Instituto Privacidade - Logo
Camping condenado a pagar R$ 15 mil por vazamento de dados de hóspede: LGPD na prática
Voltar ao Blog
Blog

Camping condenado a pagar R$ 15 mil por vazamento de dados de hóspede: LGPD na prática

Foto: Pexels
Instituto Privacidade22 de janeiro de 20265 min de leitura de leitura

A 4ª Vara de Cubatão condenou um camping ao pagamento de indenização por danos morais no valor de R$ 15 mil em razão do vazamento de dados sensíveis de um hóspede, fato que resultou em publicações ameaçadoras nas redes sociais. A decisão estabelece um importante precedente sobre a aplicação prática da Lei Geral de Proteção de Dados.

O caso

O hóspede se hospedou no local e, poucas horas após o check-out, passou a receber ligações e mensagens nas quais era falsamente acusado de ter atropelado um cachorro. Em uma dessas comunicações, os agressores encaminharam a fotografia de sua Carteira Nacional de Habilitação (CNH), documento que havia sido fornecido ao estabelecimento exclusivamente para fins de cadastro da hospedagem.

A decisão judicial

Na sentença, o juiz Sergio Castresi de Souza Castro destacou que, tanto à luz do Código de Defesa do Consumidor quanto da LGPD, a falha na segurança no tratamento de dados pessoais gera o dever de indenizar, independentemente da comprovação de culpa ou dolo.

Para o magistrado, o fato de os agressores possuírem a imagem digital da CNH do autor é prova irrefutável de que o vazamento ocorreu a partir do banco de dados do estabelecimento.

"A conduta não se limitou a um mero transtorno cadastral, mas expôs o autor a ameaças reais e a um linchamento de reputação." — Juiz Sergio Castresi de Souza Castro

O magistrado também rejeitou a alegação defensiva de que o documento teria sido obtido por meio de consulta à placa do veículo, ressaltando que é impossível obter cópia ou fotografia da CNH de um condutor mediante mera consulta de placa veicular.

Responsabilidade objetiva pela proteção de dados

A decisão reforça que empresas têm responsabilidade objetiva pela proteção de dados pessoais coletados. Isso significa que:

  • A empresa responde pelo dano independentemente de ter agido com culpa
  • Não basta alegar que foi vítima de terceiros
  • É necessário demonstrar que adotou medidas adequadas de segurança
  • Falhas de segurança podem resultar em indenizações significativas

O que as empresas devem fazer

  1. Coletar apenas os dados necessários para a finalidade declarada (princípio da minimização)
  2. Armazenar documentos com segurança, com acesso restrito a pessoal autorizado
  3. Treinar colaboradores sobre o manuseio adequado de dados pessoais
  4. Implementar controles de acesso aos sistemas que armazenam dados
  5. Ter um canal de comunicação para incidentes de segurança (DPO)

Cabe recurso da decisão.

Fonte: Juristas

Gostou deste artigo?

Compartilhe com seus colegas e ajude a promover a cultura de proteção de dados.

Compartilhar:

Comentários

Nenhum comentário ainda. Seja o primeiro a compartilhar sua opinião!

Deixe seu comentário

Seu e-mail não será exibido publicamente.

0/2000

Outras Publicações

Incidentes de segurança a partir de informações públicas
Blog

Incidentes de segurança a partir de informações públicas

14 de abr. de 2026

LGPD e RBAC: controlar acessos é evitar incidentes
Blog

LGPD e RBAC: controlar acessos é evitar incidentes

02 de abr. de 2026

Os ataques continuam vindo de fora da organização, mas os incidentes nascem dentro dela
Blog

Os ataques continuam vindo de fora da organização, mas os incidentes nascem dentro dela

02 de abr. de 2026

Newsletter

Receba as últimas notícias sobre proteção de dados diretamente no seu e-mail.

Inscrever-se

Ver todas as publicações

Acesse o blog completo

Compartilhar

Compartilhar:
Fale conosco