Maria, para se tornar usuária do serviço público de abastecimento de água, forneceu à concessionária Alfa seus dados pessoais, que consistiam em nome completo, endereço residencial, data de nascimento, números de telefone, CPF e identidade. Três meses depois, a concessionária sofreu um ataque de hackers em seus sistemas e os dados pessoais de diversos consumidores, inclusive de Maria, foram copiados pelos criminosos, que, em seguida, venderam-nos para empresas que trabalham com telemarketing.

Inconformada por ter seus dados pessoais indevidamente comercializados, Maria ajuizou ação indenizatória em face da concessionária Alfa, alegando que sofreu danos morais in re ipsa, haja vista que foram vazados seus dados classificados pela Lei Geral de Proteção de Dados Pessoais (LGPD) como dados pessoais sensíveis.

De acordo com a jurisprudência do Superior Tribunal de Justiça e com a Lei nº 13.709/2018, os dados vazados de Maria