a incidentes. A documentação dessas ações é fundamental para comprovar a boa-fé e o compromisso com a proteção dos dados. A criação de Comitês de Privacidade, ainda que não obrigatória, é considerada uma boa prática de governança corporativa.

A implementação da LGPD, embora desafiadora, representa uma oportunidade para as organizações revisarem seus processos e adotarem uma cultura de proteção de dados mais madura e transparente. Ainda que envolva custos e mudanças operacionais, principalmente para pequenas e médias empresas, a adaptação à lei fortalece a confiança dos consumidores, melhora a reputação institucional e facilita parcerias com organizações internacionais, especialmente em mercados com legislação semelhante. Por outro lado, o descumprimento das normas expõe empresas a riscos legais, danos à imagem e prejuízos financeiros, tornando imprescindível o desenvolvimento de uma cultura sólida e contínua de proteção de dados (Bioni, 2021).

CONSIDERAÇÕES FINAIS

A presente pesquisa demonstrou que a proteção de dados pessoais, no contexto das relações de consumo, representa não apenas um desafio jurídico contemporâneo, mas uma verdadeira necessidade diante da crescente digitalização das interações entre consumidores e fornecedores. A exposição indevida de dados pessoais compromete direitos fundamentais e pode causar danos significativos à esfera moral dos indivíduos, especialmente quando envolvem informações sensíveis ou de natureza íntima.

A análise integrada do Código de Defesa do Consumidor (CDC) e da Lei Geral de Proteção de Dados (LGPD) evidenciou uma convergência normativa que fortalece a proteção da privacidade e a responsabilização objetiva dos agentes que falham na guarda e no tratamento adequado dos dados. A jurisprudência analisada confirma a tendência dos tribunais em reconhecer o dano moral presumido em situações de vazamento de dados, principalmente quando envolvem negligência na segurança da informação ou ausência de transparência no tratamento dos dados pessoais.

Além disso, ficou claro que a responsabilidade pelo tratamento seguro dos dados não pode ser transferida ao consumidor, sob pena de configurar prática abusiva. A vulnerabilidade informacional e técnica do consumidor reforça a necessidade de aplicação rigorosa das normas protetivas e da inversão do ônus da prova em seu favor.

Conclui-se, portanto, que a efetiva tutela da privacidade no âmbito das relações de consumo exige não apenas a aplicação formal da legislação existente, mas também a promoção de uma cultura organizacional orientada à ética digital, à segurança da informação e à valorização dos direitos da personalidade. A configuração do dano moral por exposição indevida de dados deve ser compreendida como um mecanismo de reparação, mas também de prevenção e dissuasão de condutas lesivas à dignidade do consumidor.

REFERÊNCIAS

BESSA, Leonardo Roscoe. Código de Defesa do Consumidor Comentado. 2. ed. Rio de Janeiro: Forense, 2022.

BIONI, Bruno Ricardo. Tratado da proteção de dados pessoais: a regulamentação dos dados pessoais no Brasil. 2. ed. São Paulo: Thomson Reuters Brasil, 2021.

BIONI, Bruno Ricardo; DONEDA, Danilo. Proteção de dados pessoais: a função e os limites do consentimento. 2. ed. Rio de Janeiro: Forense, 2019.

BRASIL. Lei nº 8.078, de 11 de setembro de 1990. Dispõe sobre a proteção do consumidor e dá outras providências. Diário Oficial da União: seção 1, Brasília, DF, 12 set. 1990.

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Diário Oficial da União, Brasília, 2018.

DIAS, Clara Angélica Gonçalves Cavalcanti; MELO, Bricio Luis da Anunciação. A autodeterminação informativa como manifestação do direito à privacidade. Revista de Direito Civil Contemporâneo, v. 10, n. 37, p. 51-75, 2023.

Direitos da personalidade: intimidade, privacidade, honra e imagem. TJDFT, 2023. Disponível em: https://www.tjdft.jus.br/consultas/jurisprudencia/jurisprudencia-em-temas/direito-constitucional/direitos_de_personalidade_intimidade_privacidade_honra_imagem_e_liberdade_de_expressao. Acesso em: 21 abr. 2025.

DONEDA, Danilo. Da privacidade à proteção de dados pessoais: elementos da formação da Lei Geral de Proteção de Dados. Rio de Janeiro: Forense, 2019.

MARQUES, Cláudia Lima. Contratos no Código de Defesa do Consumidor: o novo regime das relações contratuais. 8. ed. rev., atual. e ampl. São Paulo: Revista dos Tribunais, 2020.

MENDES, Laura Schertel. Privacidade, proteção de dados e defesa do consumidor. São Paulo: Saraiva, 2014.

NUNES, Rizzatto. A responsabilidade civil objetiva no CDC – Parte I. Migalhas, 2019. Disponível em: https://www.migalhas.com.br/coluna/abc-do-cdc/308256/a-responsabilidade-civil-objetiva-no-cdc---parte-i. Acesso em: 21 abr. 2025.

PECK, Patrícia. Direito digital. 7. ed. São Paulo: Saraiva, 2021.

SILVA, Munir Saleh; PRADO, Augusto Cézar Lukascheck. Disponibilização indevida de dados pessoais não sensíveis gera dano moral presumido. Consultor Jurídico, 2025. Disponível em: https://www.conjur.com.br/2025-mar-03/disponibilizacao-indevida-de-dados-pessoais-nao-sensiveis-em-banco-de-dados-gera-dano-moral-presumido/. Acesso em: 21 abr. 2025.