A responsabilidade civil na Lei Geral de Proteção de Dados

 

Walter Aranha Capanema1

Advogado e professor

Sumário: Introdução. 1. A responsabilidade civil na LGPD. 2. Exclusão da responsabilidade civil. 2.1. Hipóteses de exclusão. 2.2. Vulnerabilidades e 0 days. 3. Critérios para a definição do quantum indenizatório. 4. Exemplos pontuais de responsabilidade civil na LGPD. 4.2. O não-atendimento dos direitos do titular. 4.3. O spam e o tratamento ilegal.  Conclusão. Bibliografia.

Resumo: Este artigo pretende traçar um panorama sobre as normas relativas à proteção de dados na Lei 13.709/2018 (Lei Geral de Proteção de Dados – LGDP), buscando, também, sugerir formas de aplicação.

Palavras-chave: Responsabilidade Civil. Proteção de Dados. Dados Pessoais. Privacidade. Intimidade. LGPD.

Introdução

O legislador brasileiro, com o seu costumeiro atraso em acompanhar os avanços da sociedade e da tecnologia, somente em 2018 se preocupou em regular com efetividade a proteção de dados pessoais, o que ocorreu com a edição da Lei 13.709/2018, a denominada Lei Geral de Proteção de Dados (LGPD).

É verdade que já existiam outras leis que tratavam, de alguma forma, sobre o tema, como o Código de Defesa do Consumidor, o Marco Civil da Internet (Lei 12.965/2014), a Lei de Acesso à Informação (Lei  12.527/2011), a Lei do Cadastro Positivo (Lei 12.414/2011), dentre outras.

A LGPD coloca o indivíduo (a quem denomina de “titular”2 ), como protagonista das relações jurídicas que envolvam o tratamento de dados, não só porque regula a proteção de dados pessoais, mas, principalmente, elege como fundamento em seu art. 2º, II, a “autodeterminação informativa”, que consiste no direito de escolher quais dados serão usados, bem como os limites e o prazo dessa utilização.

A autodeterminação, portanto, é garantida pela previsão de vários direitos no Capítulo III, especialmente no art. 18, como o de informação (I), de acesso (II), de correção (III), de portabilidade (V), de eliminação (VI), dentre outros

Por sua vez, esses direitos correspondem a um rol de deveres voltados a quem exerce a atividade de tratamento de dados. A LGPD diferencia esses deveres conforme a relação destes com o tratamento, denominando aquele que exerce a decisão sobre o tratamento de controlador , enquanto aquele que executa o tratamento, sob as ordens do controlador, de operador . Juntos, eles são os “agentes de tratamento”.

Sob uma visão civilista, o controlador seria o mandante, e o operador, o mandatário. Talvez possa se aventar a hipótese de que a relação controlador-operador constitua modalidade especial de mandato, própria das relações que envolvam tratamento de dados pessoais. Há ainda nessa relação jurídica um outro ator: o encarregado , pessoa natural ou jurídica, integrante ou não dos quadros do controlador ou do operador, que exerça, dentre outras funções, a intermediação entre os demais atores, especialmente a Autoridade Nacional de Proteção de Dados (ANPD) e, ainda, orienta a aplicação das normas de proteção de dados.

Essa complexa relação de múltiplos atores e deveres aqui relatada em resumo evidencia o desafio que as empresas privadas e órgãos públicos encontrarão para estar em conformidade com a LGPD. Os efeitos do não-atendimento passam não só pelas sanções administrativas que podem ser eventualmente impostas pela ANPD, mas em maior escala, por ações de responsabilidade civil.

A questão da responsabilidade civil, por estar relacionada necessariamente a ações judiciais, é talvez o aspecto da LGPD que mais interessa ao Poder Judiciário e, portanto, será analisada neste artigo.

1. A responsabilidade civil na LGPD

A responsabilidade civil está regulamentada na Seção III do Capítulo VI da LGPD, intitulada de “Da Responsabilidade e do Ressarcimento de Danos”. É importante ressaltar que tais normas não serão aplicáveis em todos os casos envolvendo responsabilidade civil, podendo, dependendo da relação jurídica, ceder espaço a normas específicas, como o  Código de Defesa do Consumidor, o que, inclusive, é expressamente reconhecido pela LGPD em seu art. 4510.

A responsabilidade surge do exercício da atividade de proteção de dados que viole a “legislação de proteção de dados”. Por essa expressão, o legislador reconhece que a proteção de dados é um microssistema, com normas previstas em diversas leis,sendo a LGPD a sua base estrutural. Deve-se aqui fazer uma analogia com o conceito de “legislação tributária” do art. 96 do CTN11, para incluir não apenas as leis que versem sobre

a proteção de dados, mas as normas administrativas regulamentares que serão expedidas pela Autoridade Nacional de Proteção de Dados ou por outras entidades.

Mas a responsabilidade civil na LGPD não surge apenas da violação do microssistema jurídico de proteção de dados. É preciso interpretar o art. 42, caput em conjunto com o art. 44, parágrafo único, que assim dispõe:

Parágrafo único. Responde pelos danos decorrentes da violação da

segurança dos dados o controlador ou o operador que, ao deixar

de adotar as medidas de segurança previstas no art. 46 desta Lei,

der causa ao dano.

O art. 46, por sua vez, estabelece que os agentes de tratamento deverão adotar medidas de segurança, técnicas e administrativas visando a proteção de dados pessoais. Tais normas podem ser editadas, inclusive, pela ANPD14.

Pela complexidade da atividade de segurança da informação, devem ser consideradas apenas aquelas medidas previstas em padrões devidamente reconhecidos, como as denominadas normas ISO15.

Dessa forma, é possível identificar duas situações de responsabilidade civil na LGPD:

a) violação de normas jurídicas, do microssistema de proteção de dados;

b) violação de normas técnicas, voltadas à segurança e proteção de dados pessoais.

E, evidentemente, só caracterizará a responsabilidade civil, se a violação de norma jurídica ou técnica ocasionar dano material ou moral a um titular ou a uma coletividade.

O art. 42 restringe a responsabilidade civil ao controlador ou ao operador. A presença da conjunção alternativa “ou” estabelece a alternância entre um (controlador) ou o outro (operador). Obviamente, se a relação jurídica do titular com o controlador e o operador for de natureza consumerista, serão aplicadas as normas de responsabilidade solidária dos arts. 12 e 18 do CDC.

O § 1º excepciona a regra de alternância do caput, permitindo a solidariedade em dois casos específicos, com vistas a “assegurar a efetiva indenização ao titular dos dados”. No inciso I, o operador responderá solidariamente em duas situações: caso descumpra a legislação de proteção de dados ou se não seguir “as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador”. É muito semelhante, nesse caso, na situação do mandatário que descumpre as instruções do mandante, conforme o

art. 679, CC16.

Já no inciso II, ocorrerá a solidariedade entre “os controladores que estiverem diretamente envolvidos no tratamento”, ou seja, aqueles que estabelecerem, em conjunto, decisões que violem o microssistema da proteção de dados ou às normas técnicas cabíveis.

Tais hipóteses de solidariedade estarão afastadas caso presentes as hipóteses de exclusão de  responsabilidade, previstas no art. 43.

A LGPD não fala na responsabilidade civil do encarregado, contudo ela poderá surgir, por exemplo, quando essa função for exercida por uma pessoa natural ou jurídica destacada do controlador e do operador em uma relação consumerista. Por se estar diante de alguém que está na cadeia de produção, poderá ser responsabilizado de forma solidária pelo dano causado.

O § 2º admite a inversão do ônus da prova, a critério do juiz, a favor do titular de dados, desde que verossímil a alegação, haja hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular for excessivamente onerosa. Há normas sobre a redistribuição/inversão do ônus da prova em outras leis: uma muito semelhante no art. 373, § 1º do CPC17 e outra no art. 6º, VIII do CDC18, aplicável nas ações de natureza consumerista, exigindo menos requisitos.

Além da inversão do ônus probatório, o reconhecimento da hipossuficiência do titular

também se verifica no fato de que a responsabilidade civil da LGPD ser da modalidade objetiva,

onde não há discussão sobre a culpa do agente.

2. Exclusão da responsabilidade civil

2.1. Hipóteses de exclusão

As hipóteses de exclusão da responsabilidade civil estão previstas no art. 43 da LGPD. O inciso I trata da situação em que o agente não realizou o tratamento de dados a que lhe foi atribuído. Ou seja, houve um tratamento de dados, mas o réu não tem qualquer vínculo com ele. Aproxima-se muito da figura da ilegitimidade passiva, que a LGPD trata como matéria de mérito.

Já o inciso II exclui a responsabilidade na situação em que o agente realizou o tratamento, mas “não houve violação à legislação de proteção de dados”. Aqui, o dano ocorreu por um ato lícito.

Seria o caso, por exemplo, de uma decisão automatizada, baseada em critérios transparentes, informados (presentes em termos de uso) e sem viés, que negue um empréstimo a um possível consumidor. O presente inciso prevê expressamente apenas a situação em que não houve violação à proteção de dados. Deve-se interpretar este artigo em conjunto com os arts. 42, 44, 46 e parágrafo único, conforme as razões já apresentadas, de modo a admitir, também a alegação de ausência de violação de norma técnica.

A alegação de culpa exclusiva do titular ou de terceiro está prevista no inciso III do art. 43. Serão os casos em que o dano for causado por exclusiva ingerência do titular, por terceiro, ou por uma atuação conjunta do titular com o terceiro.

Mas, ainda assim, caberão alguns questionamentos. Imagine a situação em que houve a invasão da conta de e-mail de um usuário, com a destruição de todas as suas mensagens. Tal fato só ocorreu porque a senha utilizada pelo titular era fraca, com apenas quatro caracteres, e foi facilmente descoberta. 

Poder-se-ia aqui falar em culpa exclusiva do titular? Caberia aos agentes de tratamento verificar a

segurança da senha criada pelo usuário e impedir o uso daquelas que fossem frágeis?

Existe norma técnica estabelecendo essa obrigação?

(...)

3. Critérios para a definição do quantum indenizatório

O art. 944 do Código Civil dispõe que “A indenização mede-se pela extensão do dano”.

E a extensão de um dano relativo à proteção de dados poderá levar em consideração os seguintes critérios:

a) a quantidade de dados pessoais afetados;

b) a natureza dos dados pessoais afetados: o vazamento de dados pessoais sensíveis, por exemplo, determinará uma indenização maior, especialmente se se tratar de dados biométricos, que não podem ser substituídos;

c) a reincidência da conduta;

d) a omissão em tomar medidas de segurança e técnicas para minorar o dano ou em colaborar com a Autoridade Nacional de Proteção de Dados;

e) a ausência de notificação dos usuários da ocorrência do incidente23;

f) a comprovada utilização dos dados pessoais vazados de titulares por terceiros.

4. Exemplos pontuais de responsabilidade civil na LGPD

Embora a LGPD ainda não esteja em vigor, é possível pensar em alguns exemplos de responsabilidade civil.

(...)

Conclusão

É fundamental que os operadores do Direito conheçam as regras da LGPD. A complexidade dessas normas é um desafio, mas é necessária a sua compreensão da parte do titular, para defender seus direitos em juízo e, por parte dos agentes, para a prevenção e minimização dos riscos de eventuais ações judiciais.

É preciso, portanto, conjugar a adequação à lei com uma mudança de cultura nas empresas e órgãos públicos. Os titulares e os seus dados merecem respeito

Fonte: Cadernos Jurídicos da Escola Paulista da Magistratura, A responsabilidade civil na Lei Geral de Proteção de Dados, Walter Aranha Capanema, Advogado e professor