A perda de dados como risco jurídico: a responsabilidade dos fornecedores à luz do CDC e das relações comerciais

21 de novembro de 2025

A perda de dados como risco jurídico: a responsabilidade dos fornecedores à luz do CDC e das relações comerciais

Introdução

A perda de dados deixou de ser um risco meramente técnico para se tornar um problema jurídico relevante, especialmente diante da crescente judicialização de incidentes envolvendo falhas de backup, migração de ambientes, ataques cibernéticos e indisponibilidade de serviços.

A jurisprudência recente demonstra que o Poder Judiciário vem tratando a perda de dados como falha na prestação dos serviços — sobretudo quando a relação é regida pelo Código de Defesa do Consumidor — ampliando o risco de responsabilização objetiva das empresas de tecnologia, inclusive quando há cláusulas contratuais transferindo ao cliente a responsabilidade por manter suas próprias cópias de segurança.


A Ampliação da Responsabilidade: CDC e a Prevalência da Oferta

Nos casos de relação de consumo, os tribunais têm aplicado rigorosamente os arts. 6º, 14 e 20 do CDC, entendendo que a oferta vincula o fornecedor, ainda que exista previsão contratual em sentido contrário.

É emblemático o precedente do TJRJ, em que a empresa anunciava “backups automáticos”, o que levou à responsabilização pela perda definitiva de conteúdos, mesmo havendo cláusula que atribuía ao contratante o dever de manter cópias independentes (TJRJ. Acórdão. Processo nº 0005152-87.2018.8.19.0068. Órgão Julgador: Não Identificado. Relator (a): Fernando Cerqueira Chagas. Data de publicação: 30/10/2023).

Situação semelhante foi reconhecida pelo TJSP ao responsabilizar empresas vinculadas ao WhatsApp por não oferecerem suporte eficaz ao consumidor que perdeu seu histórico de mensagens, configurando dano moral in re ipsa. Esses julgados deixam claro que, no âmbito consumerista, a expectativa legítima criada pela oferta e a vulnerabilidade técnica do usuário prevalecem sobre disposições contratuais genéricas (TJSP. Acórdão. Processo nº 1000763-04.2021.8.26.0016. Órgão Julgador: 5ª Turma – Cível. Relator (a): Felipe Poyares Miranda. Data de publicação: 04/05/2022).

Por outro lado, quando a relação é estritamente empresarial, a análise judicial tende a ser mais técnica e contratual. O TJRS reconheceu que o serviço contratado era apenas de manutenção técnica, e não de armazenamento de backups, afastando qualquer obrigação de restauração após ataque hacker (TJRS. Acórdão. Órgão Julgador: 22ª Câmara Cível. Relator (a): Marilene Bonzanini. Data do julgamento: 07/10/2021).


Mitigação da Autonomia da Vontade: O Princípio da Vulnerabilidade Aplicado ao B2B

É importante destacar que, mesmo a relação sendo entre duas empresas, a aplicação do CDC ou a sua lógica protetiva pode ser utilizada, uma vez que os Tribunais verificam a presença de vulnerabilidade técnica ou informacional que justifique a equiparação da empresa a um consumidor.

Um exemplo emblemático ocorreu no contrato de cloud computing julgado pelo TJPR, em que, mesmo envolvendo duas empresas, reconheceu-se a relação de consumo devido à vulnerabilidade técnica da contratante. A fornecedora não comprovou ter informado adequadamente a extensão dos serviços, motivo pelo qual foi condenada por falha na prestação do serviço e danos morais pela perda de dados armazenados na nuvem (TJPR. Acórdão. Processo nº 0000147-24.2015.8.16.0052. Órgão Julgador: 9ª Câmara Cível. Relator (a): Rafael Vieira de Vasconcellos Pedroso. Data do julgamento: 31/07/2022).


Governança Contratual e Operacional como Fator de Mitigação do Risco Jurídico

Esse panorama reforça a necessidade urgente de que empresas de tecnologia adotem medidas preventivas claras, incluindo:

  1. revisão minuciosa dos contratos, com destaque ostensivo quanto às limitações e responsabilidades de backup;
  2. documentação inequívoca das opções contratadas pelo cliente;
  3. comunicação contínua sobre os riscos de não contratar soluções de backup adequadas;
  4. registro completo das interações de suporte.

O alerta é essencial porque, mesmo quando o fornecedor tecnicamente não é o responsável pelo armazenamento, a ausência de informação clara e suporte adequado tem levado juízes a reconhecer falha de serviço.


Conclusão

Diante do uso frequente do CDC e da crescente sensibilidade judicial à perda de dados — inclusive para reconhecer danos morais — as empresas fornecedoras precisam fortalecer sua governança contratual e operativa. A judicialização desses incidentes mostra que, na ausência de clareza e prova robusta, a responsabilidade tende a recair sobre o fornecedor, seja por falha de informação, por expectativa criada na oferta ou por suporte inadequado.

O cenário exige postura preventiva, e empresas do ramo podem contar com o Assis e Mendes para elaboração rigorosa de estratégias jurídicas alinhadas às melhores práticas do mercado digital.


Como o Assis e Mendes pode ajudar

No Assis e Mendes, unimos conhecimento técnico e visão prática para entregar soluções jurídicas personalizadas para o seu negócio. Atuamos de forma preventiva e estratégica nas áreas trabalhista, empresarial e de proteção de dados, com foco na redução de riscos e otimização de resultados. Nosso compromisso é oferecer uma assessoria jurídica próxima, clara e eficiente, alinhada à realidade da sua empresa.

Para saber mais sobre este e outros temas relacionados ao direito digital, a equipe do Assis e Mendes possui especialistas prontos para atender às suas necessidades e de sua empresa. Entre em contato conosco pelo site www.assisemendes.com.br.


Sobre o Autor

Natalia Queiróz Mulati Cassim é advogada da equipe de  Contenciosa e Métodos Resolutivos de Controvérsias  do Assis e Mendes. Pós-graduada em Direito Civil, Processo Civil e Direito Empresarial e Pós-Graduanda em Direito Digital.

Interno:

Natalia Queiróz Mulati Cassim – 18/11/2025 – Contencioso

A perda de dados como risco jurídico: a responsabilidade dos fornecedores à luz do CDC e das relações comerciais

Compartilhe:

Mais Artigos

Governo Federal propõe nova Estratégia Nacional de Segurança da Informação e cria sistema integrado de governança para órgãos públicos

A Presidência da República colocou em consulta minuta de decreto que institui a Estratégia Nacional de Segurança da Informação (E-SegInfo) e o Sistema Integrado de Segurança da Informação (SISInfo), estabelecendo …

NR-1 e saúde ocupacional: até onde vai o dever de cuidado da empresa?

Quando a cultura organizacional encontra o histórico de saúde do colaborador: o que a NR-1 exige A área de Tecnologia da Informação consolidou-se como um dos ambientes mais propícios para …

IA corporativa sem governança: Um risco que já está acontecendo

Todo dia, colaboradores das mais diversas áreas usam ferramentas de inteligência artificial para ganhar tempo: resumem contratos, analisam dados, redigem e-mails, geram relatórios. O problema não está na ferramenta. Está …

Proteção da mulher no ambiente digital: entenda o novo Decreto nº 12.976/2026

O Governo Federal publicou o Decreto nº 12.976/2026, norma que estabelece diretrizes para a proteção de mulheres na internet e para o enfrentamento da violência contra mulheres no ambiente digital. …

ANPD inicia monitoramento de Apple, Google e Microsoft no âmbito do ECA Digital

A Autoridade Nacional de Proteção de Dados (ANPD) iniciou uma nova etapa da implementação do ECA Digital ao notificar Apple, Google e Microsoft para prestar informações sobre os mecanismos de …

Novo Decreto sobre Plataformas Digitais e Responsabilidade Online: o que muda com o Decreto nº 12.975/2026?

O Governo Federal publicou o Decreto nº 12.975/2026, norma que altera o Decreto nº 8.771/2016, regulamentador do Marco Civil da Internet, e amplia significativamente as obrigações de provedores de aplicações …

Entre em contato

Nossa equipe de advogados altamente qualificados está pronta para ajudar. Seja para questões de Direito Digital, Empresarial ou Proteção de Dados estamos aqui para orientá-lo e proteger seus direitos. Entre em contato conosco agora mesmo!

Inscreva-se para nossa NewsLetter

Assine nossa Newsletter gratuitamente. Integre nossa lista de e-mails.