LGPD em Ação: O Poder do STJ na Proteção de Dados no Brasil
Por Renata Marques
A Lei Geral de Proteção de Dados Pessoais (LGPD), sancionada em 2018 e em vigor desde
2020, trouxe ao Brasil um marco regulatório significativo para a privacidade e a proteção de
dados. Nos primeiros quatro anos de aplicação, o E. Superior Tribunal de Justiça (STJ) tem
desempenhado um papel central na interpretação da legislação e na construção da
jurisprudência, criando precedentes que orientam tanto empresas quanto cidadãos sobre a
aplicação da lei. Durante esse período, o Tribunal se deparou com questões complexas que
exigiram uma análise detalhada sobre os direitos dos titulares, as responsabilidades das
empresas e as sanções a serem aplicadas em caso de descumprimento.
A primeira grande questão analisada pelo STJ foi a do consentimento para o tratamento
de dados pessoais, um dos pilares da LGPD, conforme o artigo 7º da lei. Em 2021, o E. Tribunal
se deparou com o REsp 1.818.264, envolvendo a operadora de telecomunicações Vivo S.A. e o
cliente José da Silva. Neste caso, a Vivo coletou dados de clientes para o envio de publicidade
sem o consentimento explícito dos titulares, o que contrariava a legislação. O STJ reafirmou que
o consentimento deve ser claro, informado e livre, como exige o artigo 8º da LGPD, não podendo
ser considerado válido se obtido de forma implícita. A decisão do Tribunal determinou que o
consentimento precisa ser dado de forma inequívoca, com o titular sendo plenamente
informado sobre os riscos e finalidades do tratamento de seus dados.
Em seguida, o REsp 1.819.032 (relator Min. Luis Felipe Salomão), julgado em 2022, tratou
do uso de dados para campanhas publicitárias de uma plataforma de e-commerce, envolvendo
a empresa Mercado Livre e a consumidora Maria Santos. O Tribunal concluiu que a plataforma
deveria revisar sua política de privacidade, uma vez que não havia explicado claramente como
os dados coletados seriam utilizados para marketing direcionado. A decisão sublinhou a
obrigatoriedade das empresas de garantir uma comunicação clara sobre as finalidades do
tratamento, levando o Mercado Livre a ajustar seus processos de coleta de consentimento e
aprimorar a transparência com seus usuários. Esse veredito impactou significativamente o setor
de marketing digital, com empresas revisando suas práticas para garantir conformidade com a
legislação.
Outro ponto de relevância nas decisões do STJ foi a análise dos direitos dos titulares de
dados pessoais, conforme o artigo 18 da LGPD. Em 2021, o REsp 1.717.576, que envolvia o banco
Itaú Unibanco S.A. e o cliente Carlos Almeida, discutiu a recusa de acesso do cliente aos seus
dados pessoais armazenados pela instituição. O Tribunal decidiu que as empresas,
especialmente as que lidam com grandes volumes de dados, devem atender às solicitações de
acesso e exclusão de dados de forma célere e sem custos excessivos, em linha com o que a LGPD
determina. O Itaú Unibanco foi orientado a garantir que seus processos de solicitação de acesso
ou retificação fossem simples e eficientes, visando assegurar os direitos dos consumidores de
maneira ágil e descomplicada.
No campo da responsabilidade civil das empresas, o E. STJ tem reforçado a necessidade
de adotar medidas rigorosas de segurança no tratamento de dados. O REsp 1.788.341, julgado
em 2022, tratou de um vazamento de dados ocorrido na Magazine Luiza S.A., que sofreu um
ataque cibernético, expondo informações pessoais, incluindo dados bancários de milhões de
clientes. O Tribunal entendeu que a empresa não adotou as medidas adequadas de proteção,
como exige o artigo 46 da LGPD, e determinou o pagamento de indenização por danos materiais
e morais. Esse julgamento consolidou a responsabilidade das empresas em garantir a segurança
das informações de seus clientes e evidenciou que a negligência em adotar medidas preventivas
pode resultar em consequências jurídicas e financeiras significativas.
Em 2023, o E. STJ analisou a aplicação das sanções e penalidades previstas pela
Autoridade Nacional de Proteção de Dados (ANPD), especialmente em relação à
proporcionalidade das multas. No REsp 1.960.134, o Tribunal avaliou a aplicação de multa à Uber
Technologies, Inc., que descumpriu obrigações de transparência no tratamento de dados,
violando o direito de acesso dos titulares. O STJ reafirmou a autonomia da ANPD para aplicar
penalidades, mas destacou que a multa deve ser proporcional ao porte da empresa e à gravidade
da infração. Também considerou a diligência da Uber em corrigir a falha após a aplicação da
multa, o que influenciou a decisão final. Esse entendimento trouxe um equilíbrio entre a
proteção dos dados e as necessidades econômicas das empresas, especialmente as de menor
porte.
A atuação do E. STJ nos primeiros anos de vigência da LGPD tem sido fundamental para
estabelecer um ambiente jurídico seguro e previsível para o tratamento de dados pessoais no
Brasil. O Tribunal tem assegurado que as empresas cumpram suas obrigações de transparência,
segurança e respeito aos direitos dos consumidores, ao mesmo tempo em que tem reforçado a
responsabilidade civil em casos de falhas de segurança e vazamentos. À medida que a legislação
e a jurisprudência continuam a evoluir, é esperado que o STJ enfrente novas questões, como o
uso de tecnologias emergentes, como inteligência artificial e big data, que apresentam desafios
adicionais para a proteção de dados pessoais.
Além disso, o STJ desempenha um papel fundamental na integração da LGPD com normas
internacionais, como o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia,
especialmente no que diz respeito à transferência transnacional de dados e às implicações
jurídicas do tratamento global de dados. O Tribunal tem ajudado a posicionar o Brasil dentro de
um contexto jurídico global de proteção à privacidade, alinhando-se às melhores práticas
internacionais.
Dessa forma, o E. STJ segue sendo uma peça-chave na evolução da LGPD, moldando sua
aplicação de forma progressiva e ajustando-a às novas realidades tecnológicas e sociais. As
decisões do Tribunal não só fortalecem o cumprimento da LGPD, mas também contribuem para
a construção de uma cultura de privacidade, um direito fundamental, que é essencial para a
convivência democrática na era digital.
