Notícias
ESPAçO ABERTO
Cybersecurity e Dever de Diligência: A Responsabilidade dos Administradores em Casos de Vazamento de Dados
Autor: Daniel Lima Barbosa
Data de produção: 20/05/2026
Os artigos postados neste canal são apresentados por associadas e associados e refletem visões, análises e opiniões pessoais, não correspondendo, necessariamente, ao posicionamento da AASP.
1. Introdução
A digitalização acelerada da economia impôs às organizações uma nova camada de risco que recusa permanecer confinada à esfera operacional. Segundo a consultoria Allianz (2024), 41% das empresas globais classificam incidentes cibernéticos como o maior risco para seus negócios. No Brasil, o custo médio de uma violação de dados atingiu US$ 4,88 milhões por evento (IBM, 2024), e a cada 14 segundos uma empresa é vítima de ransomware.
Nesse cenário, a pergunta que se impõe ao profissional de direito digital e compliance empresarial é objetiva: pode o administrador de uma companhia ser pessoalmente responsabilizado quando um incidente de segurança expõe dados pessoais de clientes, colaboradores ou parceiros? A resposta, construída na confluência entre o direito societário e a Lei Geral de Proteção de Dados Pessoais (LGPD), é crescentemente afirmativa.
2. O Dever de Diligência e a Cibersegurança
O art. 153 da Lei n. 6.404/1976 exige que o administrador empregue, no exercício de suas funções, o cuidado e a diligência que todo homem ativo e probo costuma empregar na administração dos seus próprios negócios. Trata-se de standard comportamental que se atualiza com a complexidade dos negócios: se nos anos 1970 a diligência focava controles financeiros, na terceira década do século XXI ela incorpora, necessariamente, a governança de dados e a cibersegurança.
O administrador que ignora os riscos digitais a que sua companhia está exposta ou delega tais questões sem supervisão atua em desconformidade com esse padrão, expondo-se às sanções dos arts. 158 e 159 da LSA. Ao mesmo tempo, o dever de informar do art. 157 impõe que incidentes de grande porte capazes de afetar dezenas de milhares de titulares sejam tratados como fatos relevantes, criando obrigações perante acionistas, a ANPD e os próprios titulares afetados.
3. A LGPD e as Obrigações dos Agentes de Tratamento
A Lei n. 13.709/2018 estrutura um regime de responsabilidade calcado no princípio da accountability: não basta abster-se de tratar dados ilicitamente; é preciso demonstrar, de forma proativa, a adoção das medidas exigidas. O art. 46 é categórico ao exigir medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e situações acidentais ou ilícitas.
Na esfera disciplinar, os arts. 42 a 45 estabelecem o dever de reparar danos patrimoniais ou morais causados em violação à lei. A simples alegação de invasão externa não afasta a responsabilidade, o entendimento que encontra firme sustentação na jurisprudência do STJ. Adicionalmente, a Resolução CD/ANPD n. 15/2024 exige que organizações notifiquem a ANPD e os titulares afetados em até três dias úteis após a confirmação de incidente relevante, sendo a comunicação tardia expressamente prevista como agravante na dosimetria das sanções.
4. A Jurisprudência do STJ
Três precedentes recentes merecem destaque. O REsp 2.147.374/SP (3.ª Turma, dez./2024, rel. Min. Ricardo Villas Bôas Cueva) consolidou que a responsabilidade civil na LGPD é orientada por uma lógica de risco e confiança: o controlador responde sempre que não comprovar diligência adequada, deslocando o ônus probatório para o agente de tratamento.
O REsp 2.121.904/SP (rel. Min. Nancy Andrighi) reconheceu a responsabilidade objetiva de seguradora pelo vazamento de dados sensíveis, com dano moral presumido o chamado dano in re ipsa. Já o REsp 2.077.278/SP fixou que a alegação genérica de ataque externo não basta como excludente: é necessário demonstrar, concretamente, que o agente não incorreu em falha que tenha facilitado o incidente. Em síntese, a jurisprudência caminha para a objetivação da responsabilidade, com ônus da prova sobre o agente e presunção de dano moral em casos de dados sensíveis.
Em suma, O STJ tem firmado entendimento de que a invasão por hackers não exime automaticamente a empresa de responsabilidade, pois o risco da atividade é do controlador, configurando falha na segurança (risco do negócio).
5. Sanções Administrativas e a Dupla Via de Responsabilização
O art. 52 da LGPD prevê sanções que vão da advertência à multa de até R$ 50 milhões por infração. Em 2024, os cinco processos sancionadores encerrados pela ANPD tiveram como alvo órgãos públicos nenhuma empresa privada foi multada. Entretanto, esse dado não sinaliza benevolência: a ANPD tem apostado no dano reputacional como fator dissuasivo, obrigando entidades condenadas a publicar o texto da sanção em destaque em seus canais por 60 dias.
A partir de julho de 2025, a atuação fiscalizatória se intensificou, com mais de 20 empresas notificadas por falhas na gestão de dados. Um padrão se repete nos precedentes da ANPD: medidas corretivas implementadas após o incidente não produzem os mesmos efeitos da conformidade prévia. As vias administrativa e civil são independentes e podem tramitar simultaneamente, amplificando a exposição das organizações e de seus administradores.
Conclusão
A convergência entre o risco cibernético empresarial e a regulação de proteção de dados criou uma nova fronteira de responsabilidade para os administradores brasileiros. O dever de diligência do art. 153 da LSA incorpora, hoje, a governança de dados e a cibersegurança como obrigação fiduciária não como custo operacional delegável somente à área de TI.
O administrador que puder demonstrar decisões informadas, documentadas e de boa-fé em matéria de segurança da informação tem respaldo na Business Judgment Rule para afastar ou mitigar sua responsabilidade pessoal. O problema surge precisamente quando o tema não figura na pauta do Conselho ou da Diretoria. Nenhuma organização é imune a ataques, mas aquelas que constroem uma cultura de proteção de dados e podem demonstrá-la perante o regulador e o Judiciário têm chances significativamente melhores de afastar a responsabilização.
Referências
BRASIL. Lei n. 6.404/1976 (Lei das Sociedades por Ações). Brasília, DF, 1976.
BRASIL. Lei n. 13.709/2018 (LGPD). Brasília, DF, 2018.
BRASIL. ANPD. Resolução CD/ANPD n. 15/2024 (Comunicação de Incidentes). Brasília, DF, 2024.
BRASIL. STJ. REsp 2.147.374/SP. Rel. Min. Ricardo Villas Bôas Cueva, 3.ª Turma, DJEN 6.12.2024.
BRASIL. STJ. REsp 2.121.904/SP. Rel. Min. Nancy Andrighi, 3.ª Turma, 2024.
BRASIL. STJ. REsp 2.077.278/SP. Rel. Min. Nancy Andrighi, 3.ª Turma, DJe 9.10.2023.
ALLIANZ SE. Allianz Risk Barometer 2024. Munique: AGCS, 2024.
IBM Corporation. Cost of a Data Breach Report 2024. Armonk: IBM Security, 2024.
PARENTE, Flávia. O Dever de Diligência dos Administradores de Sociedades Anônimas. Rio de Janeiro: Renovar, 2005.
PINHEIRO, Patricia Peck. Proteção de dados pessoais. 4. ed. São Paulo: Saraiva, 2022.

Daniel Lima Barbosa
Minibio: Bacharel em Direito, pós-graduado com especialização em Direito Digital, Proteção de Dados e IA, extensões em cybersecurity, Lealdership and Corporate Accountability. Membro das Comissões da Direito Digital e Privacidade, Proteção de dados e Inteligência Artificial da OAB São Paulo.