Fraudes com Dados Pessoais: Responsabilidade Civil no CDC/LGPD

A Responsabilidade Civil nas Relações de Consumo Decorrente de Fraudes com Dados Pessoais

A era digital transformou radicalmente a maneira como contratos de prestação de serviços são celebrados, trazendo agilidade e conveniência, mas também abrindo portas para novas modalidades de ilícitos civis. Um dos temas mais recorrentes e complexos enfrentados pelos profissionais do Direito na atualidade diz respeito à contratação fraudulenta realizada por terceiros mediante a utilização indevida de dados pessoais de consumidores inocentes. Este cenário jurídico demanda uma análise profunda sobre a responsabilidade civil das empresas fornecedoras, a aplicação da teoria do risco e a intersecção entre o Código de Defesa do Consumidor e a Lei Geral de Proteção de Dados.

Para o advogado que atua na defesa dos direitos do consumidor ou na consultoria empresarial, compreender as nuances da responsabilidade objetiva é fundamental. Não se trata apenas de identificar a existência de um contrato inexistente, mas de desconstruir a tese defensiva comum de que a fraude perpetrada por terceiro exime o fornecedor de responsabilidade. A jurisprudência pátria tem consolidado o entendimento de que a segurança nas operações de contratação é um dever intrínseco à atividade empresarial, não podendo o risco ser transferido à parte hipossuficiente da relação.

A Teoria do Risco do Empreendimento e a Responsabilidade Objetiva

O alicerce jurídico para tratar de contratações fraudulentas reside no artigo 14 do Código de Defesa do Consumidor. A legislação estabelece a responsabilidade objetiva do fornecedor de serviços pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e riscos. O legislador, ao adotar a teoria do risco do empreendimento, determinou que todo aquele que se disponha a exercer alguma atividade no mercado de consumo tem o dever de responder pelos eventuais vícios ou defeitos dos bens e serviços fornecidos, independentemente de culpa.

A caracterização do defeito no serviço, neste contexto específico, ocorre pela falha na segurança do processo de contratação. Quando uma empresa permite que um terceiro, munido apenas de dados vazados ou documentos falsos, contrate em nome de outrem, evidencia-se uma fragilidade nos sistemas de verificação e autenticação da fornecedora. O serviço é considerado defeituoso quando não fornece a segurança que o consumidor dele pode esperar, levando em consideração as circunstâncias relevantes, como o modo de seu fornecimento e os riscos que razoavelmente dele se esperam.

É imperativo que o operador do Direito compreenda que a responsabilidade objetiva dispensa a comprovação de dolo ou negligência por parte da empresa. O foco da análise judicial recai sobre o nexo causal entre a atividade da empresa (a falha na verificação da identidade) e o dano sofrido pelo consumidor (cobranças indevidas, negativação do nome ou perda de tempo útil). A atuação preventiva e o conhecimento aprofundado sobre estes mecanismos são essenciais, temas que são explorados com rigor em cursos de especialização como a Pós-Graduação em Lei Geral de Proteção de Dados (LGPD), que prepara o profissional para lidar com a governança de dados e a prevenção de incidentes.

A Distinção entre Fortuito Interno e Externo na Fraude de Terceiros

Um dos pontos nevrálgicos nas lides forenses envolvendo fraudes de contratação é a alegação de culpa exclusiva de terceiro, prevista no artigo 14, § 3º, II, do CDC, como excludente de responsabilidade. As empresas frequentemente argumentam que foram tão vítimas quanto o consumidor, pois foram enganadas por um estelionatário. Contudo, a doutrina e a jurisprudência superior, notadamente o Superior Tribunal de Justiça, desenvolveram a distinção crucial entre fortuito interno e fortuito externo para balizar estas situações.

O fortuito externo é aquele fato que não guarda nenhuma relação com a atividade desenvolvida pelo fornecedor, sendo absolutamente estranho ao produto ou serviço, como um evento de força maior imprevisível e inevitável que rompe o nexo causal. Por outro lado, o fortuito interno é o fato imprevisível, e até inevitável, mas que se insere no risco da atividade desenvolvida. A fraude praticada por terceiro, que utiliza dados alheios para firmar contratos, insere-se na categoria de fortuito interno.

Ao disponibilizar canais de contratação facilitada, seja por telefone, internet ou quiosques com verificação simplificada, a empresa assume o risco de que fraudes ocorram. Esse risco é inerente à lucratividade e à expansão do negócio. Portanto, a ação do fraudador não rompe o nexo de causalidade, pois a falha na segurança interna da empresa permitiu que o evento ocorresse. Entender essa distinção é vital para o sucesso de ações declaratórias de inexistência de débito cumuladas com indenização.

A Intersecção com a Lei Geral de Proteção de Dados (LGPD)

A entrada em vigor da Lei Geral de Proteção de Dados (Lei nº 13.709/2018) adicionou uma camada extra de complexidade e responsabilidade às empresas. A contratação fraudulenta pressupõe, invariavelmente, o tratamento indevido de dados pessoais. Se um fraudador conseguiu contratar, significa que a empresa controladora dos dados (a fornecedora do serviço) realizou o tratamento de dados do titular (consumidor vítima) sem o seu consentimento e sem uma base legal válida, visto que o “contrato” subjacente é nulo de pleno direito.

Além da responsabilidade consumerista pelo defeito no serviço, surge a responsabilidade civil específica pelo tratamento irregular de dados. A empresa tem o dever de garantir a exatidão, clareza, relevância e atualização dos dados, além de adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas. A falha na identificação da titularidade no momento da contratação configura, portanto, uma violação direta aos princípios da segurança e da prevenção estatuídos na LGPD.

Dano Moral In Re Ipsa e o Desvio Produtivo

A consequência mais gravosa para o consumidor vítima de fraude geralmente é a inscrição indevida de seu nome nos órgãos de proteção ao crédito. A jurisprudência é pacífica no sentido de que a inscrição indevida em cadastros de inadimplentes configura dano moral in re ipsa, ou seja, presumido. O dano decorre da própria gravidade do fato, dispensando a prova do abalo psicológico, pois a mácula ao nome e ao crédito no mercado é, por si só, ofensiva à dignidade da pessoa humana.

Mesmo nos casos onde não ocorre a negativação, mas há cobranças insistentes e a necessidade de o consumidor despender tempo e esforço para resolver um problema que não criou, aplica-se a Teoria do Desvio Produtivo do Consumidor. Esta teoria reconhece que o tempo vital é um bem jurídico tutelável. Quando o fornecedor, por sua desídia, obriga o consumidor a sair de sua rotina para comprovar que não contratou um serviço, há um dano indenizável. O profissional que deseja se aprofundar nas teses de defesa do consumidor deve buscar atualização constante, como a oferecida no curso de Direito do Consumidor, que aborda a evolução jurisprudencial sobre o tema.

Aspectos Processuais e a Inversão do Ônus da Prova

No âmbito processual, a defesa do consumidor em casos de fraude contratual é fortalecida pelo instituto da inversão do ônus da prova, previsto no artigo 6º, VIII, do CDC. Dada a hipossuficiência técnica do consumidor, não seria razoável exigir que ele comprovasse um fato negativo, isto é, que ele não contratou. Tal exigência configuraria a chamada “prova diabólica”, impossível ou excessivamente difícil de ser produzida.

Portanto, cabe exclusivamente ao fornecedor o ônus de comprovar a regularidade da contratação. Isso deve ser feito mediante a apresentação de contratos devidamente assinados, gravações de áudio auditáveis, logs de acesso à internet com IP e geolocalização, ou biometria, dependendo do canal de venda utilizado. A simples apresentação de telas sistêmicas (prints de computador) produzidas unilateralmente pela empresa não possui força probante suficiente para atestar a validade do vínculo jurídico, conforme reiteradas decisões dos tribunais estaduais e superiores.

A ausência dessa prova robusta leva, inexoravelmente, à declaração de inexistência do débito e à condenação por danos morais e materiais, se houver (como no caso de desconto indevido em conta corrente ou cartão de crédito). É essencial que o advogado saiba impugnar documentos unilaterais e requerer as perícias adequadas, quando necessário, para desmontar a tese de validade contratual sustentada pela defesa corporativa.

Conclusão

A responsabilidade das empresas por contratações fraudulentas realizadas mediante o uso indevido de dados pessoais é um tema que exige do advogado uma visão integrada do ordenamento jurídico. Não basta conhecer o Código Civil; é preciso dominar o microssistema do Código de Defesa do Consumidor, a legislação de proteção de dados e as súmulas dos tribunais superiores. A tese do fortuito interno é a chave para afastar a alegação de culpa de terceiro, reafirmando que a segurança é um risco do empreendimento que não pode ser transferido ao vulnerável. A atuação diligente neste campo não só repara injustiças individuais, mas também pressiona o mercado a adotar práticas de compliance e segurança da informação mais rigorosas.

Quer dominar a Lei Geral de Proteção de Dados e se destacar na advocacia? Conheça nosso curso Pós-Graduação em Lei Geral de Proteção de Dados (LGPD) e transforme sua carreira.

Insights sobre o Tema

A análise aprofundada da responsabilidade civil em casos de fraude revela que a negligência corporativa na verificação de identidade é sistêmica em certos setores, visando a redução de custos operacionais em detrimento da segurança.
A aplicação conjunta da Teoria do Risco do Empreendimento e da Teoria do Desvio Produtivo do Consumidor tem elevado o valor das condenações, servindo como medida pedagógica e punitiva (punitive damages) implícita.
A prova de contratação válida tornou-se complexa na era digital; assinaturas eletrônicas sem certificação robusta são facilmente contestáveis em juízo, exigindo das empresas investimentos em biometria e autenticação de dois fatores.
A LGPD transformou o dado pessoal em um ativo de valor, e sua utilização para fraudes não gera apenas dano patrimonial, mas violação à autodeterminação informativa do indivíduo.

Perguntas e Respostas

1. A empresa pode alegar culpa exclusiva de terceiro para se eximir da responsabilidade em caso de fraude?
Não. A jurisprudência do STJ entende que fraudes praticadas por terceiros no âmbito de operações bancárias ou de serviços de massa configuram fortuito interno, pois são riscos inerentes à atividade empresarial. A empresa responde objetivamente pela falha na segurança que permitiu a fraude.

2. O que é necessário para caracterizar o dano moral nesses casos?
Se houver inscrição indevida nos órgãos de proteção ao crédito (SPC/Serasa), o dano moral é in re ipsa (presumido), dispensando prova do sofrimento. Se não houver negativação, o dano moral pode ser caracterizado pelo tempo perdido para resolver o problema (desvio produtivo) ou pelo abalo decorrente de cobranças vexatórias, dependendo da prova produzida nos autos.

3. Como funciona o ônus da prova em ações declaratórias de inexistência de débito?
Aplica-se a inversão do ônus da prova. Cabe à empresa provar que a contratação foi válida e realizada pelo consumidor (fato positivo). O consumidor não tem como fazer prova de fato negativo (que não contratou), cabendo a ele apenas a verossimilhança das alegações e a demonstração de sua hipossuficiência.

4. Telas de sistema da empresa servem como prova da contratação?
Geralmente, não. A jurisprudência majoritária considera que “prints” de telas internas da empresa são provas unilaterais e frágeis, pois podem ser facilmente manipuladas e não contêm a assinatura ou o consentimento inequívoco do consumidor. É necessária a apresentação do contrato assinado, gravação de áudio ou logs digitais auditáveis.

5. A LGPD pode ser utilizada como fundamento nessas ações?
Sim. A contratação fraudulenta implica tratamento de dados pessoais sem base legal (sem consentimento válido e sem contrato legítimo). O advogado pode fundamentar a ação não apenas no CDC, mas também na violação dos deveres de segurança e prevenção previstos na LGPD, pleiteando indenização também sob a ótica da proteção de dados.

Aprofunde seu conhecimento sobre o assunto na Wikipedia.

Acesse a lei relacionada em Lei Geral de Proteção de Dados (LGPD)

Este artigo teve a curadoria da equipe da Legale Educacional e foi escrito utilizando inteligência artificial a partir do seu conteúdo original disponível em https://www.conjur.com.br/2026-mar-05/operadora-de-telefonia-responde-por-contratacao-fraudulenta-com-uso-de-dados-pessoais/.