LGPD e Vazamento de Dados: Conheça Seus Direitos Como Consumidor
Saiba quais são seus direitos pela LGPD quando seus dados vazam. Aprenda a fazer reclamações na ANPD, Procon e Justiça, e conheça as penalidades para empresas.
Quando uma empresa sofre um vazamento de dados, você como consumidor tem direitos garantidos pela Lei Geral de Proteção de Dados (LGPD). Mesmo assim, a maioria das pessoas não sabe quais são esses direitos nem como exercê-los. Em 2025, o custo médio de um vazamento de dados no Brasil chegou a R$ 7,19 milhões, e o STJ já firmou entendimento de que empresas são responsáveis mesmo quando os dados vazados não são considerados sensíveis.
Este guia explica, em linguagem acessível, tudo o que você precisa saber sobre seus direitos e como agir quando seus dados são expostos.
O que é a LGPD e por que ela existe
A Lei Geral de Proteção de Dados (Lei 13.709/2018) é a legislação brasileira que regulamenta como empresas e organizações devem coletar, armazenar, processar e proteger seus dados pessoais. Ela entrou em vigor em setembro de 2020, com sanções aplicáveis a partir de agosto de 2021.
A lei foi criada para dar a você, titular dos dados (a pessoa a quem os dados se referem), controle sobre suas informações pessoais. Antes da LGPD, empresas podiam coletar e usar seus dados praticamente sem restrições.
O que são dados pessoais
Dado pessoal é qualquer informação que identifique ou possa identificar você:
- Nome, CPF, RG, data de nascimento
- Endereço, telefone, e-mail
- Dados de localização, endereço IP
- Cookies e histórico de navegação
- Dados biométricos e de saúde (considerados dados sensíveis, com proteção reforçada)
Quem deve cumprir a LGPD
Toda empresa ou organização que trata dados pessoais de pessoas no Brasil, independentemente do tamanho ou de onde a empresa está sediada. Isso inclui:
- Empresas brasileiras de qualquer porte
- Empresas estrangeiras que oferecem serviços no Brasil
- Órgãos públicos
- ONGs e associações
Seus direitos como titular de dados
A LGPD garante um conjunto de direitos que você pode exercer a qualquer momento, não apenas quando ocorre um vazamento.
| Direito | O que significa | Artigo da LGPD |
|---|---|---|
| Confirmação | Saber se a empresa trata seus dados | Art. 18, I |
| Acesso | Obter cópia dos seus dados | Art. 18, II |
| Correção | Atualizar dados incompletos ou errados | Art. 18, III |
| Anonimização | Tornar dados não identificáveis | Art. 18, IV |
| Bloqueio | Suspender o tratamento dos dados | Art. 18, IV |
| Eliminação | Pedir a exclusão dos dados | Art. 18, IV |
| Portabilidade | Transferir dados para outro fornecedor | Art. 18, V |
| Informação | Saber com quem seus dados foram compartilhados | Art. 18, VII |
| Revogação | Retirar consentimento dado anteriormente | Art. 18, IX |
💡 Dica: você não precisa de advogado para exercer esses direitos. A solicitação pode ser feita diretamente à empresa, por escrito (e-mail ou formulário), e a empresa tem 15 dias para responder.
O que acontece quando uma empresa vaza seus dados
Obrigações da empresa após o vazamento
Quando ocorre um incidente de segurança que possa causar risco ou dano aos titulares, a empresa deve:
- Comunicar a ANPD (Autoridade Nacional de Proteção de Dados) em prazo razoável
- Notificar os titulares afetados com informações claras sobre:
- Quais dados foram comprometidos
- Os riscos envolvidos
- As medidas que estão sendo tomadas
- Recomendações para que você se proteja
- Adotar medidas para reverter ou mitigar os efeitos do incidente
⚠️ Atenção: muitas empresas tentam minimizar vazamentos ou comunicar de forma vaga. Se você souber de um vazamento que o afetou e não recebeu comunicação adequada da empresa, isso por si só pode ser motivo para reclamação.
Para verificar se seu e-mail já apareceu em algum vazamento, use o PassMonitor. Muitas vezes, você descobre exposições que as próprias empresas não comunicaram.
Penalidades para empresas
A LGPD prevê diversas sanções para empresas que descumprem a lei:
- Advertência com prazo para adoção de medidas corretivas
- Multa simples de até 2% do faturamento, limitada a R$ 50 milhões por infração
- Multa diária enquanto a irregularidade persistir
- Publicização da infração (a empresa é obrigada a divulgar que violou a lei)
- Bloqueio ou eliminação dos dados pessoais envolvidos
- Suspensão parcial do banco de dados por até 6 meses
- Proibição parcial ou total do exercício de atividades de tratamento de dados
Na prática, as multas podem chegar de 2% a 10% da receita da empresa, dependendo da gravidade e reincidência. O teto de R$ 50 milhões se aplica por infração, o que significa que múltiplas violações podem resultar em valores muito maiores.
Decisões do STJ que protegem você
O Superior Tribunal de Justiça (STJ) já julgou diversos casos envolvendo vazamento de dados, e as decisões são relevantes para entender seus direitos.
Dados não sensíveis não isentam responsabilidade
Uma das decisões mais importantes do STJ estabeleceu que o vazamento de dados pessoais, mesmo que não sejam considerados dados sensíveis (como dados de saúde ou biometria), não isenta a empresa de responsabilidade. Isso significa que um vazamento de nome, e-mail e telefone, por exemplo, já pode gerar obrigação de indenizar.
Dano moral presumido em alguns casos
Em determinadas situações, o STJ entendeu que o simples fato do vazamento, sem necessidade de provar dano concreto, pode configurar dano moral. Isso facilita pedidos de indenização por consumidores afetados.
Inversão do ônus da prova
Em ações judiciais contra empresas por vazamento de dados, o STJ aplica o Código de Defesa do Consumidor, o que significa que a empresa é que precisa provar que agiu corretamente, e não você que precisa provar a falha.
Como agir quando seus dados são vazados: passo a passo
1. Documente tudo
Antes de qualquer ação, reúna evidências:
✅ Prints de e-mails ou notificações sobre o vazamento
✅ Resultado da verificação no PassMonitor
✅ Registros de qualquer prejuízo sofrido
✅ Comunicações com a empresa responsável
✅ Notícias sobre o vazamento
2. Tome medidas de proteção imediata
Antes de buscar seus direitos legais, proteja-se:
- Troque senhas comprometidas (use um gerenciador de senhas para criar senhas únicas)
- Ative verificação em dois fatores
- Monitore suas contas financeiras
Para um guia detalhado, leia nosso artigo sobre o que fazer quando seus dados vazam.
3. Entre em contato com a empresa
Envie um e-mail ou use o canal oficial da empresa solicitando:
- Confirmação de quais dados seus foram afetados
- Medidas que a empresa está tomando
- Providências para mitigar os danos
Guarde protocolo e comprovante do contato. A empresa tem 15 dias para responder.
4. Registre reclamação na ANPD
Se a empresa não responder ou a resposta for insatisfatória:
- Acesse o site da ANPD (gov.br/anpd)
- Vá em "Denúncia" ou "Petição de titular"
- Preencha o formulário com seus dados e a descrição do ocorrido
- Anexe as evidências coletadas
- Acompanhe o andamento pelo número de protocolo
5. Procure o Procon
O Procon do seu estado também pode atuar em casos de vazamento de dados:
- Registre reclamação no Procon (presencial ou online)
- O Procon pode intermediar uma solução com a empresa
- Em muitos estados, o atendimento é gratuito
- O registro no Procon também serve como documentação para uma eventual ação judicial
6. Considere ação judicial
Se você sofreu danos materiais (prejuízo financeiro) ou morais (exposição, constrangimento), você pode buscar reparação na Justiça:
- Juizado Especial (até 40 salários mínimos): não precisa de advogado para causas até 20 salários mínimos
- Justiça Comum: para valores maiores, com auxílio de advogado
- Ação coletiva: entidades de defesa do consumidor podem mover ações em nome de todos os afetados
💡 Dica: guarde todos os protocolos, e-mails e evidências desde o início. Quanto melhor sua documentação, maiores as chances de sucesso.
LGPD no dia a dia: como exercer seus direitos preventivamente
Você não precisa esperar um vazamento para exercer seus direitos. Veja como a LGPD protege você no cotidiano.
Direito de saber quais dados a empresa tem
Você pode solicitar a qualquer empresa uma cópia de todos os dados pessoais que ela possui sobre você. Isso inclui dados coletados diretamente (cadastros) e indiretamente (cookies, histórico de navegação).
Direito de pedir exclusão
Se você não quer mais ter relacionamento com uma empresa, pode solicitar a exclusão dos seus dados. A empresa só pode recusar se houver obrigação legal de manter as informações (como dados fiscais que devem ser guardados por 5 anos).
Direito de recusar compartilhamento
Você pode perguntar com quem seus dados foram compartilhados e solicitar que o compartilhamento seja interrompido. Isso é especialmente útil para combater spam e marketing indesejado.
Direito de revogar consentimento
Se você autorizou o uso dos seus dados para determinado fim, pode retirar essa autorização a qualquer momento. A empresa deve facilitar esse processo, não dificultá-lo.
O cenário de vazamentos no Brasil
Para entender a importância da LGPD, é útil olhar para os números:
- O Brasil registrou 315 bilhões de tentativas de ataque em 6 meses de 2025
- O país concentra 84% de todos os ataques cibernéticos da América Latina
- 40% dos brasileiros já foram alvo de tentativas de fraude, com prejuízo médio de R$ 6.311
- O vishing (golpe por voz) cresceu 442% em 2025
- 71% dos ataques globais exploram credenciais fracas ou comprometidas
Esses números mostram que vazamentos não são exceção, são parte da realidade digital. Por isso, conhecer seus direitos é fundamental.
Para entender como seus dados podem acabar em mercados clandestinos após um vazamento, leia nosso artigo sobre o que é a dark web. E para se proteger contra golpes que usam dados vazados, confira nosso guia sobre como evitar golpes via Pix.
Perguntas frequentes
A LGPD se aplica a empresas pequenas?
Sim. A LGPD se aplica a todas as empresas que tratam dados pessoais, independentemente do tamanho. Porém, a ANPD publicou regulamentos com tratamento diferenciado para microempresas e empresas de pequeno porte, flexibilizando algumas exigências.
Posso pedir indenização por vazamento de dados?
Sim. A LGPD prevê o direito à reparação por danos morais e materiais. O STJ já possui jurisprudência favorável aos consumidores. Os valores de indenização variam conforme o caso, mas decisões já concederam entre R$ 5.000 e R$ 30.000 em danos morais.
Quanto tempo a empresa tem para responder minha solicitação?
A LGPD estabelece prazo de 15 dias para fornecer informações sobre o tratamento dos seus dados. Para outras solicitações, a ANPD pode definir prazos específicos.
A LGPD protege dados de pessoas falecidas?
A lei não é clara sobre esse ponto. Herdeiros e representantes legais podem buscar proteção com base em outros dispositivos legais, como o Código Civil.
O que fazer se a empresa está no exterior?
A LGPD se aplica a qualquer empresa que trate dados de pessoas no Brasil, mesmo que a empresa esteja sediada fora do país. Você pode registrar reclamação na ANPD normalmente.
Denunciar na ANPD tem algum custo?
Não. O registro de denúncias e petições na ANPD é gratuito e pode ser feito online.
Checklist de direitos LGPD
Use esta lista para verificar seus direitos em caso de vazamento:
✅ Verificou quais dados foram expostos (use o PassMonitor)
✅ Documentou o vazamento com prints e evidências
✅ Tomou medidas de proteção (senhas, 2FA, monitoramento)
✅ Contatou a empresa responsável por escrito
✅ Guardou protocolo da comunicação
✅ Registrou reclamação na ANPD (se necessário)
✅ Procurou o Procon (se necessário)
✅ Consultou advogado para ação judicial (se houve dano)
🔒 O primeiro passo é saber se você foi afetado. Muitos vazamentos não são comunicados pelas empresas. Verifique gratuitamente no PassMonitor se seu e-mail aparece em algum vazamento conhecido.
Conclusão
A LGPD existe para proteger você, mas só funciona se você conhecer e exercer seus direitos. Empresas que falham na proteção de dados enfrentam multas pesadas e condenações judiciais, e os tribunais brasileiros estão cada vez mais favoráveis aos consumidores.
Não espere sofrer um prejuízo para agir. Verifique agora se seus dados já foram expostos, documente qualquer irregularidade e exerça seus direitos. Para consultoria em direitos digitais e proteção de dados, visite brunoborba.com. Para proteger suas contas de forma prática, consulte nosso guia definitivo de proteção de senhas.