O objetivo deste trabalho é analisar se há responsabilidade civil em caso de vazamento de dados pessoais de segurados do Instituto Nacional do Seguro Social – INSS e, à luz da Lei Geral de Proteção de Dados – LGPD, avaliar se ela é objetiva ou subjetiva. No âmbito do Governo Federal, o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo e as Equipes de Tratamento de Incidentes do INSS e da DATAPREV têm identificado incidentes de segurança, em que indica a crescente tentativa de acesso aos dados pessoais sob a custódia dos órgãos públicos, que inclui, também, o INSS como controlador. Nesse contexto, alguns segurados têm ajuizado ação indenizatória, surgindo o questionamento se cabe a responsabilização do órgão, e se ela é objetiva ou subjetiva. Quanto à responsabilização, o anteprojeto de lei previa expressamente a responsabilidade objetiva, tendo sido suprimida na versão posterior, mantendo a previsão do artigo 43, II, que define a opção do legislador pela subjetiva, pois apresenta hipótese de exclusão de responsabilidade, em que haverá juízo de valor da conduta do agente de tratamento, sendo este também o entendimento de alguns doutrinadores.