Este trabalho analisa a responsabilidade civil objetiva do Estado no vazamento de dados pessoais sob a guarda do Poder Público, com ênfase nas implicações jurídicas decorrentes da aplicação da teoria do risco administrativo. A crescente digitalização dos serviços estatais e o uso intensivo de dados pela Administração Pública impõem novos desafios à proteção da privacidade e à efetivação dos direitos fundamentais dos cidadãos. A partir de uma análise normativa da Constituição Federal, da Lei Geral de Proteção de Dados (Lei nº 13.709/2018 – LGPD), da Lei de Acesso à Informação (Lei nº 12.527/2011), do Código de Defesa do Consumidor e do Marco Civil da Internet, o estudo demonstra que o Estado brasileiro, na condição de controlador ou operador de dados, responde objetivamente por falhas na proteção da integridade, confidencialidade e disponibilidade dessas informações. A responsabilidade subsiste inclusive diante de ataques perpetrados por terceiros, como hackers, salvo comprovação inequívoca de excludentes legais. A jurisprudência dos tribunais superiores reforça a centralidade da responsabilidade objetiva estatal, evidenciando a obrigação de adoção de medidas preventivas e corretivas adequadas. O artigo sugere que o regime jurídico brasileiro privilegia uma lógica de justiça distributiva, em que o ônus das falhas sistêmicas na segurança informacional deve recair sobre o Estado.