A proteção de dados pessoais deixou de ser um tema “apenas técnico” e passou a ser uma responsabilidade direta de empresas de todos os tamanhos — inclusive negócios voltados ao turismo e hospedagem. Uma decisão recente da Justiça de São Paulo mostra, na prática, como uma falha na guarda de informações pode causar danos concretos à vida do consumidor e gerar condenação por dano moral, com base na LGPD e no Código de Defesa do Consumidor (CDC).
No caso analisado, um cliente teve seus dados pessoais — incluindo a imagem da CNH — expostos após se hospedar em um estabelecimento. A partir desse vazamento, terceiros passaram a acusá-lo injustamente e a direcionar ameaças a ele e à sua família, com repercussão em redes sociais. A sentença reconheceu a responsabilidade do fornecedor e fixou indenização por danos morais.

O que aconteceu?
Segundo a sentença, o consumidor se hospedou em um camping e, em determinado momento, seus dados pessoais foram indevidamente compartilhados com terceiros. Entre os dados expostos, estava a CNH (Carteira Nacional de Habilitação), documento que costuma conter informações sensíveis e altamente identificáveis.
Depois disso, pessoas estranhas à relação contratual passaram a:
• atribuir ao consumidor a prática de um ato que ele negava (uma acusação envolvendo um suposto atropelamento de animal e fuga);
• divulgar o caso e ampliar o constrangimento em ambiente digital;
• proferir ameaças, gerando medo, abalo emocional e repercussões familiares.
A discussão central do processo não foi “se o consumidor ficou chateado”, mas sim se houve falha na proteção e controle do acesso aos dados, criando a condição para que terceiros os utilizassem de forma ilícita.

O que a Justiça entendeu: falha na guarda de dados gera responsabilidade
A sentença reconheceu que a relação é de consumo e que o fornecedor tem dever de adotar medidas para evitar exposição indevida. Também aplicou, de forma alinhada ao cenário atual, os fundamentos da LGPD (Lei Geral de Proteção de Dados).
Um ponto relevante do caso foi a análise da versão apresentada pela empresa: a defesa sustentou que os dados teriam sido obtidos por terceiros via “consulta de placa”. O juízo, porém, considerou essa explicação tecnicamente inconsistente, porque uma simples consulta de placa não entrega a imagem de uma CNH.
Ou seja, o raciocínio foi: se a informação vazada incluía imagem de documento, havia forte indicação de que o dado saiu do ambiente em que foi coletado/armazenado, evidenciando falha de segurança e violação do dever de cuidado.

LGPD na prática: não é só “ter uma política”, é impedir o acesso indevido
A LGPD exige que empresas adotem medidas de segurança, técnicas e administrativas aptas a proteger dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas.
Na prática, isso se traduz em rotinas como:
• limitar quem pode acessar documentos (ex.: imagem de CNH);
• registrar acessos e compartilhamentos;
• definir fluxo de atendimento para incidentes;
• treinar equipe e padronizar procedimentos.
A decisão reforça uma mensagem importante: não basta afirmar que não teve culpa. Se o dado vazou e houve dano ligado a essa exposição, o fornecedor precisa demonstrar que tinha governança e controles efetivos — e que o evento não decorreu de falha do serviço.

A condenação: indenização por dano moral e fundamentos
Ao final, a sentença julgou o pedido parcialmente procedente e condenou a empresa ao pagamento de R$ 15.000,00 a título de danos morais.
O juízo destacou a gravidade concreta do impacto: não se tratou de mero incômodo, mas de situação com potencial de abalo real à integridade, à tranquilidade e à reputação do consumidor e de seus familiares, especialmente diante de ameaças.
Também foi registrado que exigir, no processo, uma “prova de implementação” de medidas de governança não era necessário como obrigação específica na sentença, porque implementar governança é dever legal de todo controlador/operador que trate dados.

O que empresas e consumidores podem aprender com esse caso
Esse tipo de decisão costuma ter dois efeitos imediatos no mercado:
• Para empresas: reforça que dados pessoais são parte do “serviço” prestado. Se a empresa coleta documento, ficha, cadastro ou imagem, ela assume o dever de guardar, restringir e proteger.
• Para consumidores: mostra que a exposição de dados (especialmente documentos) pode gerar responsabilização e indenização, principalmente quando há consequências como ameaças, imputação indevida de condutas e constrangimento público.

Em síntese: dados vazados não são só “um problema de TI” — são um risco jurídico e reputacional, com impacto direto no caixa e na credibilidade do negócio.