A proteção de dados pessoais é um tema de responsabilidade:

RESUMO

O presente artigo aborda um tema de extrema relevância no mundo atual.

Dados pessoais, são insumos essenciais para praticamente todas as atividades econômicas e são cada vez mais usados na criação de novas tecnologias e modelos de negócios. Em razão de tal uso, grandes empresas de tecnologia começaram a tratar uma quantidade cada vez maior de dados pessoais, para impulsionar seus negócios. Esse tratamento desregulado de dados pessoais começaram a trazer enormes prejuízos para os titulares de dados e para a sociedade como um todo. Através da ferramenta que possibilita a sistematização de imensos volumes de informação são os bancos de dados, os quais tiveram seu potencial significativamente avançado com o advento da informática. Bancos de dados é, em sua concepção fundamental, um conjunto de informações estruturado de acordo com uma determinada lógica utilitarista, que procura propiciar a extração do máximo de proveito possível a partir desse conjunto. Nesse sentido, conclui na noção dos riscos relativos à utilização dos dados pessoais no contexto tecnológico, partindo para a análise dos princípios norteadores da proteção dos dados pessoais, os denominados fair information principles, elencados como os seguintes: princípio da publicidade (ou da transparência); princípio da exatidão; princípio da finalidade; princípio do livre acesso; e o princípio da segurança física e lógica. Em seguida, analisam-se as legislações pertinentes à proteção de dados no Brasil, seu histórico a partir de outros ordenamentos jurídicos. Tais legislações, além de estabelecerem padrões e normas de tratamento, responsabilizam as empresas que não seguem as normas e causem prejuízos aos titulares dos dados. Para tanto, o objetivo é evidenciar a importância do surgimento da LGPD no cenário brasileiro, bem como demonstrar através de pesquisas doutrinárias, a responsabilidade civil dos agentes nos tratamentos de dados pessoais. Portanto diante dessa problemática o presente artigo busca oferecer bases introdutórias para uma reflexão em torno dos fundamentos que justificam a proteção dos dados pessoais com a responsabilização civil.

Palavras-chave: Dados Pessoais; LGPD; Responsabilidade Civil; Autodeterminação do Titular.{C}[1]

ABSTRACT

This article addresses a topic of extreme relevance in today's world. Personal data are essential inputs for virtually all economic activities and are increasinglyused in the creation of new technologies and business models.

As a result, large technology companies have started to process an increasing amount of personal data to boost their business.

This unregulated process of personal data began to cause losses for data subjects and for society as a whole. Through the tool that makes possible the systematization of immense volumes of information are the databases, which had their potential significantly updated with the advent of information technology. Databases are, in their fundamental conception, a set of information structured from this set.

In this sense, it concludes on the notion of risks related to the use of personal data in the technological context, starting with the analysis of the guiding principles for the protection of personal data, the so-called fair information practicies, listed as the following: transparency; accuracy; purpose limitation; free access; and the principle of physical and logical security.

Then, the legislation pertinent to data protection in Brazil is analyzed, its history based on other legalsystems. Such laws and regulations, in addition to establishing processing standards and norms, hold companies that do not follow the rules responsible and cause harm to data subjects.

To this end, the objective is to highlight the importance of the emergence of LGPD in the Brazilian context and demonstrate through doctrinal research, the civil liability of agents in the processing of personal data. Therefore, in the face of this problem, this paper seeks to offer introductory bases for reflection on the fundamentals that justify the protection of personal data with civil liability.

Keywords: Personal Data; LGPD; Civil liability; Self-determination of the Holder.

INTRODUÇÃO

O tratamento de dados pessoais existe desde o início da sociedade. Quando pessoas preenchiam fichas cadastrais para uma vaga de emprego, por exemplo, muito antes de se utilizar a tecnologia a favor da empresa essas fichas eram armazenadas em armários no setor do RH, da mesma forma quando as pessoas faziam uma consulta médica, disponibilizando seus dados em um formulário médico, e assim por diante.

Com o surgimento das novas tecnologias, sobretudo as que envolvem o uso da internet, os dados pessoais que antes eram acessíveis por poucas pessoas, passaram a se tornar mundial.

Muitas empresas começaram a armazenar dados sobre pessoas e através da convergência desses dados, começaram a adquirir informações sobre os titulares e utilizar tais informações para os intuitos econômicos e retirar valores dos dados pessoais, trazendo aos titulares certa vulnerabilidade por não terem direito de se preservar contra ações que julgassem injustas.

Contudo, surgiu a necessidade de definir novos padrões de operações com dados pessoais, no qual transigiu aos indivíduos o exercício do controle sobre tais dados. Outro ponto levado em conta é que não deveriam existir restrições em excesso ao fluxo de dados pessoais, pois isso provocaria um enorme prejuízo a todos os países do mundo, impedindo o desenvolvimento econômico e tecnológico.

Um dos dispositivos da lei Europeia de proteção de dados, o GDPR, determina que só possa haver transferência de dados pessoais para países que possuí leis de proteção de dados com padrões legais similares aos da supracitada lei.

Por isso e outros fatores, o Brasil editou a Lei 13.709/2018, conhecida como Lei Geral de Proteção de Dados Pessoais, ou simplesmente LGPD.

Tal lei traz um arcabouço legislativo extremamente amplo, que busca estabelecer padrões de tratamento de dados pessoais adequados à nova realidade tecnológica em que nos encontramos nos dias de hoje.

Sua principal novidade é a inserção, no ordenamento jurídico brasileiro do fundamento da autodeterminação informativa, que se constitui na faculdade que toda pessoa tem de exercer, de algum modo, controle sobre seus dados pessoais, garantindo-lhe, em determinadas circunstâncias, decidir se a informação pode ser objeto de tratamento (coleta, uso, transferência) por terceiros, bem como acessar bancos de dados para exigir correção ou cancelamento de informações.

Hornung e Schnabel, prelecionam que:

O direito à autodeterminação informativa, como âncora constitucional da proteção de dados, integra o denominado direito geral da personalidade. O direito geral da personalidade na Alemanha teve origens na doutrina de Otto Von Gierke, no final do Século XIX, e posteriormente foi reconhecido pioneiramente pelo Tribunal Superior Federal (Bundesgerichtshof - BGH), em decisão de 1954. Na sequência, foi e vem sendo e desenvolvido pelo Tribunal Constitucional Federal (Bundesverfassungsgericht), sendo derivado da combinação do art. 1º, I (dignidade da pessoa) e art. 2º, I (livre desenvolvimento da personalidade) da Lei Fundamental, ou seja, a sua atuação em conjunto garante a cada indivíduo a possibilidade de desenvolver a sua própria personalidade. (HORNUNG, Gerrit, SCHNABEL, Christoph. 2009, página. 84).

A LGPD traz padrões de governança de dados pessoais a serem seguidos, sugerindo a adoção de diversas medidas técnicas e administrativas para garantir a segurança e o adequado tratamento dos dados pessoais dos titulares.

A referida lei impõe aos terceiros que tratam dos dados pessoais que de agora em diante serão denominados agentes de tratamento, onde há diversas sanções para casos em que os agentes desrespeitem os padrões de governança e segurança impostos pela lei. Tais sanções variam de uma simples advertência até a proibição total e permanente de o agente infrator tratar quaisquer dados pessoais.

Trazendo esse conceito para o âmbito do Direito Privado, a noção jurídica de responsabilidade conjectura a atividade danosa de um indivíduo que atuando a priori ilicitamente, viola uma norma jurídica preexistente, subordinando-se dessa forma, as consequências do ato (obrigação de reparar). Através desse instituto, pessoas físicas e jurídicas são punidas, de acordo com a responsabilidade que possuem sobre suas ações.

Existe a responsabilidade civil objetiva, bastando apenas à existência da conduta humana, do dano e do nexo de causalidade. Embasa-se, na teoria do risco, que o risco proveito está fundado no princípio ubi emolumentum ibi onus, que se traduz na responsabilidade daquele que tira proveito ou vantagem do fato causador do dano é obrigado a repará-lo. Na qual toda pessoa que exerce alguma atividade que gera risco de danos a terceiros, se o dano for ocorrido, deve ser reparado, mesmo que não haja concorrido com culpa. Isso significa dizer que a responsabilidade civil se desloca da noção de culpa para a ideia de risco.

A responsabilidade objetiva está presente no art. 927, parágrafo único do Código Civil de 2002, no qual:

Art. 927. Aquele que, por ato ilícito (arts. 186 e 187), causar dano a outrem, fica obrigado a repará-lo.

Parágrafo único. Haverá obrigação de reparar o dano, independentemente de culpa, nos casos especificados em lei, ou quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem.

Ao lado da responsabilidade civil decorrente do ilícito civil ou do abuso de direito, inseridas nos artigos 186 e 187 do CC/02, referindo-se a ideia de culpa, em determinados casos analisados pelo magistrado, poderá reconhecer a responsabilidade civil do infrator, sem a indagação de culpa, isto é, responsabilidade civil objetiva, através de duas situações mencionadas acima.

O conceito de responsabilidade civil subjetiva estava consolidado no Código Civil de 1916, no art. 159, na ocasião resulta em da fusão de dois dispositivos legais presentes nos artigos 186 e 927 do CC/02. No art. 186 do CC/02 estabelece um preceito segundo o qual: “aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que exclusivamente moral, comete ato ilícito”, ao passo que o caput do art. 927 do CC/02 prevê as consequências jurídicas do caso em questão “aquele que, por ato ilícito (artigos. 186 e 187), causar dano a outrem, fica obrigado a repará-lo”.

Entretanto, o antigo art. 159 do CC/1916 falava em violar direito, ou causar prejuízo a outrem, a nova cláusula refere “violar direito e causar dano a outrem”. Se a alteração fosse a sentido contrário, poder-se-ia sustentar que o legislador estaria acolhendo a ideia de uma responsabilidade civil de cunho punitivo ou eventualmente dissuasório, e não de natureza reparatório ou compensatório. Isto porque a obrigação de indenizar poderia decorrer, em tal hipótese, tanto do fato de ter sido causado um prejuízo, quanto da hipótese de uma mera violação do direito. 

Portanto, quanto a esse aspecto, a alteração foi mais de forma do que de conteúdo. De acordo com a vontade do legislador, a responsabilidade subjetiva continua sendo o fundamento básico de toda a responsabilidade civil: o agente só será responsabilizado, em princípio, se tiver agido com culpa.

Existe uma enorme dúvida acerca de qual seria o regime de responsabilidade civil a ser aplicado aos agentes de tratamento quanto a sua responsabilidade com relação aos titulares de dados. A própria doutrina nacional encontra-se dividida com relação ao tema, existindo argumentos que buscam comprovar os dois lados.

No presente ensaio, faremos uma análise histórica do surgimento das normas de proteção de dados pessoais no mundo, com especial enfoque nas normas europeias, faremos exposição do surgimento da Lei Geral de Proteção de Dados no Brasil, breves exposições sobre os dois regimes de responsabilidade civil no direito brasileiro e por fim demonstrar-se-á qual o regime adotado pela LGPD.

1. SURGIMENTO DAS NORMAS DE PROTEÇÃO DE DADOS NO MUNDO

A matéria jurídica de proteção de dados pessoais vem sendo construída há pelo menos cinco décadas. Em meados de 60, através da ARPA - (Advenced Research Projects), um projeto colocado em pratica por Robert Taylor, com objetivo primário de conectar a comunidade acadêmica e científica dos estados americanos, na época os computadores eram supercomputadores: grandes, caros e espalhados por todo o país.

A proposta desse projeto era de que cada universidade tivesse computadores para determinadas especialidades e o restante da comunidade acadêmica pudesse utilizá-los para se conectar com a rede de computadores.

 O desafio se revelava na medida em que era necessário fazer com que os computadores conversassem, levando em consideração que utilizavam linguagens diferentes. A internet teve início, assim, com esforços para tornar possível a comunicação entre quatro redes locais: Universidade da Califórnia/Los Angeles, Stanford Research Institute, Universidade de Utah e Universidade da Califórnia/Santa Bárbara.

Em busca de promover a comunicação entre as redes locais, foram criados conceitos e protocolos fundamentais, desenvolvidos nos anos seguintes, para processamento de mensagens e divisão dos dados em pacotes fragmentados. Nos anos 60 foi dado início à comercialização de equipamentos para permitir a estruturação de pequenas redes privadas.

 Nesta ocasião fez-se essencial diferenciar o termo internet (inicial minúscula) com a Internet (inicial maiúscula). Por internet, interpreta-se qualquer rede privada e fechada de computadores, conectados através do uso de protocolos TCP/IP. Em contrapartida, Internet, relaciona-se da rede pública, federal e ampla, integrada das várias internets reunidas pela ARPA.

 Observa-se ainda que, naquele momento o conceito de Internet como a rede mundial de computadores ainda era ausente, e seria sucedido apenas 10 anos depois, com o surgimento do WWW (Word Wide Web) na década de 90.

No ano de 1995, os primeiros anos de uso importante do World Wide Web, existiram aproximadamente 16 milhões de usuários no mundo. Seis anos depois, o número de usuários atingia 400 milhões. Observa-se que, a internet demorou quase 40 anos para se tornar a rede mundial de computadores. (Década de 60 à década de 90), com menos de 10% deste tempo já percebia uso visivelmente inexpressivo frente aos números atuais, transformava a vida em sociedade e chamava atenção de sociólogos e filósofos.

A exposição de um crescimento exponencial para o progresso tecnológico, posteriormente se tornou conhecida como a Lei de Moore e foi ampliada para abranger também a memória do computador, a capacidade de armazenamento de dados e as telecomunicações.

Desta forma, a acelerada disseminação global de inovação e sua agregação ao cotidiano da sociedade interferem ou deveria interferir na concepção da regulação do direito. O desafio de saber o que, quando e como regular parece ter se tornado ainda mais difícil.

Essa dificuldade, traduzida em desafio, pôde transforma-se em estopim para a tarefa de aproximar o ordenamento do novo perfil que assume a personalidade em uma sociedade que muda velozmente, na qual os centros de poder e o espaço para a atuação do direito na regulação social são menos claros.

1.1. O IMPULSO DAS NORMAS DE PROTEÇÃO DE DADOS

A tecnologia ganhou novo impulso com o aumento na velocidade do seu desenvolvimento em diversas áreas, como a eletrônica, as telecomunicações e tantas outras.

Essas tecnológicas passaram a condicionar imediatamente a sociedade, com a sua filosofia de trabalho, seus instrumentos de produção, sua distribuição do tempo e de espaço, além de se detectar diretamente com a matéria dos instrumentos e mecanismos de controle que podem causar a corrosão da privacidade. A proporção que a tecnologia   tornou-se motivo de reflexão para as ciências sociais, entre elas o direito.

A base dos debates doutrinários sobre o direito à privacidade aconteceu não por coincidência, mas como consequência direta da utilização de novas técnicas e instrumentos que estabeleceram uma época na qual a privacidade era posta em xeque justamente pela tecnologia. O direito de privacidade antes era tido como um direito, mas em razão das novas tecnologias e o seu uso, ‘rastros’ das atividades humanas na rede começaram a ser deixados no mundo online.

 Em razão disso e das tecnologias de big data, os rastros no mundo online passaram a ser utilizados como atividade econômica.

Neste cenário, buscamos demostrar como a tecnologia deixou de ser vista como uma mera situação de fato, isolada de uma condição, para ser um vetor limitante da sociedade e, em efeito, do próprio direito.

Os reflexos, dessa dinâmica são imediatos para o direito, pois esse deve se mostrar apto a responder a novidade proposta pela tecnologia com a reafirmação de seu valor fundamental - a pessoa humana - ao mesmo tempo em que fornece a segurança necessária para que haja a previsibilidade e segurança devidas para a viabilidade das estruturas econômicas dentro do da tábua axiológica constitucional.

O verdadeiro problema não é saber sobre o que o direito deve atuar, mas sim de como interpretar a tecnologia e suas possibilidades em relação aos valores presentes no ordenamento jurídico.

O aparecimento da rede internet, por exemplo, definitivamente expandiu as possibilidades de comunicação e fez surgir um grande número de questões ligadas à privacidade.

A República Federal da Alemanha contava, desde 1977, com uma lei federal de proteção de dados pessoais, a Bundesdatenschutzgesetz (BDSG).

Fato marcante ocorreu na Alemanha, com a Lei do censo de 1983. Essa lei previa que cada cidadão deveria responder a 160 perguntas, a serem submetidas a tratamento informatizado, fazendo assim gerar alguns pontos de controvérsias dessa lei, como a existência de multa pecuniária, relativamente elevada, para os que não respondessem ao questionário, possibilidade de que os dados obtidos pelo censo fossem confrontados com os dados do registro civil para uma eventual retificação do próprio registro.

Então foi a causa de uma célere sentença da Corte Constitucional Alemã (BDSG), que até hoje é uma forte referência no campo da proteção de dados pessoais. O alvo da sentença foi à própria lei que organizava o censo, aprovado em 1982.

Esses e outros pontos estimularam um sentimento generalizado de insegurança, adepto à impressão de que o governo poderia se valer dos dados obtidos, que inicialmente, ajudariam a finalidades estatísticas, para realizar um gerenciamento das atividades e da condição pessoal dos cidadãos.  Alguns agentes de proteção de dados e entidades da sociedade civil chamaram a atenção para o problema que o censo na forma que foi planejado, poderia causar aos alemães. Essa discordância deu origem a um processo que provocou uma sentença da Corte Constitucional, cessando provisoriamente o censo e declarando que a lei que o instituí era inconstitucional em relação aos artigos 1.1 e 2.1 da Lei Fundamental, justamente a base sobre a qual se estruturava o direito geral da personalidade. 

Antes disso, a tutela dos dados pessoais no âmbito europeu foi consolidada com a Diretiva 95/46, além de debates que tiveram espaço na segunda metade da década de 1960 foram imensamente ricos e fundamentais para definir o perfil dessa disciplina, que hoje está presente de forma mais concreta e precisa.

Atualmente, o entendimento que se tem sobre a proteção de dados pessoais, tornou-se mais efetivos, através do resultado direto no volume e na própria importância do tratamento de dados pessoais para a sociedade, que desde então, opera em ritmo incessante com o uso da tecnologia que trata dados de forma intensiva. Esse avanço traz em sua bagagem, marcos regulatórios, que reconhecem os dados pessoais e o seu tratamento como fenômeno juridicamente relevante, estabelecendo direitos e garantias para os cidadãos.

O marco regulatório reconhece os dados pessoais e o seu tratamento como fenômenos juridicamente relevantes, estabelecendo direitos e garantias para os cidadãos, encontrando limites para a utilização por empresas e organizações e mecanismos que procuram mitigar o risco proporcionado pelo tratamento de dados. Esses elementos têm como objetivo proporcionar maior controle e proteção ao cidadão sobre seus dados, indo além de um avanço ligado meramente à proteção da privacidade e ainda têm uma de suas tomadas mais importantes, a consolidação de espaços dentro dos quais os dados possam ser tratados licitamente. Buscando referência ao direito à privacidade e de forma geral ao fortalecimento aos direitos individuais, a proteção de dados passou a se estruturar com maior autonomia no momento em que o processamento automatizado de dados passou a representar por si só, um fator de risco para o indivíduo.

O atual perfil da proteção de dados está ligado aos marcos regulatórios Europeu. No entanto, seu caráter global é amplamente verificável, além de que pode ser observado que a gênese de alguns dos institutos característicos se deu nos Estados Unidos, e não na Europa, resultado de uma dinâmica de influencias mútuas entre vários sistemas jurídicos, principalmente na Europa e Estados Unidos, através do desenvolvimento econômico e tecnológico mais cedo nessas regiões proporcionou condições para que problemas diretamente ligados à privacidade e dados pessoais fossem levados em consideração estabelecendo instrumentos regulatórios e jurídicos.

No nosso país, a Constituição Federal de 1988 tutela a intimidade e a vida privada, o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas (art. 5º, X e XII), e assegura a concessão de habeas data (art. 5º, LXIX e LXXII) e o Código de Defesa do Consumidor. Existe algo para a proteção aos dados pessoais, mas em um grau insuficiente e faz-se a necessidade de uma legislação específica sobre o tema.

Entender que de forma alguma a utilização dos dados não é um problema, na realidade ela torna possível várias atividades em infindáveis áreas, porém umas das análises a ser deixada neste presente artigo, é a atividade do tratamento de dados pessoais que requer harmonização com os parâmetros da proteção da pessoa humana presentes nos direitos fundamentais e regulamentações que possibilitem aos cidadãos um efetivo controle sobre seus dados pessoais.

Conforme as ponderações realizadas até o momento, o volume de dados disponíveis e a qualidade de seu tratamento por meio de sistemas informatizados, altamente capazes, transformaram dados pessoais em verdadeiros   comanditados. Onde modelos de negócios são sistemicamente pautados e rentabilizados, cada vez mais, no tratamento de dados pessoais.

De tal modo, pensar, que o cidadão possa ter o controle sobre seus próprios dados parece, atualmente, absurdo. Contudo, a autodeterminação informativa se apresenta como fundamento da LGPD.

2. LGPD E A AUTODETERMINAÇÃO INFORMATIVA

A autodeterminação informativa, definida como o controle do titular sobre os tratamentos feitos com seus dados pessoais é Um direito fundamental, trazido da decisão da Corte Constitucional Alemã, referenciada no tópico anterior.

Em seu art. 2º, II, a LGPD, consagra a autodeterminação informativa, que além de ser um de seus principais fundamentos, também é a base para grande parte do arcabouço normativo constante nos artigos da LGPD.

E para dar efetividade ao fundamento da autodeterminação informativa, a LGPD, em seu capítulo III, dispõe sobre os direitos dos titulares, dentre os quais temos o de obter do controlador, acesso aos dados que trata sobre nós.

Diante da intensificação do fluxo de dados, que está transformando a sociedade, é necessário que haja a faculdade do titular ter direito de exercer o controle sobre seus dados, podendo assim acompanhar e saber como é feito o tratamento de dados pessoais. Isso é autodeterminação informativa.

Sendo fundamental para a estrutura da LGPD, vez que foi o ponto de partida para a criação de todos, ou, da grande maioria dos princípios basilares da referida lei, é o ponto de partida que confere aos titulares o extenso rol de direitos presentes ao longo de toda a lei geral de proteção de dados.

Na nossa atual sociedade os modelos de negócios são rentabilizados pelo uso de dados pessoais, em uma realidade oculta, demostrando que os dados pessoais são o que alimenta e movimentam a economia. São também a base e ativo de uma gama de modelos de negócios. Fato é que há uma economia e uma sociedade que são cada vez mais dependentes desse livre fluxo informativo.

Sendo assim, por todo o contexto social e político, a autodeterminação informativa vai muito além do que se possa imaginar, para além do aspecto substancial, um aspecto procedimental ao direito à privacidade e não sendo corrosivo ao livre desenvolvimento da personalidade.

3. CRIAÇÃO DA LGPD COM INFLUÊNCIA DA AUTODETERMINAÇÃO INFORMATIVA E FATORES EXTERNOS

 O desenvolvimento tecnológico pode impactar as vidas das pessoas de diversas formas: negativa e positivamente. Um exemplo é o impacto positivo na vida das pessoas. Podemos notar uma maior praticidade, ou até mesmo a facilitação na realização de diversas tarefas do nosso cotidiano, como trabalho, ensino e aprendizado.

Antes da internet era inconcebível um cidadão de um país realizar um curso em uma escola do exterior estando dentro da sua casa.

Já hoje, com a criação dessa tecnologia, várias faculdades e escolas do mundo possuem diversos cursos de extensão, graduação e pós graduação que podem ser feitos a distância, de qualquer lugar do mundo.

Como um exemplo de impacto negativo, temos o caso da empresa Cambridge Analytica:

Realizava uma pratica contínua de coleta ilícita de dados pessoais; parte dos funcionários categorizam indivíduos, eleitores, usando seu próprio software O.C.E.A.N.; outros funcionários de grau sênior destinavam eleitores indecisos que poderiam, por exemplo, mudar de opinião entre votar a favor do Partido Republicano ou do Partido Democrata, que seria votar em Donald Trump.

A empresa classificou esses perfis, de usuários como the persuadables (os persuadíveis). A empresa também fazia uso da rede social Facebook com a prática de ataques-focais (microtargeting, em inglês) de seus usuários, muitas vezes utilizando-se – de forma intencional – de notícias falsas (Fake News) para manipular tendências políticas de eleitores, resultando em uma ruptura da democracia e gerando, de forma deliberada, uma sociedade polarizada.

A pratica foi denunciada pelo o jornalista Davies noticiou que a Cambridge Analytica tinha coletado milhões de dados pessoais dos usuários da rede social Facebook de forma ilícita, isto é, sem o prévio consentimento (ou sequer a ciência) dos usuários. Essa atividade havia sido encomendada para a então campanha presidencial estadunidense de 2016 do senador Ted Cruz. (DN, 23 Março 2018).

O conhecimento obtido, através de investigação jornalística, dá um cenário da nova realidade. Diante desse cenário de desinformação e violação ao Direito de Privacidade, o Brasil percebeu que tinha o dever de criar uma lei para que os cidadãos não sofram nenhum tipo de violação na sua esfera privada, com consequências profundas para a sua vida, e que empresas que utilizam dados pessoais como ferramenta de trabalho sigam normas de privacidades com a finalidade de atender a sociedade, dentro de padrões éticos.

A autodeterminação informativa, é o controle pessoal sobre o tráfego de dados relativo do próprio titular, sendo considerado uma extensão de liberdades individuais.

Para dar maior efetividade ao fundamento da autodeterminação informativa na LGPD, o capítulo III  traz diversos  direitos aos  titulares, dentre os quais podemos destacar: de obter do controlador a confirmação da existência de tratamento; de ter acesso aos seus dados; da correção de dados desnecessários, excessivos ou tratados em desconformidade com a Lei; da portabilidade dos dados a outro fornecedor de serviço ou produto; da revogação do consentimento; da eliminação dos dados pessoais tratados com o consentimento do titular; da informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; da informação sobre a possibilidade de não fornecer consentimento e sobre as consequências dessa abstenção.

Na nossa atual sociedade os modelos de negócios são rentabilizados pelo uso de dados pessoais, em uma realidade oculta, demonstrando que os dados pessoais são o que alimentam e movimentam a economia. São também a base e ativo de uma gama de modelos de negócios.

Fato é, que há uma economia e uma sociedade que são cada vez mais dependentes desse livre fluxo informativo.

Por todo o contexto social e político, a autodeterminação informativa vai muito além do que se possa imaginar, para além do aspecto substancial, um aspecto procedimental do direito à privacidade, não sendo corrosivo ao livre desenvolvimento da personalidade.

O instituto da personalidade está presente no Código Civil de 2002, que deve ser interpretado sob à luz do art. 5º da Constituição Federal e do princípio da proteção da dignidade humana.

A chave de partida para os direitos da personalidade sucedeu no Direito Público, buscando dar proteção ao homem, principalmente diante do Poder.

Karl Larenz, preleciona que:

“A proteção da personalidade humana em seu âmbito próprio (…) foi geralmente avaliada como insuficiente após a Segunda Guerra Mundial. Com as experiências das ditaduras aflorou certa sensibilidade em relação a toda espécie de menosprezo à dignidade humana e à personalidade; ao mesmo tempo tomava-se consciência de que as possibilidades de realizar atos que impliquem em tal menosprezo, não só por parte do Estado, mas também por outras entidades ou mesmo por pessoas privadas, havia se multiplicado, graças ao desenvolvimento da moderna técnica (por exemplo, fitas magnéticas, aparelhos de escuta, microcâmaras)”. (LARENZ, Karl, 1978, Página 145).

Com o crescimento do capitalismo industrial, a concentração, o nivelamento, as dificuldades da Segunda Guerra Mundial, com o desenvolvimento da tecnologia, principalmente da biotecnologia, entre outras, o panorama muda. O paradigma do Estado Liberal é modificado pelo do Estado Social intervencionista. Os direitos da personalidade passam a integrar a esfera privada, protegendo o indivíduo, sua dignidade, contra a ganância e o domínio dos mais fortes. Ao lado desse prisma privatístico, continua a subsistir o público, em socorro do indivíduo contra o Estado. Levando em consideração essas duas esferas: privada e pública, os direitos da personalidade pertencem a ambas. Na esfera privada, fala-se em direitos da personalidade, terminologia cunhada por Otto Von Gierke. Na esfera pública, em direitos humanos ou direitos fundamentais.

Nesse cenário, desempenha-se a ideia de estado social, razão pelo o qual ordenamento jurídico incube-se as funções de delimitar e promover uma hierarquia de valores, protegendo a pessoa humana, em vários países, pelo meio de uma Constituição, que deixa de ser uma ferramenta de caráter resumidamente político para transformar-se o ponto de aproximação de todo o ordenamento. A atividade incluía a adequação do instrumental jurídico a uma sociedade democrática com novos aspectos, fruto da base de uma experiência de inclusão social.

Com o objetivo de proteger os direitos fundamentais de liberdade e privacidade e assim possibilitar o livre desenvolvimento da personalidade da pessoa natural, foi criada a Lei Geral de Proteção de Dados, Lei nº 13.709/2018. Ela traz a ressalva que todo tratamento de dados pessoais, exceto em casos especiais.

Mesmo sendo fruto de um movimento que tomou corpo com o desenvolvimento tecnológico, essa lei não se restringe ao ambiente virtual. Porém, é inegável que o tratamento de dados pessoais alcançou um patamar nunca visto, à medida que a tecnologia de processamento e transmissão se desenvolveu e alcançou uma população maior. A coleta e processamento de dados off-line têm limitações estruturais relevantes que a tornam menos rentável e atentatórias aos direitos fundamentais agora tutelados. Por isso, as referências diretas à proteção de dados serão feitas no âmbito da tecnologia, haja vista que são mais presentes no nosso cotidiano.

Tendo em vista que a tecnologia aproxima as distâncias físicas e ultrapassam fronteiras, a sociedade sofreu transformações que a levaram a uma nova forma de organização, em que a informação tem papel central no desenvolvimento econômico (CASTELLS, 2001). As novas tecnologias de transmissão, coleta, armazenamento e processamento na internet permitiram que as informações fossem cada vez mais usadas para o desenvolvimento da eficiência econômica, ao passo que foi possível estabelecer uma relação mais eficaz com os consumidores. Ou seja, passou a ser possível que a produção e a divulgação dos produtos fossem mais efetivas. Porém, o lado negativo é que o indivíduo titular dos dados e consumidor dos bens foi se tornando mais vulnerável, uma vez que as informações passaram a circular entre os agentes econômicos e a sua intimidade e capacidade de escolha foi sendo suplantada pelos interesses das grandes corporações.

Ademais, depois de toda produção legislativa, o Brasil finalmente aprova o projeto de lei nº 4060/2012 e cria a lei que recebe o nº 13.709/2018, a Lei Geral de Proteção de Dados, objeto central deste estudo. Como já vimos, ela foi fruto de vários anos de debate e o projeto, como era de se esperar, sofreu várias modificações em sua tramitação.

A Lei nº 13.709/2018 é um novo marco legal brasileiro de grande impacto, tanto para as instituições privadas como para as públicas, por tratar da proteção dos dados pessoais dos indivíduos em qualquer relação que envolva o tratamento de informações classificadas como dados pessoais, por qualquer meio, seja por pessoa natural, seja por pessoa jurídica. É uma regulamentação que traz princípios, direitos e obrigações relacionadas ao uso de um dos ativos mais valiosos da sociedade digital, que são as bases de dados relacionadas às pessoas (PINHEIRO, 2018, p. 15).

Quanto aos efeitos da GDPR no Brasil, além de a regulamentação Europeia ter servido como fato motivador e influenciador da nossa Lei Geral de Proteção de Dados (LGPD), sua aplicação extraterritorial da GDPR, bem como as regras para transferências internacionais de dados pessoais, são alguns dos principais pontos de preocupação para empresas brasileiras.

De toda forma, a principal lição que podemos extrair da GDPR (repetida pela LGPD), é que a mesma se baseia na necessidade de se instituir uma nova cultura para as organizações, partindo da premissa de que o titular está no controle de seus dados. Com isso, as organizações com presença nacional podem se valer das lições percebidas durante os 12 meses de aplicação da GDPR como benchmarking para adequar suas operações e garantir a conformidade com a lei brasileira, mitigando riscos, danos financeiros e reputacionais, possibilitando, ainda, um relevante potencial competitivo para seus clientes e demais stakeholders. Ou seja, é hora de aprender com os erros e acertos da Europa com relação à adequação da GDPR, a fim de nos prepararmos bem para a versão tupiniquim do regulamento: LGDP.

4. AGENTE DE TRATAMENTO E SUAS OBRIGAÇÕES LEGAIS

 Na lei 13.709/18 Lei Geral de Proteção de Dados Pessoais, há o estabelecimento uma série de princípios que devem ser observados por todos os agentes de tratamento de dados, sob pena de sanções legais aplicadas por autoridades. Neste sentido, o cerne do presente artigo se define em estabelecer, à luz da temática da responsabilidade civil, se esta deve ser interpretada como responsabilidade civil subjetiva ou objetiva.

A LGPD não deixa de forma explicita à natureza da responsabilidade dos agentes de tratamentos de dados.

 O primeiro ponto a se analisar é o próprio histórico da tramitação do Projeto de Lei que deu origem à LGPD, que mostra opção do legislador pela responsabilidade subjetiva.

 A versão inicial do PL 5.276/2016 trazia no seu capítulo sobre “Transferências internacionais de dados”, uma regra geral expressa sobre a responsabilidade solidária e objetiva desses agentes pelos danos causados em virtude do tratamento de dados (art. 35 da lei 13.709/18). Além disso, na seção sobre “Responsabilidade e Ressarcimento dos danos”, havia uma abordagem ampla sobre os sujeitos obrigados a reparar o dano (art. 42 da lei 13.709/18).

Todas as versões subsequentes do projeto, até a versão finalmente sancionada da LGPD, passaram a não mais mencionar, como regra geral, um regime de solidariedade ou objetividade na responsabilidade pelos danos decorrentes do tratamento de dados pessoais.

Outra pista é o fato de a LGPD ter todo um capítulo dedicado a “segurança e boas práticas”, que está no capítulo VII, que é divido em duas seções: Seção I – da segurança e do sigilo de dados; e Seção II – das boas práticas e da governança:

Nessas seções, a LGPD criou uma série de deveres a serem observados pelos agentes de tratamento de dados, estabelecendo medidas que devem ser implementadas pelos agentes de tratamento de dados, dentre as quais podemos citar utilização frameworks de boas práticas e de governança para o estabelecimento de uma forte proteção a dados pessoais.

Para melhor compreensão do tema tratado, e entender como os agentes de tratamento devem agir, a lei impõe sanções para o caso em que os agentes de tratamento não estejam em conformidade com as obrigações trazidas pela LGPD.

Diante disso podemos notar que o modelo adotado foi o da responsabilidade subjetiva, pelo menos como regra geral. Afinal, se pararmos para analisar a LGPD e o atual cenário do mundo e do desenvolvimento tecnológico, por qual razão do legislador haveria   criado tantos deveres e  padrões  de conduta  para responsabilizar os agentes, independentemente de terem agido ou não com culpa.

Ao estabelecer uma estrutura de governança para proteger dados pessoais, a LGPD se aproximou mais do regime de responsabilidade fundado na culpa.

No inciso II do art. 43 da LGPD, o legislador isenta de responsabilidade os agentes que provarem que, “embora tenham realizado o tratamento de dados pessoais que lhe é atribuído, não houve violação à legislação de proteção de dados”. Um dos pontos mais importantes que indica o regime adotado pela LGPD em matéria de responsabilidade civil.

Através de conhecimento geral, no mundo digital, onde a tecnologia evolui a cada dia,de maneira completamente diferente de  um país para o outro, não se pode permitir, ou pelos menos não deveria haver a possibilidade  de uma empresa que se adequou a uma legislação e padrões de segurança impostos pelo próprio  governo , dizer que se essa mesma empresa, que seguiu estes padrões, poderá ser punida por um ataque com tecnologias indisponíveis em seu país 

Foge do razoável dizer que, em um mundo no qual a tecnologia de um dia pode ter sido superada no dia seguinte, onde cada país possui tecnologias diferentes, punir uma empresa que fez tudo que estava ao seu alcance para proteger suas informações, mas não conseguir fazer nada, pois foi atacada por forças que ela nunca teve contato.

5. RESPONSABILIDADE CIVIL NO DIREITO BRASILEIRO

Para adentrarmos nesse tópico, é necessário uma breve narração sobre a história do Direito.

O direito romano primitivo, engloba toda a época da realeza e uma parte do período republicano. Estabelece um direito essencialmente consuetudinário característico de uma sociedade organizada em clãs, que pouco conhecia o uso da escrita. Disso decorre a enorme falta de registros judiciais e legislativos neste período.

Não existia uma clara diferenciação entre o direito e a religião, pois eram os sacerdotes que, até o período de 300-250 a.e., conheciam as formas e rituais de interpretação da lei.  A época clássica do direito romano compatibilizava com o período de maior desenvolvimento de sua civilização, naquele período inclui o espaço, entendido entre os séculos II a.C. e II d.C.

Através disso o direito passa a apresentar um caráter essencialmente laico e individualista, cuja interpretação de suas fontes, cada vez mais de natureza legislativa do que consuetudinária, compete a um corpo de profissionais especializados: os jurisconsultos.

 Sob o principado de Otávio Augusto, alguns juristas renomados tomaram-se consultores, cujas interpretações da lei possuíam o reconhecimento da autoridade imperial. Entretanto exclusivamente sob o imperador Adriano (117-138 d.C.) tais pareceres passaram a vincular os magistrados em suas decisões, mas desde que houvesse unanimidade por parte dos juristas reconhecidos pelo príncipe.

A jurisprudência romana, levada a cabo pelos jurisconsultos, visava o estudo das regras de direito e sua aplicação na prática forense, sem uma maior preocupação na sistematização de seu ordenamento,

Nesta época, a legislação passa a desempenhar um papel cada vez mais importante, chegando a vencer o costume a ponto deste ser considerado, por importantes juristas como Gaio e Papiniano, um mero fato e não mais uma fonte do direito, a competência para legislar evoluiu de acordo com as mudanças políticas ocorridas em Roma.

A sua competência foi oficialmente reconhecida pelo imperador Adriano. A proposta de uma lei, todavia, mantinha-se privativa do imperador. Além disso, desde o ano 13 d.C., o príncipe podia legislar diretamente por edito.

Segundo, Argemiro Martins:

“A atividade legislativa do Senado teve curta duração, pois, o imperador principalmente a partir do século II d.C. passou progressivamente a ser o único órgão legiferante.

 A administração pública nunca alterou a estrutura legal básica deixada pela república, e isto está refletido na distinção feita por Ulpiano entre direito público e direito privado, este último compreendido como o domínio das relações entre os cidadãos

 Outra importante fonte do direito romano, além da legislação e da doutrina (jurisprudência), eram os editos dos magistrados os pretores em Roma e os governadores das províncias.

Por fim, cabe ressaltar que a jurisprudência romana conferiu um tratamento especial para a regulamentação das relações contratuais entre cidadãos, relativas a transações econômicas de compra e venda, aluguel, permuta e relações de família que envolvessem o patrimônio (casamento e herança).

Isto se deu porque o relacionamento entre cidadão e Estado era marginal ao desenvolvimento central do direito, pois não era a lei pública (sujeita a discricionariedade do imperador), mas a lei civil que dispunha sobre as relações de propriedade e de comércio”. (MARTINS, Argemiro Moreira. Cap.7. 2002, página 9).

Essa parte introdutória foi basicamente para compreendermos um ponto do surgimento do Direito Civil e suas raízes. No direito civil brasileiro, através da efetivação da Constituição Federal de 1988, que foi um rito de passagem para início de sua maturidade institucional brasileira, transformou-se em uma ideia vitoriosa e incontestada, as normas constitucionais alcançaram o status pleno de normas jurídicas, adotas de imperatividade, aptas a tutelar direta e imediatamente todas as situações que contemplam. A Constituição passa a ser a ótica através da qual se leem e se interpretam todas as normas infraconstitucionais. A lei fundamental e seus princípios deram novo sentido e alcance ao direito civil e a todos os demais ramos jurídicos.

Contudo, a narrativa acima tenta demostrar a importância da constituição levando uma carga valorativa na esfera privada, ao falar em direitos da personalidade, intimidade, honra e à vida privada.

Fazendo uma convergência para a responsabilidade civil, através desse cenário, desempenha-se a ideia de estado social, razão pelo o qual ordenamento jurídico incube-se as funções de delimitar e promover uma hierarquia de valores, protegendo a pessoa humana.

Juridicamente, o termo responsabilidade ordinariamente está ligado ao fato de respondermos pelos atos que praticamos. Logo indica, um dever, um compromisso, uma necessidade consequentemente de algum ato ou fato.

Plácido e Silva, preleciona que:

“Dever jurídico, em que se coloca a pessoa, seja em virtude de contrato, seja em face de fato ou omissão, que lhe seja imputado, para satisfazer a prestação convencionada ou para suportar sanções legais, que lhe são impostas. Onde quer, portanto, que haja obrigação de fazer, dar ou não fazer alguma coisa, de ressarcir danos, de suportar sanções legais ou penalidades, há a responsabilidade, em virtude da qual se exige a satisfação ou o cumprimento da obrigação ou da sanção”. (SILVA, 2010, página 642).

Na interpretação de suportar sanções, responsabilidade pode definir a ideia de relação obrigacional secundária, que aparece quando a relação de débito não é adimplida. Logo, que uma situação obrigacional se multiplica em duas relações, uma de débito, outra de responsabilidade.

A segunda aparece, quando a primeira não se consegue alcançar seu objetivo, isto é quando o devedor não realiza a prestação a que se obrigara. Nesta situação, responde patrimonialmente perante ao credor, por isso se falar em responsabilidade.

Dependendo do prisma que analisemos a responsabilidade, teremos inúmeras espécies que podem ser dividas em classes diferentes. Uma delas é a responsabilidade por atos ilícitos. Existirá ato ilícito, quando uma pessoa atuar diversamente ao Direito, seja por ação ou omissão. Posiciona-se na esfera do ato ilícito o inadimplemento contratual, a quebra de uma promessa, o furto, o abuso de direito. Todos são ilícitos para o Direito Civil e geram responsabilidades.

Praticado o ato ilícito, surge para o autor a responsabilidade de suportar as sanções impostas pela Lei. Essas sanções podem ser variadas, como pagar multa fixada em cláusula contratual, indenizar danos, permitir à vítima o exercício de direito de resposta.

César Fiuza preleciona que:

‘Na responsabilidade com culpa e sem culpa. A responsabilidade que se baseia na culpa do autor do ilícito denomina-se subjetiva, por ter como base o elemento subjetivo, culpabilidade. Já a responsabilidade sem culpa recebe o nome de responsabilidade objetiva, por se basear apenas na decorrência do dano”. (FUIZA, César, 2013, página 46).

A responsabilidade civil subjetiva, é a decorrente de dano causado em função de ato doloso ou culposo. A culpa, por ter natureza civil, se demostrará quando o agente causador do dano atuar com negligência ou imprudência, conforme sabido doutrinariamente, por meio da interpretação da primeira parte do art. 159 do Código Civil de 1916. (Art. 159. Aquele que por ação ou omissão voluntária, negligência ou imprudência, violar direito, ou causar prejuízo a outrem, fica obrigado a reparar o dano”).  

A faculdade da responsabilidade civil está devidamente disciplinada no Título IX, Capítulo I, do Código Civil ao longo de seus artigos 927 a 954, dispõe o mencionado diploma legal que aquele que, violando direito de outrem, por ação ou omissão voluntária, negligência ou imprudência, provocar danos patrimoniais ou extrapatrimoniais a terceiro, está obrigado à reparação pelos prejuízos causados.

Portanto, àquele que deu causa ao resultado do ato danoso, recai o dever de ressarcimento pela lesão ocasionada, tornando-se obrigatório o restabelecimento do equilíbrio anterior e a consequente indenização do lesado, em função do que efetivamente perdeu (dano emergente), bem como o que razoavelmente deixou de auferir (lucros cessantes), nos precisos termos do artigo 402, do Código Civil.

Para o surgimento da pretensão a reparação civil, nos artigos 186 e 187 do mesmo diploma legal manifesta-se a necessidade de existir três requisitos ou pressupostos essenciais. Que são eles: I) a prática, comissiva ou omissiva, de uma conduta antijurídica, denominada culpa, latu sensu; II) a existência de um dano ou lesão a um bem juridicamente tutelado, seja este patrimonial ou não, material ou imaterial e, por fim, III) a indispensável condição de causalidade entre o dano causado e a conduta do agente (seja esta, como exposto, comissiva ou omissiva, por negligência ou imprudência, pouco importando), denominada nexo causal.

Esse padrão de responsabilidade civil estabelecida no Código Civil (artigo 186), com fundamento na análise da culpa (teoria da culpa), doutrina e jurisprudência denominam de responsabilidade civil subjetiva.

No Código de Proteção e Defesa do Consumidor, quando se trata de incidente que gera danos a consumidores, a possibilidade de responsabilização objetiva, independentemente de culpa, de forma mais evidente, a Lei 8.078/90, estabelece em seus artigos 12 a 14, a possibilidade de responsabilização objetiva dos envolvidos na cadeia de consumo, seja de produtos e de serviços. É importante salientar, que nas relações de consumo, há que se considerar as circunstâncias que caracterizam o serviço que deu origem ao dano, e a efetiva segurança que o consumidor esperaria, o § 1º do artigo 14 do CDC, conceitua:

Art. 14 [...]

§ 1° O serviço é defeituoso quando não fornece a segurança que o consumidor dele pode esperar, levando-se em consideração as circunstâncias relevantes, entre as quais:

I - o modo de seu fornecimento;

II - o resultado e os riscos que razoavelmente dele se esperam;

III - a época em que foi fornecido.

Ademais, o consumidor não pode esperar por exemplo, que um software desatualizado seja imune a ataques virtuais, em permanente avanço, podendo compartilhar esse risco, quando decide pelo recurso sabidamente ultrapassado.

Feitas as considerações iniciais acima e retornando ao foco principal do estudo contudo, é necessário verificar se a Lei Geral de Proteção de Dados, ao deliberar à cerca da responsabilidade e do ressarcimento de danos causados pelos agentes de tratamento de dados, no decorrer dos seus artigos 42 a 45, deve ser interpretada sob a ótica de responsabilidade civil subjetiva ou objetiva.

A Lei Geral de Proteção de Dados determina em seu artigo 6º uma série de princípios ao tratamento de dados, dos quais se destacam, para fins de determinação de responsabilidade civil do operador, os previstos nos incisos VII, VIII, e X, respectivamente: segurança; prevenção e; responsabilização e prestação de contas. Além disso, estabelece ainda o artigo 46 da LGPD, ao dispor acerca de normas gerais de segurança e boas práticas que “Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.

A responsabilidade surge do exercício da atividade de proteção de dados que viole a “legislação de proteção de dados”. Por essa expressão, o legislador reconhece que a proteção de dados é um microssistema (conceito de normas de caráter protetivo), com normas previstas em diversas leis, sendo a LGPD a sua base estrutural. Mas a responsabilidade civil na LGPD não surge apenas da violação de proteção de dados. É preciso interpretar o art. 42, caput em conjunto com o art. 44, parágrafo único, que assim dispõe:

Art.42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano.

Os agentes responsáveis pelo tratamento das informações, são eles: o controlador e o operador de dados.

A LGPD traz, basicamente, quatro figuras importantes no tratamento de dados pessoais, a primeira delas é o titular de dados, que é a “pessoa natural a quem se referem os dados pessoais que é o objeto de tratamento”. Trata-se da “pessoa de interesse” a quem o tratamento se refere e em relação a quem devem ser observados os direitos e obrigações estabelecidas na LGPD. Já a segunda é o controlador, que é a “pessoa natural ou jurídica, de direto público ou privado, a quem competem às decisões referentes ao tratamento de dados pessoais”. Trata-se da figura responsável pelo tratamento, a quem aquele tratamento, especifico, interessa para alguma finalidade. É ele quem utiliza a informação tratada para alguma finalidade.

A terceira figura é o operador. O operador é qualquer pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador. Trata-se de uma figura semelhante ao mandatário, alguém que não possui interesse no tratamento daquele dado em si, mas que o realiza a mando do controlador.

Sobre o tema em questão, a doutrina pátria encontra-se dividida em relação à qual seria a reponsabilidade civil dos agentes de tratamento constantes na LGPD, a saber, controlador e operador. Alguns autores concluem que a intenção da LGPD é de trazer à tona a responsabilidade objetiva dos agentes de tratamento de dados, elencando o tratamento de dados pessoais como uma atividade de risco inerente, com enorme potencial lesivo aos titulares de dados pessoais.

Contudo, não é possível ajustar com a posição exposta por tais autores, de que a responsabilidade civil dos agentes de tratamento de dados deve ser objetiva, cabendo à jurisprudência e à doutrina, definir o que significa atividade que, por sua natureza, implique risco para os direitos de outrem.

CONCLUSÃO

Como se vê, a LGPD traz mudanças no cenário nacional, sendo necessário que os agentes de tratamento estejam sempre atentos às obrigações existentes na nova legislação, promovendo a adequação de seus processos, políticas e contratos às novas regras, de modo a mitigar a sua exposição aos diversos riscos advindos da tecnologia, em especial, do big data.

Vale ressaltar que a Lei Geral de Proteção de Dados trouxe diversos fundamentos e princípios ao ordenamento jurídico brasileiro, criando normas que fornecem aos titulares amplos direitos e proteções contra o tratamento inadequado de seus dados pessoais. Além disso, citada traz situações nas quais os agentes de tratamento podem ser punidos, por não se adequarem aos padrões de governança trazidos pela LGPD.

Caso os agentes de tratamento não se adequem aos padrões de governança exigidos pela LGPD e sofram algum tipo de violação que traga riscos aos direitos e liberdades fundamentais dos titulares de dados, eles serão punidos por diversas autoridades, como notório é ao longo do texto legal, a exemplo, do artigo 52 da LGPD.

No entanto, caso um agente de tratamento se adeque aos padrões trazidos pela LGPD, mas, mesmo assim sofra com algum tipo de incidente de segurança envolvendo dados pessoais, claro é o texto do artigo 43, caput, e seu inciso II, ao dizer que não haverá sanção ao agente de tratamento que siga os padrões trazidos pela LGPD.

Portanto, resta cristalino ao longo do texto legal, que a responsabilidade civil trazida pela LGPD é não outra, se não a subjetiva.

BIBLIOGRAFIA

BARROSO, Luiz Roberto. DE BARCELOS, Ana Paula. O Começo da História. A Nova Interpretação Constitucional e o Papel dos Princípios no Direito Brasileiro. Revista de Direito, 2003.

BRASIL.LEI Nº 10.406 DE 10 DE JANEIRO DE 2002. Institui o Código Civil. In Portal do Planalto. Brasília, 2002.Disponível em: //www.planalto.gov.br/ccivil_03/leis/2002/l10406compilada.htm

BRASIL. LEI Nº 8.078 DE 11 DE SETEMBRO DE 1990. Institui o Código de Defesa do Consumidor. In Portal do Planalto. Brasília, 1990. Disponível em://www.planalto.gov.br/ccivil_03/leis/l8078compilado.htm

BRASIL. LEI Nº 13.709 DE 14 DE AGOSTO 2018. In Portal do Planalto. Brasília, 2018. Disponível em: //www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm

CACHAPUZ, Maria Cláudia. Modelos de Direito Privado. A Construção de um Conceito de Privacidade, as Cláusulas Gerais e a Concreção de Direitos Fundamentais. Marcial Pons, Editora do Brasil LTDA, São Paulo, 2014.

CASTELLS, Manuel. Cardoso, G.  La Galaxia Internet. A Sociedade da Informação em Rede aos Olhos de Manuel Casttells. Tradução: QUINTANA, Raúl. Barcelona: Plaza. Editora: Jánes. Disponível em: //www.comunidadeculturaearte.com/a-sociedade-da-informacao-em-rede-aos-olhos-de-manuel-castells/. Acesso em: 24/042021.

CORRÊA, Gustavo Testa. Aspectos Jurídicos da Internet. 2ª edição. São Paulo, Editora: Saraiva. 2002.

DEOCLECIO, Helison Lucas. Impactos da nova Lei Geral de Proteção de Dados para os negócios e as Pessoas Naturais Sob a Perspectiva dos Direitos Fundamentais à Privacidade. Jus.com.br.  Disponível em: //jus.com.br/artigos/88132/impactos-da-nova-lei-geral-de-protecao-de-dados-para-os-negocios-e-as-pessoas-naturais-sob-a-perspectiva-dos-direitos-fundamentais-a-privacidade Acesso em: 30/03/ 2021.

DONEDA, Danilo. Prefácio: TEPEDINO, Gustavo. Apresentação: GENCARELLI, Bruno. Da Privacidade à Proteção de Dados Pessoais, fundamentos da lei geral de proteção de dados. 2ª Edição, Revista e atualizada, Editora: Revista dos Tribunais; São Paulo, 2020. (Da sentença do censo alemão) (Directiva 95/46/CE).

SILVA, Felipe Vaz de Mello e. ELIZEU, Pedro Henrique Vilela. Direito, Tecnologia e Sociedade. Organizadores: ELIEZER, Cristina Resende. SOUSA, Lorena R. de C. NUNES, Vitor Ferreira. Editora: Metrics, 2020.

FÚIZA, Cézar. Direito Civil Curso Completo, Edição:17ª, Revista dos Tribunais, Editora: Del Rey, 2013.

FORNASIER, M. de O. BECK, C. CAMBRIDGE ANALYTICA: ESCÂNDALO, LEGADO E POSSÍVEIS FUTUROS PARA A DEMOCRACIA. Revista Direito em Debate, [S. l.], v. 29, n. 53, 2020. DOI: 10.21527/2176-6622.2020.53.182-195. Disponível em: <//www.revistas.unijui.edu.br/index.php/revistadireitoemdebate/article/view/10033.> Acesso em: 24/04/ 2021.

FRAZÃO, Ana. TEPEDINO, Gustavo. OLIVA, Milena Donato. Lei Geral de Proteção de Dados Pessoais e Suas Repercussões no Direito Brasileiro. 2ª triagem, Editora: Revista dos Tribunais, 1ª Edição. São Paulo, 2019.

HAFNER, Kaite. LYON, Matthew. Where Wizards Stay Up Late: The Origins of The Internet. New York: Simon e Schuster, 1996.

LARENZ, Karl. Derecho Civil: Parte General. Traducción Miguel Izquierdo y Macías-Picavea. Madrid: Editoriales de Derecho Reunidas, 1978.

MALDONADO, Viviane Nóbrega Maldonado. BLUM, Renato Opice. LGPD Comentada, Editora: Revista dos Tribunais, São Paulo, 2019.

MARTINS, Argemiro Cardoso Moreira. O Direito Romano e Seu Surgimento no Final da Idade Média. Capítulo 7, Fundamentos de História de Direito, 2002. Disponível em: //www.academia.edu/download/58716840/WOLKMER_2006__Direito_Medieval20190326-94821-44580x.pdf. Acesso em: 24/04/ 2021.

MENDES, Laura Schertel. DONEDA, Danilo. SARLET, Ingo Wolfgang. JUNIOR, Otávio Luiz Rodrigues. Tratado de Proteção de Dados Pessoais. Coordenador Executivo: BIONI, Bruno. Editora: Forense, Gen; Rio de Janeiro, 2021.

MENKE, Fabiano. As Origens Alemãs e o Significado da Autodeterminação Informativa. Migalhas. Disponível em:< //www.migalhas.com.br/coluna/migalhas-de-protecao-dedados/335735/as-origens-alemas-e-o-significado-da-autodeterminacao-informativa> Acesso em: 22/04/2021.

NETO, Eugênio Facchini.  Da responsabilidade Civil no Novo Código Civil. Editora: juslaboris.tst.jus.br, 2020.

PARENTONI, Leonardo. Direito e Tecnologia e Inovação. Organizadores: GONTIJO, Bruno Miranda. LIMA, Henrique Cunha Souza.  vol. 1, Editora: D´Plácido, Belo Horizonte/MG, 2018.

ROSENVALD, Nelson. As Funções da Responsabilidade Civil, a Reparação e Pena Civil. Editora: Saraiva Jur, 3• edição, São Paulo, 2017.

SANTOS, Pablo de Paula S. Responsabilidade Civil: Origem e Pressupostos Gerais. Disponível em: Revista Âmbito Jurídico. 2012 //ambitojuridico.com.br/cadernos/direito-civil/responsabilidade-civil-origem-e-pressupostos-gerais/#:~:text=O%20termo%20responsabilidade%20Civil%2C%20conforme,legais%2C%20que%20lhe%20s%C3%A3o%20impostas. Acesso: 24/04/2021.

SILVA, De Plácido e. Vocabulário Jurídico Conciso. 1 edição, Rio de Janeiro. Editora: Forense, 2010.