Universidade Federal de Uberlândia

Faculdade de Direito - Direito do Consumidor – Turma 10º A

Professora titular: Keila Pacheco Ferreira
Professor em estágio docência: José Henrique de Oliveira Couto

1ª Atividade: Resp. civil na LGPD e diálogo de fontes com o CDC

 Esta tarefa poderá ser realizada individualmente ou em dupla.

 A tarefa é composta por questões objetivas, dissertativas e comentário de
jurisprudência.
 Data de entrega: 25/09/2023, através da plataforma Teams.
 Em caso de realização em dupla, é suficiente que um único aluno entregue a(s)
folha(s) de respostas no Teams. Não se esqueçam de constar o nome da dupla
na folha de respostas.
 Valor: 25,0 pontos.

Discentes: Gabriel Silva de Oliveira

Mateus Reis
Rocky Rosa Neto

Questões objetivas

1 – (Valor: 1,0 ponto) Sobre a responsabilidade civil na Lei Geral de Proteção de Dados
Pessoais, assinale a afirmativa correta:
A. Se o controlador e o operador causarem danos aos titulares por violação da
LGPD, o operador responderá subsidiariamente.
B. O operador e o controlador possuem responsabilidade civil pelo descumprimento
da LGPD, com consequente produção de danos em eventual titular.
C. O operador não tem responsabilidade civil porque sempre age com base nas
ordens do controlador.

2 - (Valor: 1,0 ponto) Assinale a alternativa correta acerca da responsabilidade civil na

LGPD:
A. O exercício regular de um direito, pelo controlador, afasta a responsabilidade
civil, ainda que o tratamento de dados tenha sido feito contra a vontade do
titular dos dados
B. O exercício regular de um direito, pelo controlador, afasta a responsabilidade
civil, salvo se o tratamento for contrário a vontade do titular
C. O exercício regular de um direito não afasta a responsabilidade civil do
controlador que agiu de acordo com a LGPD
D. No contrato de transferência de dados do consumidor é lícita uma cláusula
excluindo o dever de ressarcir eventuais danos

3 - (Valor: 1,0 ponto) É correto afirmar que:

A. Não haverá responsabilidade civil, pelo dano no titular, do controlador que
sequer realizou o tratamento de dados
B. Há responsabilidade civil, pelo dano ao titular, do controlador na hipótese de
não ter feito tratamento de dados, mas sim terceiros
C. A culpa exclusiva de terceiros nunca afastará a responsabilidade do
controlador por danos
 Universidade Federal de Uberlândia
Faculdade de Direito - Direito do Consumidor – Turma 10º A
Professora titular: Keila Pacheco Ferreira
Professor em estágio docência: José Henrique de Oliveira Couto

D. Somente a culpa exclusiva de terceiros afasta a responsabilidade do

controlador por danos

4 - (Valor: 1,0 ponto) É correto afirmar que:

A. Não há diálogo de fontes entre o CDC e a LGPD
B. O diálogo de fontes é um instrumento de proteção ao consumidor, podendo ser
aplicado em caso envolvendo danos por tratamentos ilícitos de dados
C. É lícita a cláusula contratual que impede o consumidor de acionar o judiciário
para buscar reparações por danos advindos do tratamento de dados pessoais,
ainda que expressamente consentida

5 - (Valor: 1,0 ponto) No campo da LGPD, é correto afirmar:

A. Há responsabilidade civil sem danos ao titular, bastando um ato ilícito do
controlador
B. A culpa exclusiva da vítima pelo dano afasta a responsabilidade do controlador
C. A responsabilidade civil do controlador, enquanto pessoa física, depende
apenas da prática de ato ilícito, dispensando o nexo de causalidade

Questões dissertativas

6 – (Valor: 5,0 pontos) Considerando o diálogo de fontes entre a LGPD e o CDC,

você vislumbra a possibilidade da empresa que trata os dados pessoais
responder de forma objetiva pelos danos causados? Justifique a sua resposta.

Considerando o diálogo de fontes entre a LGPD e o CDC, infere-se que a teoria

de responsabilidade civil adotada em tal meio é a objetiva. Isto é, impõe-se a obrigação
de indenizar independentemente da análise de culpa dos agentes de tratamentos de dados,
uma vez que a atividade desenvolvida pelo agente de tratamento é evidentemente uma
atividade que impõe riscos aos direitos dos titulares de dados. Tais riscos são, portanto,
inerentes à própria atividade, razão pela qual desnecessária a comprovação de culpa lato
sensu. Tal exegese é reafirmada pelo postulado no art. 42 e art. 44 da LGPD.

Dessa maneira, a adoção de sistema de responsabilidade civil objetiva pela LGPD

visa proteger de maneira rigorosa os dados pessoais sensíveis e se torna, por fim,
instrumento para a tutela e efetivação da igualdade e da liberdade.
 Universidade Federal de Uberlândia
Faculdade de Direito - Direito do Consumidor – Turma 10º A
Professora titular: Keila Pacheco Ferreira
Professor em estágio docência: José Henrique de Oliveira Couto

7 – (Valor: 5,0 pontos) O Superior Tribunal de Justiça, em julgamento de Recurso,

estabeleceu a tese: "O vazamento de dados pessoais não sensíveis, por si só, não
enseja danos morais".
Sobre o tema, mencione 2 pontos positivos e 2 pontos negativos da tese.
Atenção: É necessário que inclua, pelo menos, um item do CDC para
fundamentação da resposta.

Sobre decisão em tela, ao estabelecer que o vazamento de dados não sensíveis não
enseja danos morais de forma automática, de um lado, é vista como uma salvaguarda para
a liberdade informacional e o direito à informação, promovendo um ambiente de maior
transparência e liberdade de expressão, pois de certa forma, permite certo grau de certeza
nas relações comerciais, quando é possível traçar o perfil de determinada pessoa, para
casos como acesso a crédito, estabelecimento de contratos, etc. Ademais, ela pode
contribuir para a redução de processos judiciais de menor relevância relacionados a
vazamentos de dados, aliviando a carga do sistema judiciário.

Contudo, em uma visão mais garantista, existem preocupações significativas

associadas a essa decisão. Ela pode ser interpretada como uma minimização da
importância da privacidade e dos direitos individuais, uma vez que vazamentos de
informações pessoais, mesmo que não sejam sensíveis, ainda podem causar desconforto
e impactos secundários. Além disso, essa abordagem pode desencorajar empresas e
organizações a investirem em medidas de segurança robustas, criando um cenário em que
a proteção de dados pessoais seja negligenciada, contrariando o espírito do artigo 14 do
CDC, §1°, que coloca como defeituoso o serviço " quando não fornece a segurança que
o consumidor dele pode esperar". Portanto, a interpretação e aplicação dessa decisão
devem ser criteriosamente avaliadas, levando em consideração as circunstâncias
específicas de cada caso e a evolução da legislação de privacidade de dados.

Comentário de jurisprudência

8 – (Valor: 10,0 pontos) Após a leitura da decisão do TJSP (Apelação Cível

1013241-57.2019.8.26.0196) disponibilizada na plataforma Teams (em anexo a esta
tarefa), comentar a decisão criticamente, apoiando ou rejeitando os fundamentos
jurídicos que lhe sustentam, devendo haver fundamentação legal, jurisprudencial,
e/ou doutrinária. Atenção: mínimo 2 laudas e máximo 4 laudas, fonte tamanho 12,
espaço 1,5.
 Universidade Federal de Uberlândia
Faculdade de Direito - Direito do Consumidor – Turma 10º A
Professora titular: Keila Pacheco Ferreira
Professor em estágio docência: José Henrique de Oliveira Couto

Após a análise do Acórdão referente à Apelação Cível n° 1013241-

57.2019.8.26.0196, que trata de um golpe em que a autora sofre por meio de um
boleto falso enviado por terceiros fraudadores, por meio de um e-mail com dados
pessoais da autora e informações sensíveis acerca do contrato celebrado com a
ré, é possível concluir que a decisão está correta, sendo guiada pelos princípios
norteadores das relações de consumo contemporâneas, no risco inerente a
atividade empresarial e nas normas estabelecidas pela Lei Geral de Proteção de
Dados.

Em momento inicial, a relatora destaca a indubitável relação de consumo

estabelecida pelas partes, considerando que a autora celebrou contrato de
prestação de serviços com uma empresa – uma grande empresa – e de acordo
com o Código de Defesa do Consumidor, esta é parte hipossuficiente na relação
de consumo:

Art. 4º A Política Nacional das Relações de Consumo tem por

objetivo o atendimento das necessidades dos consumidores, o
respeito à sua dignidade, saúde e segurança, a proteção de seus
interesses econômicos, a melhoria da sua qualidade de vida,
bem como a transparência e harmonia das relações de
consumo, atendidos os seguintes princípios:

I - reconhecimento da vulnerabilidade do consumidor no

mercado de consumo;
Art. 6º São direitos básicos do consumidor:
VIII - a facilitação da defesa de seus direitos, inclusive com a
inversão do ônus da prova, a seu favor, no processo civil,
quando, a critério do juiz, for verossímil a alegação ou quando
for ele hipossuficiente, segundo as regras ordinárias de
experiências;
Assim, de pronto e de forma acertada, a decisão reconhece a autora como
parte hipossuficiente na relação em tela, como disposto na lei.

A seguir, relata que o e-mail apresenta informações que deveriam ser de

conhecimento apenas da autora e da ré e destaca que os fraudadores tinham
irrestrita ciência acerca dos dados sensíveis referentes ao contrato celebrado,
conhecendo qual fatura estava em aberto, valor e data do seu vencimento,
 Universidade Federal de Uberlândia
Faculdade de Direito - Direito do Consumidor – Turma 10º A
Professora titular: Keila Pacheco Ferreira
Professor em estágio docência: José Henrique de Oliveira Couto

número do contrato e os dados pessoais da autora, como endereço residencial,

nome completo e CPF e atribui ao golpe uma sofisticação e caráter verossímil
em razão destas informações. Consequentemente, atribui a culpa a empresa em
razão de falha no sistema de segurança da ré em relação ao armazenamento de
dados pessoais da sua cliente.

O raciocínio e conclusão da decisão sobre este ponto está correta. Em

toda atividade empresarial existe um risco inerente a atividade e em razão do
exercício da atividade lucrativa, a empresa está sujeita a eventuais
consequências que este risco pode gerar.

No caso em tela, a Claro/AS (ré) possuía a obrigação de preservar em

segurança os dados da autora e as informações referentes a relação de
consumo, como disposto na Lei Geral de Proteção de Dados:

Art. 2º A disciplina da proteção de dados pessoais tem como

fundamentos:
I - o respeito à privacidade;
Art. 5º Para os fins desta Lei, considera-se:
I - dado pessoal: informação relacionada a pessoa natural
identificada ou identificável;
Art. 6º As atividades de tratamento de dados pessoais deverão
observar a boa-fé e os seguintes princípios:
I - finalidade: realização do tratamento para propósitos
legítimos, específicos, explícitos e informados ao titular, sem
possibilidade de tratamento posterior de forma incompatível com
essas finalidades;
II - adequação: compatibilidade do tratamento com as
finalidades informadas ao titular, de acordo com o contexto do
tratamento;
III - necessidade: limitação do tratamento ao mínimo necessário
para a realização de suas finalidades, com abrangência dos
dados pertinentes, proporcionais e não excessivos em relação
às finalidades do tratamento de dados;
VII - segurança: utilização de medidas técnicas e administrativas
aptas a proteger os dados pessoais de acessos não autorizados
e de situações acidentais ou ilícitas de destruição, perda,
alteração, comunicação ou difusão; VIII - prevenção: adoção de
medidas para prevenir a ocorrência de danos em virtude do
tratamento de dados pessoais;
 Universidade Federal de Uberlândia
Faculdade de Direito - Direito do Consumidor – Turma 10º A
Professora titular: Keila Pacheco Ferreira
Professor em estágio docência: José Henrique de Oliveira Couto

X - responsabilização e prestação de contas: demonstração,

pelo agente, da adoção de medidas eficazes e capazes de
comprovar a observância e o cumprimento das normas de
proteção de dados pessoais e, inclusive, da eficácia dessas
medidas.
Por meio da observação do trecho da legislação, nota-se que a empresa
descumpriu diversos artigos da Lei Geral de Proteção de Dados ao não manter
os dados da sua cliente em segurança. Assim, a decisão em tela, de forma
acertada, atribuiu a culpa a empresa sob a ótica da responsabilidade objetiva.

Alguns doutrinadores como Maria Celina Bodin de Moraes e João

Quinelato Queriroz (MORAES, QUEIROZ, 2019) discorrem sobre a
responsabilidade na Lei Geral de Proteção de Dados sob uma perspectiva da
necessidade de uma postura ativa do agente, sustentada pela “necessidade de
adoção de posturas pelos agentes de tratamento de dados que tutelem a
prevenção de danos, sendo a obrigação de indenizar, medida excepcional a ser
tomada”.

De maneira semelhante, os doutrinadores Danilo Doneda e Laura

Schertel Mendes consideram a atividade de tratamento de dados um risco
intrínseco com potencialidade danosa:

A consideração da responsabilidade dos agentes leva em conta,

em primeiro lugar, a natureza da atividade de tratamento de
dados, que a LGPD procura restringir às hipóteses com
fundamento legal (art. 7º) e que não compreendam mais dados
do que o estritamente necessário (princípio da finalidade, art. 6º,
III) nem sejam inadequadas ou desproporcionais em relação à
sua finalidade (art. 6º, II). (DONEDA, MENDES, 2018, p. 479).
Assim, de acordo com este entendimento, percebe-se que o legislador optou
pelo regime da responsabilidade objetiva, sendo o exercício da atividade
empresarial que perpassa por tratamento de dados pessoais dotado de riscos
inerentes ao negócio. Dessa forma, quando esses dados não são devidamente
protegidos, possuem potencial para causar danos severos aos consumidores,
como ocorreu no caso em tela.

Assim, verifica-se este entendimento em outros julgados do Tribunal de Justiça

de São Paulo:
 Universidade Federal de Uberlândia
Faculdade de Direito - Direito do Consumidor – Turma 10º A
Professora titular: Keila Pacheco Ferreira
Professor em estágio docência: José Henrique de Oliveira Couto

CONSUMIDOR. AÇÃO DE INDENIZAÇÃO. CONTRATO DE

FINANCIAMENTO. GOLPE DO BOLETO. VAZAMENTO DE
DADOS QUE DEU CAUSA AO SUCESSO DA FRAUDE.
RESPONSABILIDADE DOS BANCOS. RESTITUIÇÃO DO
VALOR PAGO NO BOLETO. CABIMENTO. DANOS MORAIS.
RECONHECIMENTO. [...] SENTENÇA REFORMADA.
RECURSO PROVIDO. (TJ-SP - AC: 10006274320208260565
SP 1000627-43.2020.8.26.0565, Relator: Alexandre David
Malfatti, Data de Julgamento: 14/09/2021, 20ª Câmara de Direito
Privado, Data de Publicação: 14/09/2021)
Portanto, após todo o exposto, reafirma-se que a decisão do Tribunal de Justiça
de São Paulo está correta, pois se orientou nas normas estabelecidas no Código
de Defesa do Consumidor e na Lei Geral de Proteção de Dados. Além disso, não
acatou a argumentação da parte ré de que a autora agiu com falta de cautela e
negligência pois todos os dados privados pela relação de consumo estavam
presentes na efetivação do golpe, o que atribui sofisticação e caráter verossímil
ao golpe.

Além disso, estabeleceu a reparação de danos a autora com o pagamento do

valor pago de forma errônea com juros e correção monetária, também
estabeleceu o quantum do dano moral no montante geralmente estabelecido
pelo tribunal paulista.

Destaca-se que, que além de tudo, a decisão adotou a corrente da

responsabilidade objetiva do agente, que estabelece a obrigação das empresas
em proteger os dados dos seus clientes e também a adotarem uma postura ativa
em relação a segurança destes, atrelando o tratamento dos dados ao risco
inerente a atividade empresarial.