De quem é a responsabilidade legal pelo tratamento de dados pessoais?

A LGPD prevê, desde agosto de 2021, sanções administrativas a agentes de tratamento e eventual responsabilização na esfera civil nos casos em que se verificar o tratamento de dados pessoais em desconformidade com a lei.

Existe um debate a respeito da natureza da responsabilidade civil prevista nos artigos 42 a 45 da LGPD. A controvérsia gira em torno da aplicabilidade da responsabilidade subjetiva – aquela oriunda de uma conduta voluntária ou de uma conduta negligente, imperita ou imprudente – ou da responsabilidade objetiva – aquela que independe de culpa, bastando a prova do dano e do nexo de causalidade.

Para entender melhor o tema, Jeniffer Gomes, sócia do Galdino & Coelho Advogados, publicou um artigo na Revista Eletrônica da PGE-RJ que aborda os principais argumentos que permeiam a discussão sobre a responsabilidade civil dos agentes de tratamento e apresenta diretrizes para o melhor enquadramento da temática à luz do ordenamento jurídico pátrio.

Leia na íntegra: https://revistaeletronica.pge.rj.gov.br/index.php/pge/article/view/256/198

ABREU, Jacqueline de Souza. From Jurisdictional Battles to Crypto Wars: Brazilian Courts v. WhatsApp. Columbia Journal of Transnational Law Online Edition, 17 de outubro de 2016.

ACCIOLY, Hildebrando; NASCIMENTO E SILVA, G. E. do; CASELLA, Paulo Borba. Manuel de Direito Internacional Público. 24ª ed. São Paulo: Saraiva, 2019.

BIONI, Bruno Ricardo. Compreendendo o conceito de anonimização e dado anonimizado. Cadernos Jurídicos – Direito digital e proteção de dados pessoais. São Paulo: Escola Paulista de Magistratura, ano 21, n. 53, janeiro-março 2020.

BIONI, Bruno Ricardo. Nota do coordenador. São Paulo: Revista do Advogado, n. 144, nov., 2019.

BIONI, Bruno Ricardo. País precisa ser competitivo em uma economia de dados. Valor Econômico, 19 jul 2018.

BIONI, Bruno Ricardo. Abrindo a caixa de ferramentas da LGPD para dar vida ao conceito ainda elusivo de Privacy by design. In: DE LUCCA, Newton; SIMÃO FILHO, Adalberto; LIMA, Cíntia Rosa Pereira de. (Org.). Direito & Internet IV - Sistema de Proteção de Dados Pessoais. São Paulo: Quartier Latin, v. 1, 2019.

BRUNO, Marcos Gomes da Silva. Da responsabilidade e do ressarcimento de danos. In: MALDONADO, Viviane Nóbrega; BLUM, Renato Opice. LGPD: Lei Geral de Proteção de dados comentada. São Paulo: Revista dos Tribunais, 2019.

CORDEIRO, António Menezes. Tratado de direito civil português, vol. II, t. III: gestão de negócios, enriquecimento sem causa, responsabilidade civil. Coimbra: Almedina, 2010.

CORDEIRO, António Barreto Menezes. Repercussões do RGPD sobre a responsabilidade civil. In: TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena Donato (coords.). Lei Geral de Proteção de Dados Pessoais e suas repercussões no Direito Brasileiro. São Paulo: Revista dos Tribunais, 2019.

CORDEIRO, António Barreto Menezes. Da responsabilidade civil pelo tratamento de dados pessoais. In: BARBOSA, Mafalda Miranda; ROSENVALD, Nelson; MUNIZ, Francisco (Coord.). Desafios da nova responsabilidade civil. São Paulo: Editora JusPodivm, 2019, p. 49-64.

COSTA, Luiz. Privacy and the precautionary principle. Computer Law & Security Review, 28 (2012), 14-24.

COTS, Márcio; OLIVEIRA, Ricardo. Lei geral de proteção de dados pessoais comentada. 3. ed. São Paulo: Revista dos Tribunais, 2019.

GUEDES, Gisela Sampaio da Cruz. Regime de responsabilidade adotado pela lei de proteção de dados brasileira. Caderno especial LGPD, p. 167-182. São Paulo: Revista dos Tribunais, nov. 2019.

MENDES, Laura Schertel; DONEDA, Danilo. Reflexões iniciais sobre a nova lei geral de proteção de dados. São Paulo: Revista dos Tribunais, vol. 120, 2018, p. 469-483, nov.-dez. 2018.

MIRAGEM, Bruno. Curso de direito do consumidor. 6. ed. São Paulo: Revista dos Tribunais, 2016. MIRAGEM, Bruno. A internet das coisas e os riscos do admirável mundo novo. Consultor Jurídico, 29 mar. 2017.

MORGENROTH, Sven. GDPR Article 32: Security of Data Processing. Disponível em: <https://www.netsparker.com/blog/web-security/gdpr-article-32-security-data-processing/>. Acesso em: 30 mar. 2020.

MULHOLLAND, Caitlin Sampaio. Palestra no Webinar IBERC #2 – A Responsabilidade Civil na Lei Geral de Proteção de Dados. Instituto Brasileiro de Estudos em Responsabilidade Civil – IBERC, 19 set. 2019.

PINHEIRO, Patricia Peck. Proteção de dados pessoais: comentários à lei n. 13.709/2018 (LGPD). São Paulo: Saraivajur, 2018.

REINIG, Guilherme Henrique Lima. A responsabilidade do produtor pelos riscos do desenvolvimento. São Paulo: Atlas, 2013. SCHERTEL, Laura Mendes; DONEDA, Danilo. Reflexões iniciais sobre a nova lei geral de proteção de dados. São Paulo: Revista dos Tribunais, vol. 120/2018, p. 469 – 483, Nov - Dez/2018.

A Lei Geral de Proteção de Dados Pessoais (LGPD) completou neste mês de agosto quatro anos desde sua sanção, como Lei nº 13.709 de 2018. Embora possam ser comemorados vários avanços em diversos aspectos do tripé “cultura, sistemas e regras”, ainda restam muitas pendências e desafios sérios a serem enfrentados para que se possa dizer que o Brasil realmente construiu um contexto protetivo efetivo. Entre essas carências, merece atenção a responsabilidade civil no âmbito do tratamento de dados pessoais.

Quais as controvérsias na responsabilidade civil dos agentes de tratamento?

Da produção à eliminação, passando por coleta, reprodução, modificação, arquivamento e até transferência internacional, o imenso universo de diferentes operações envolvendo dados pessoais é abarcado na LGPD sob o amplo conceito de “tratamento”. E são denominados agentes de tratamento quem exerce as operações com dados pessoais, divididos nas figuras do controlador (que decide sobre o tratamento) e do eventual operador (que realiza as operações em nome daquele, numa situação de “terceirização” do tratamento), sendo oportuno ainda o papel do encarregado (que intermedeia a comunicação dos agentes com titulares de dados e com o poder público).

A partir da premissa de que a responsabilização dos agentes é um dos princípios legais a serem observados nas atividades de tratamento de dados pessoais, no capítulo que regula os agentes a LGPD dedica uma seção a tratar particularmente “Da Responsabilidade e do Ressarcimento de Danos”, com os artigos 42, 43, 44 e 45. Todavia, a ausência de algumas definições abre espaço para discussões, notadamente sobre o regime de responsabilidade e o que configura o dano indenizável.

Objetiva ou subjetiva: qual o regime de responsabilização civil na LGPD?

Na sistemática da responsabilidade civil, tradicionalmente, atribuía-se o dever de indenizar apenas à pessoa que cometeu um ato ilícito causador de um dano. A ilicitude trazia consigo a configuração da culpa dessa pessoa, seja pela irregularidade no ato próprio, seja por um ato de outra pessoa que por aquela foi mal selecionada (culpa in eligendo) ou mal supervisionada (culpa in vigilando), ou ainda por falta de cuidado com certas coisas ou animais (culpa in custodiando).

A evolução desse campo do direito diante da maior complexidade da sociedade, com circunstâncias que dificultam a verificação da culpa (notadamente acidentes do trabalho e acidentes em meios urbanos de transporte), provocou a adoção do regime objetivo: em detrimento de punir a pessoa culpada, privilegia-se a reparação da vítima, atribuindo-se o dever de reparar a alguém (em regra, uma pessoa jurídica, como o Estado ou uma empresa) mesmo que efetivamente não tenha nenhuma culpa e não tenha feito nada de errado. Diante do maior risco decorrente das atividades, essa injustiça aparente na imposição da obrigação se compensa pela facilitação do mecanismo de indenização da vítima, gerando segurança jurídica de que o ordenamento legal ampara quem tiver seus direitos violados.

No Brasil, essa abordagem se consolidou ao ser expressa na Constituição Federal, no Código de Defesa do Consumidor e no Código Civil de 2002. Ainda cabe a responsabilidade civil subjetiva em muitas situações, mas pode-se afirmar que na maioria das vezes é irrelevante verificar a culpa da pessoa jurídica que vai assumir o dever de indenizar.

Apesar de muito se assemelhar à redação do Código de Defesa do Consumidor, a LGPD não prevê expressamente o dever de reparar “independentemente da existência de culpa”, no que estipularia o regime de responsabilidade civil objetiva. Por outro lado, três aspectos indicam tampouco se tratar do regime subjetivo: no que típico da responsabilidade objetiva, ao tratar do nexo causal, a LGPD atribui aos agentes o ônus invertido de, para não serem responsabilizados, provarem que não realizaram o tratamento, não houve violação da lei ou não causaram a violação; ela se pauta pelo risco, ao definir como irregular todo tratamento que não observa a lei ou não fornece “a segurança que o titular dele pode esperar”; e ela não exime os agentes de responsabilidade pela mera adoção de medidas de proteção de dados pessoais.

A doutrina se bifurca entre quem defende a responsabilidade objetiva (Danilo Doneda e Laura Schertel, Caitlin Mulholland, Sthéfano Bruno e Taisa Marina) ou subjetiva (Gisela  Sampaio, Rose Meireles, Antonio Freitas, Carlos Nelson Konder, Marco Antônio De Almeida Lima) , e ainda há quem defenda que certas situações atraem um ou outro regime (Anderson Schreiber, Bruno Bione e Daniel Dias, Camila Ferrão, Jeniffer Gomes e Vinicius Padrão). Em proposta criativa, Maria Celina Bodin e João Quinelato enxergam uma terceira modalidade, que chamam de responsabilidade civil proativa.

Dano ou prejuízo: quais os pressupostos para a reparação civil nas ofensas à LGPD?

Além da conduta e do nexo causal, o dano é pressuposto para a reparação civil: se não houver dano, não há efetivamente o que ser reparado. Emerge, pois, a questão: o que configura o dano, ou, quais situações dão ensejo ao dever de reparação?

Entendo que qualquer vazamento de dados pessoais gere o direito à indenização por dano moral. Da mesma forma, qualquer falha nos deveres de transparência ativa e comunicação de incidentes. Essa conclusão, no entanto, depende da compreensão de que o dano corresponde a qualquer violação de direito, e não depende de um prejuízo financeiro.

Ao meu ver, a LGPD se alinha a essa perspectiva: quando afirma a obrigação do controlador e do operador em reparar, fala em dano tanto patrimonial quanto moral. Mas é fato que ela não explicita o que configura dano moral em termos de dados pessoais, abrindo margem para debate. Há quem considere ser necessária a demonstração de alguma repercussão negativa, interna à pessoa ou externa, em caráter público, para além da violação da lei.

Várias notícias, relatórios, artigos de opinião, trabalhos acadêmicos, registram que as decisões judiciais atuais se dividem: algumas concedem indenização apenas pelo fato do vazamento, o que se chama de dano in re ipsa (do latim “na coisa em si”); outras condicionam o pagamento à verificação de que esse fato foi causa de algum (outro) dano à pessoa titular, ou “reverberações do referido compartilhamento irregular”.

Como avançar nesse cenário de controvérsias?

Há algum tempo tenho afirmado que muitas das discussões mais contemporâneas sobre responsabilidade civil, sobretudo envolvendo tecnologias digitais, são reflexos de uma série de controvérsias oriundas da própria disciplina jurídica da responsabilidade civil. Nessa linha, entendo que, tanto quanto o Marco Civil da Internet, também a LGPD vem expor a necessidade de um amadurecimento do regime jurídico brasileiro de responsabilidade civil. O que se pode fazer diante desse cenário? De onde podem vir soluções para os impasses?

Penso que, de imediato, tanto em casos concretos, quanto no exame de teses em abstrato, cabe ao Poder Judiciário o papel institucional de afirmar a garantia constitucional de proteção de dados pessoais, assegurando sua máxima efetividade. Entendo que o melhor desempenho desse papel passa por asseverar que, primeiro, por menor que seja, toda e qualquer violação de direitos previstos na LGPD impõe um dever de compensação ao titular dos dados pessoais afetados, ainda que a indenização tenha um valor reduzido, ainda que a condenação se limite a uma obrigação de fazer; e, segundo, a prevalência do regime objetivo de responsabilização dos agentes de tratamento.

E no longo prazo, de um lado, cabe à Autoridade Nacional de Proteção de Dados a atribuição de regulamentar as adequações dessas linhas jurídicas gerais a cada contexto setorial, de maneira específica, eventualmente transitória, considerando economia, tecnologia, sociologia, política etc., em uma perspectiva complexa que demanda o apoio multisetorial do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. E do outro lado, cabe ao Congresso Nacional, caso seja necessário, promover aprimoramentos nas previsões expressas na LGPD, ao evidenciar na letra da lei, por exemplo, que se trata de um regime objetivo de responsabilidade, e que o ressarcimento dos danos é cabível mesmo que não haja prejuízos financeiros.

E as demais pendências e desafios?

Em paralelo a essas numerosas questões envolvendo a responsabilidade civil, é profusa a lista de temas que tangenciam a área da proteção de dados. Por exemplo, Rafaela Ferreira abordou os riscos para dados biométricos no contexto da realidade estendida.

E outros itens igualmente interessantes (ética, inteligência artificial, intervenção humana, segurança da informação, aplicação da LGPD no setor público, estrutura jurídica da ANPD, contemporaneidade no Sul-Global) foram explorados com muita riqueza durante o 13º Seminário de Proteção à Privacidade e Aos Dados Pessoais, realizado pelo Comitê Gestor da Internet no Brasil e pelo Núcleo de Informação e Coordenação do Ponto BR, nos dias 17 e 18 de agosto em São Paulo (SP).

Os vídeos do evento estão todos disponíveis no canal do NIC.br no YouTube, incluindo minha participação ao lado de Eduardo Tomas e Vicius Filho (USP), Giovanna Ventre (Google), Gisela Sampaio (UERJ/BMA Advogados) e Caitlin Mulholland (PUC-Rio/Comissão de Programa) no painel que serviu de inspiração para este texto.

As opiniões e perspectivas retratadas neste artigo pertencem a seu autor e não necessariamente refletem as políticas e posicionamentos oficiais do Instituto de Referência em Internet e Sociedade.

De quem é a responsabilidade legal pelo tratamento dos dados pessoais?

De quem é a responsabilidade de aplicar corretamente as medidas de tratamento de dados?

Quem é o Encarregado pelo tratamento de dados pessoais?

Quem responde pelo vazamento de dados na LGPD?