O regime de responsabilidade civil dos particulares na LGPD: subjetiva ou objetiva? 

O regime de responsabilidade civil dos particulares na LGPD: subjetiva ou objetiva? 

Flávio Henrique Unes Pereira e Rafael da Silva Alvim*

12 de novembro de 2020 | 15h19

Flávio Henrique Unes Pereira e Rafael da Silva Alvim. Fotos: Divulgação

Inicialmente, é oportuno destacar que a proteção dos dados pessoais, há muito tempo, é identificada pela doutrina mais autorizada – como também por diversos ordenamentos jurídicos ao redor do mundo – como verdadeiro direito fundamental dos cidadãos. Sobretudo no contexto socioeconômico que vivenciamos na atual quadra, fortemente marcada pela relevância das informações, que são trocadas e manipuladas, num ambiente que desconhece fronteiras geográficas ou temporais, com cada vez maior rapidez, o aumento do número de sujeitos com acesso a dados de terceiros “faz com que o estatuto jurídico desses dados se torne um dos pontos centrais que vão definir a própria autonomia, identidade e liberdade do cidadão contemporâneo”.

Nesse sentido, desde o final do último século, vem tomando forma um movimento global na direção (i) do reconhecimento da proteção de dados pessoais como direito fundamental dos cidadãos e, além disso, (ii) do estabelecimento de mecanismos jurídicos – até mesmo supranacionais – de proteção destes mesmos dados e de garantias de seus titulares contra o seu tratamento inadequado, dos quais podem decorrer, inequivocamente, gravíssimos danos à segurança, à intimidade, à vida privada, dentre tantos outros bens jurídicos.

Com atenção ao ordenamento jurídico-constitucional brasileiro, Danilo Doneda assevera, com propriedade, que “o reconhecimento da proteção de dados como um direito autônomo e fundamental não deriva de uma dicção explícita e literal, porém da consideração dos riscos que o tratamento automatizado traz à proteção da personalidade à luz das garantias constitucionais de igualdade substancial, liberdade e dignidade da pessoa humana, juntamente com a proteção da intimidade e da vida privada”.

Nesta ordem de ideias, sem dúvidas, o advento da Lei Geral de Proteção de Dados representa e reforça o compromisso do país com a adoção de boas práticas de governança e de compliance, com vistas a resguardar os direitos dos titulares dos dados pessoais, estabelecendo extenso rol de restrições, obrigações e medidas a cargo dos agentes de tratamento para que incorporem em seus fluxos internos de gestão de dados os preceitos e diretrizes da LGPD.

Vale anotar, ainda, que aprovação de uma norma desta natureza, em perspectiva macroeconômica, sinaliza para o mercado globalizado (investidores externos) que o Brasil  dispõe de um ambiente seguro para receber e tratar dados de entidades estrangeiras, credenciando o país a figurar como local propício à atração de novos investimentos, que forçosamente pressupõem um rígido sistema de controle, fiscalização e accountability de eventuais incidentes envolvendo o tratamento de dados pessoais.

Não por outra razão, a responsabilização e a prestação de contas são princípios expressos da atividade de tratamento de dados pessoais (art. 6º, X), a impor aos agentes de tratamento a demonstração de que foram adotadas “medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas”. De acordo com Bruno Feigelson e Antonio Henrique Albani Siqueira, “além de impor a obrigação de que os agentes mantenham conduta adequada com a legislação de proteção de dados, esse princípio gera a obrigação de responsabilização individualizada do controlador ou do operador em caso de violação”.

Por isso mesmo, a LGPD previu em seu art. 42 verdadeira cláusula geral de responsabilização do controlador ou do operador “que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais”.

Importante destacar, contudo, que a irregularidade no tratamento dos dados pessoais é pressuposto autorizador da responsabilização civil dos agentes de tratamento: neste sentido, estabelece o art. 44 da LGPD que tratamento irregular é aquele que deixe de observar a legislação (violação à legislação de proteção de dados pessoais) ou que não forneça “a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes”, tais como o modo pelo qual é realizado (inciso I); o resultado e os riscos que razoavelmente dele se esperam (inciso II); e as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado (inciso III).

A Lei Geral de Proteção de Dados estabelece, a propósito, medidas para assegurar a efetiva indenização ao titular dos dados, tais como a responsabilidade solidária entre controlador e operador (art. 42, § 1º, I e II) e a possibilidade de que o Magistrado determine a inversão do ônus da prova (art. 42, § 2º).

Ainda em atenção ao que estabelece o seu art. 42, cabe indagar se a responsabilidade civil por danos decorrentes de tratamento de dados pessoais é de natureza objetiva ou subjetiva. Há quem entenda que, por não mencionar expressamente a necessidade de demonstração de culpa, o art. 42 da LGPD “configura a responsabilidade civil objetiva no que diz respeito aos danos (morais, materiais e coletivos) causados em razão do exercício da atividade de tratamento de dados, sendo necessário comprovar apenas o nexo causal entre o ato ilícito e o dano, além da inexistência das causas excludentes de responsabilização (…)”.

Cabe, aqui, tecer um breve comentário. Antes de decorrer a responsabilidade objetiva do silêncio do legislador acerca da necessidade de comprovação de culpa do agente causador do dano, extrai-se ela, na verdade, de expressa disposição legislativa neste sentido. É dizer: não se pode inferir a responsabilidade objetiva da mera ausência de menção à necessidade de comprovação de culpa. A responsabilidade civil objetiva deve decorrer da dicção legal de forma expressa, clara, a exemplo do que ocorre com os arts. 12 e 14 do Código de Defesa do Consumidor.

Mais do que isso: como visto, a responsabilidade civil objetiva, por não decorrer da conduta dolosa ou culposa (lato sensu) do agente, se dá independentemente da ilicitude do dano. O que importa, para fins de responsabilização objetiva, é a existência do dano e o nexo de causalidade entre a conduta do agente e o evento lesivo suportado pelo atingido. Afigura-se-nos, pois, impróprio defender que, para fins de responsabilização objetiva do agente, seria “necessário comprovar apenas o nexo causal entre o ato ilícito e o dano” – porque, repita-se, a caracterização do dever objetivo de indenizar independe da ilicitude do ato.

A propósito, o art. 43 da LGPD, ao apresentar rol taxativo de circunstâncias excludentes do dever de indenizar, afasta a responsabilidade dos agentes de tratamento (controlador e operador – art. 5º, IX) caso demonstrem (i) que não realizaram o tratamento de dados pessoais que lhes é atribuído (inexistência de autoria); (ii) que, embora tenham realizado o tratamento, não houve violação à legislação de proteção de dados (licitude da conduta); ou, por fim, que (iii) o dano é decorrente de culpa exclusiva do titular dos dados pessoais ou de terceiro (fato exclusivo da vítima ou fato de terceiro).

De se notar, portanto, que a Lei Geral de Proteção de Dados não se afastou do regime jurídico da responsabilidade civil envolvendo a reparação de danos entre particulares, prevendo hipóteses de exclusão da responsabilidade já conhecidas da teoria geral atinente à disciplina: o art. 43, I, trata da negativa de autoria – de sorte que inexistiria, nesta hipótese, conduta do particular da qual se pudesse estabelecer liame de causalidade com dano experimentado pelo titular dos dados pessoais.

De seu turno, o art. 43, III, também afeta a própria existência do nexo de causalidade, ao estabelecer como exceção à responsabilização do agente de tratamento de dados a culpa exclusiva do próprio titular dos dados pessoais ou de terceiro.

Entretanto, o art. 43, II, prevê hipótese de demonstração da licitude da conduta – sendo oportuno ressaltar, contudo, que a inobservância da legislação de proteção de dados não é a única causa de irregularidade do tratamento de dados – podendo ela ocorrer também “quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes” (de acordo com o já mencionado art. 44). 

Aqui, para fins de afastamento da responsabilidade do agente de tratamento dos dados pessoais, tem incidência o pressuposto da ilicitude da conduta da qual decorra dano ao titular do bem jurídico lesado: isto é, só estará o agente de tratamento de dados exonerado da responsabilização pelos danos se e quando demonstrar que sua conduta se deu em conformidade com a lei. Ora, sabe-se que a culpa, em linhas gerais, consubstancia a violação de um determinado dever jurídico. Daí decorre que, ao invocar a causa excludente do art. 43, II, da LGPD, o autor do dano estará, forçosamente, vinculado à demonstração de que sua conduta não feriu qualquer dever jurídico imposto pela legislação de proteção de dados. Isto é: para além de ser indiferente a licitude da conduta para fins de responsabilidade civil objetiva (daí, portanto, a incompatibilidade do art. 43, II, com a teoria da responsabilidade objetiva), a causa de afastamento da responsabilidade prevista no art. 43, II, da LGPD pressupõe demonstração de que o agente agiu em conformidade com a legislação aplicável.

Daí a se autorizar, rogando vênias aos respeitáveis entendimentos em contrário, nas hipóteses em que os agentes de tratamento de dados sejam particulares – a incidência da responsabilidade civil subjetiva no contexto da indenização de danos causados aos titulares de dados pessoais.

Este, em linhas geral, é o regime geral da responsabilidade civil por danos decorrentes do tratamento de dados pessoais no âmbito da LGPD.

*Flávio Henrique Unes Pereira, doutor e mestre em Direito Administrativo (UFMG). Professor e coordenador do mestrado profissional do IDP/SP. Presidente da Comissão Especial de Proteção de Dados da OAB Federal. Sócio de Silveira e Unes Advogados.

*Rafael da Silva Alvim, especialista em Direito Administrativo (IDP). Membro da Comissão de Direito Administrativo da OAB/DF. Sócio de Dutra e Associados Advocacia.

Comentários

Os comentários são exclusivos para assinantes do Estadão.