O art. 42 da LGPD estabelece que o agente de tratamento que, na realização do tratamento de dados pessoais, causar dano a outrem, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. Não basta, por conseguinte, o desenvolvimento da atividade de tratamento causadora de um dano para se configurar a responsabilidade civil dos agentes de tratamento, pois essa responsabilidade pode ser atribuída tão-somente quando o tratamento for considerado violador da legislação de proteção aos dados pessoais, ou seja, quando for ilícito. Frente à exigência do ilícito, também resta descartada uma responsabilidade civil objetiva centrada no risco como critério de imputação, seja qual risco for, da atividade, proveito, criado ou profissional.
Qual seria, então, a forma da responsabilidade civil na LGPD?
Para alcançar a resposta é preciso voltar ao primeiro passo no caminho da interpretação e analisar o enunciado normativo interpretado. O texto do artigo 42 apresenta os seguintes elementos necessários para a responsabilização civil dos agentes de tratamento: i) realização do tratamento; ii) violação à legislação de proteção de dados pessoais; iii) nexo de causalidade e; iv) dano a outrem. O art. 43 da LGPD, ainda, define que não haverá responsabilidade civil dos agentes de tratamento quando demonstrado que: i) não foi realizado o tratamento; ii) não houve ilícito ou; iii) o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros.
Ademais, a fundamentação da responsabilidade civil na LGPD tem como enunciado normativo chave o do seu artigo 44 que define um dever geral de segurança aos agentes de tratamento, cuja violação geradora de danos a outrem ensejará a responsabilização civil.
Nesse contexto, a violação à legislação de proteção de dados pessoais (elemento essencial para a imputação da responsabilidade civil dos agentes de tratamento) pode ocorrer através de ilícitos específicos, caracterizados pela contrariedade a deveres expressamente estabelecidos em lei para o tratamento de dados, mas também por uma forma de ilícito geral, própria desse sistema protetivo.
O ilícito geral na LGPD pode ser compreendido pela falta ao dever de segurança em termos similares aos da disciplina jurídica do Código de Defesa do Consumidor (CDC) para a responsabilidade civil pelo fato do serviço. No direito do consumidor o dever geral de segurança está fundado no elemento defeito, pois o produto ou serviço é considerado defeituoso e, assim, ensejador da responsabilidade civil do fornecedor, quando não oferece a segurança que legitimamente se pode esperar. Do mesmo modo, mantendo a coerência sistemática, o tratamento irregular previsto no art. 44 da LGPD ocorre quando da quebra de legítimas expectativas quanto à segurança dos processos de tratamento de dados. Poderia se falar, por conseguinte, de um defeito no tratamento de dados pessoais ou, caso se queira manter a nomenclatura da própria LGPD, de um tratamento irregular. O mais relevante é perceber que além dos ilícitos específicos, o sistema estabeleceu uma forma de ilícito geral própria do sistema de proteção de dados pessoais, fundamentada na responsabilidade civil do agente que realizar um tratamento irregular (ilícito), seja por violar algum dever específico imposto pela legislação, seja por violar o dever geral de segurança no tratamento de dados pessoais.
Assim, ainda que se reconheça que a falta ao dever de segurança se aproxima da análise da culpa em sentido estrito - entendida como falta ao dever de cuidado5 - é necessário concluir que o regime de responsabilidade civil centrado no ilícito geral decorrente de um tratamento irregular define uma responsabilidade objetiva especial. A avaliação do cumprimento ao dever geral de segurança conforme o que legitimamente é possível esperar do agente na realização do tratamento dos dados pessoais, acaba por exigir uma análise objetiva que parta de padrões – standards - de conduta como critério para se avaliar objetivamente se o tratamento forneceu a segurança esperada ou foi irregular (defeituoso) pela falta ao dever de segurança. Também a análise da boa-fé objetiva, nessa linha, se mostra relevante na comparação objetiva dos padrões de segurança com as condutas de tratamento realizadas por controlador e operador.
Pela existência desse dever geral de segurança imposto no art. 44 citado, as medidas de compliance, a comprovação de boas práticas e as certificações são, igualmente, elementos relevantes no âmbito da análise da responsabilidade civil na LGPD. A Autoridade Nacional de Proteção de Dados terá, portanto, um papel destacado ao fixar os níveis de segurança, seja diretamente, através do poder normativo do agente regulador ou, indiretamente, através da possibilidade de delegar essa determinação dos padrões de segurança à autorregulação dos diversos setores do mercado.
Nenhum comentário:
Postar um comentário
Qualquer sugestão ou solicitação a respeito dos temas propostos, favor enviá-los. Grata!