Afirma-se,* contemporaneamente, que “o direito a danos tem uma especificidade clara e distinta se for analisado do ponto de vista do remédio típico que é paradigmático: as ações de reparação e compensação de danos. Somente os remédios dão unidade ao direito dos danos”.1 Com efeito, a cada dia tem-se mais e mais hipóteses de regimes especiais diferenciados, tornando impossível a tarefa de sistematizar a matéria da responsabilidade civil.

Para um exemplo, basta pensar em quantos regimes diferentes temos apenas ao interno do Código Civil.2 Quanto à diversidade de hipóteses de responsabilidade civil especial, o que ocorre no Brasil também se dá na Espanha. Veja-se, a propósito o que diz Pablo Salvador:

(…) hoy en día, en un país occidental tecnológicamente avanzado es crecientemente difícil de concebir que una abogada esté especializada, al mismo tiempo, en litigación derivada de difamación, de protección de datos, de daños masivos, de accidentes de circulación, de daños biofarmacéuticos, de prevención de riesgos laborales, de exposición a sustancias tóxicas, etc. La razón es que el derecho de daños descansa sobre regulaciones crecientemente intrincadas y su conocimiento y dominio es, en la práctica, condición necesaria de la viabilidad de un escrito de demanda de reclamación de cantidad por daños y perjuicios. Nadie domina a la vez el acoso sexual, la difamación, la litigación por inhalación de sustancias tóxicas o los accidentes de aviación. Ya no. Mas queda bien anclado en el análisis de los remedios, el cual presta algún otro punto de apoyo a la idea de la unidad positiva del derecho de daños — es decir, a la idea de que este se define por algo más que por su contraposición al derecho de contratos, al derecho penal y al derecho regulatorio.3

O sistema de responsabilização civil da Lei Geral de Proteção de Dados Pessoais, previsto nos artigos 42 a 45 da Lei n. 13853/2018, mostra-se especialíssimo, configurando-se como a principal novidade da lei, e reflete a determinação do disposto no inciso X do art. 6º da Lei, que prevê o princípio da “responsabilização e prestação de contas, isto é, a demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas”. Como se vê, o legislador pretendeu aqui não apenas determinar o ressarcimento dos danos eventualmente causados, mas também e, principalmente, buscou prevenir e evitar a ocorrência desses danos.

Assim, esta responsabilidade especial, à semelhança do que ocorre no Regulamento europeu, está articulada em torno de três noções fundamentais, que devem ser somadas: i) dano; ii) violação da legislação de proteção dos dados por parte do controlador e/ou operador e iii) reparação. Com efeito, o regime demanda que o dano, para ser indenizável, seja resultante de um lado, da violação de qualquer dispositivo da LGPD e, de outro, que tenha sido causado por algum agente de tratamento dos dados para então impor a obrigação de ressarcir à parte lesada.

Com efeito, só podem obrigados a reparar esse dano específico, dito “de violação da privacidade”, os protagonistas da lei: são os controladores e os operadores, que respondem solidariamente. Já no que se refere às vítimas, trata-se de “outrem”, segundo o disposto no caput do art. 42. Vale dizer: a vítima não se resume aos titulares dos dados, podendo tratar-se de qualquer pessoa que sofra um dano resultado de uma violação da LGPD, até mesmo uma pessoa jurídica que considere que o processamento ilegal de dados relativos aos seus funcionários ou feito por um concorrente cause-lhe danos.

Isso poderia fazer crer que, ao determinar o regime de responsabilidade civil que consta dos arts. 42 e seguintes,4 teria o legislador da LGPD optado pelo regime da responsabilidade civil subjetiva,5 considerando seja a imprescindibilidade do descumprimento (a mencionada violação da lei) por parte do causador, seja a excludente de responsabilidade prevista no inciso II do art. 43, LGPD (que autoriza a prova de inexistência de falta – rectius, violação à legislação – pelo tratador de dados), seja, enfim, a ausência de qualquer menção legislativa à responsabilidade sem culpa, todos mecanismos típicos do regime subjetivo.6

A possibilidade de inversão do ônus probatório em favor da vítima, configurado no art. 42 §2º da LGPD,7 não representa favorecimento que resolveria o usual calvário probatório a que toda vítima (de dano provado) tem que se submeter. A regra presente na LGPD continua sendo a exigência da prova do descumprimento por parte do tratador dos dados e a exceção, mediante decisão fundamentada e após a instauração judicial da demanda, é apenas a sua inversão.

Por outro lado, também não se pode ignorar que a eventual adoção do regime objetivo de responsabilidade civil poderia ser defendida a partir da constatação do risco atrelado à coleta e tratamento dos dados pessoais, tal qual consta na exposição de motivos do projeto de lei que originou a LGPD – tarefa árdua ao exegeta à luz do enunciado pouco técnico do art. 927 do Código Civil.8 Referida adoção do regime objetivo apresentaria, para alguns especialistas, um dilema consubstanciado no empecilho do desenvolvimento de novas tecnologias tão bem-vindas ao dia a dia do usuário.

Com efeito, há quem afirme que a adoção do regime objetivo ampliaria o número de demandas ressarcitórias, inibiria o desenvolvimento e tiraria da indústria, supostamente, toda atratividade no desenvolvimento de novas tecnologias de tratamento de dados no Brasil. Assim como no início do processo de industrialização, com fundamento na ideologia liberal baseado no modelo individualista de responsabilidade, propugnava-se a exclusão de qualquer responsabilização por atividades perigosas como um meio de evitar que o progresso técnico viesse a ser dificultado pelo pagamento de indenizações, argumentando-se em suma, que a objetivação da responsabilidade no tratamento de dados pessoais inibiria o desenvolvimento de novas tecnologias.9

Cuida-se, porém, de falso dilema, pois a história já demonstrou que a adoção dos modelos de culpa presumida ou de responsabilidade objetiva, que flexibilizaram a dificuldade da prova da culpa, não limitaram o desenvolvimento de novas tecnologias. Ao contrário: assegurou-se o pleno desenvolvimento tecnológico e industrial e os custos dos modelos de responsabilização objetivos, em especial nas relações de consumo, foram incorporados pelo mercado sem prejuízo do ressarcimento das vítimas de danos injustos, implementando-se o modelo solidarista de responsabilidade fundado na atenção e no cuidado para com o lesado.10 Ademais, já pontuava Rodotà, o argumento de eventual aumento dos custos de proteção dos dados pessoais para as empresas não é decisivo, vez que não se pode considerar que interesses ligados à proteção de dados pessoais dos titulares sejam de status inferior aos interesses empresariais.11

Como já se sustentou, o sistema brasileiro de responsabilidade civil parece indicar a subversão da antiga coerência do sistema ao superar, em casos cada vez mais numerosos, a identificação do culpado, melhor protegendo assim as vítimas lesadas, ao atribuir o dever de indenizar àquele que com sua atividade – como o tratador de dados – gera ocasião ou oportunidade de dano.12 A adoção do regime de responsabilidade civil objetiva fundada no risco da atividade, assim, à luz do art. 927, parágrafo único do Código Civil e ex vi do aparente risco contido na atividade, pareceria ser um caminho melhor, porque asseguraria uma mais efetiva proteção ao titular dos dados pessoais.13

Se a escolha do regime subjetivo de responsabilidade civil pelo legislador parece, como se buscou demonstrar, não se coadunar com as demandas concretas de tutela da pessoa humana em matéria de privacidade, resta um significativo alento no fato de que a nova lei, secundando o regulamento europeu, introduziu uma mudança profunda em termos de responsabilização lato sensu — vale dizer, no que diz respeito à imposição de deveres voltados a prevenir danos.

Trata-se do conceito de “prestação de contas”. Esse novo sistema de responsabilidade, que vem sendo chamado de “responsabilização ativa” ou “proativa”,14 encontra-se indicado no inciso X do art. 6º, que determina às empresas não ser suficiente cumprir os artigos da lei; será necessário também “demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, a eficácia dessas medidas”. Portanto, não descumprir a lei não é mais suficiente; é preciso “proativamente” prevenir a ocorrência de danos.

Até agora, como é sabido, as empresas simplesmente cumprem o expediente fornecendo um kit de documentos (formulários de informações e consentimento, política de privacidade, documento de segurança etc.) aos quais ninguém realmente presta atenção. A partir de 2020, quando a lei entra em vigor plenamente, qualquer organização a ela sujeita terá que provar: i) que avaliou e, se necessário, redesenhou adequadamente o processamento de dados pessoais; ii) que as medidas de segurança implementadas são adequadas e eficazes; iii) que aplica uma política de privacidade interna com obrigações claras, ações concretas vinculadas a cada uma e que foram designados os responsáveis pelo cumprimento; iv) que nomeou um encarregado e que v) exige esse mesmo cumprimento responsável de seus funcionários e na sua cadeia de terceirização.

Além disso, um novo mapa de consequências foi introduzido em caso de descumprimentos: i) em questões administrativas, o montante das sanções previstas no regulamento indica a relevância que a proteção de dados pessoais adquirirá: até 50 milhões de reais ou 2% do faturamento anual global da empresa para as infrações mais graves (art. 52); ii) a criação de uma nova variedade de ações coletivas de responsabilidade civil; iii) a obrigação de comunicar à Agência e às partes interessadas os eventos de “violação de dados” ou violações da segurança, o que abrirá o caminho para novas reivindicações de indenização pelas empresas e indivíduos afetados. Nesse sentido, o direito à indenização por danos por infração não é novo; a novidade é que será mais fácil provar o evento prejudicial que determina a responsabilidade. A discussão restará dentro do perímetro dessa responsabilidade, entre outros fatores.

Em termos práticos, estes novos princípios requerem que as empresas analisem os dados que tratam, com que finalidade o fazem e que tipo de operações de tratamento levam a cabo. Exigem-se, em síntese, atitudes conscientes, diligentes e proativas por parte das empresas em relação à utilização dos dados pessoais. Assim, a partir de agosto de 2020, quando entra em vigor a LGPD, qualquer empresa que processe dados pessoais não apenas terá que cumprir a lei, mas também deverá provar que está em conformidade com a Lei. Caberá às empresas, e não mais (apenas) à Administração Pública, a responsabilidade de identificar os próprios riscos e escolher e aplicar as medidas apropriadas para mitigá-los.

Em conclusão, vê-se que o legislador, embora tenha flertado com o regime subjetivo, elaborou a um novo sistema, de prevenção, e que se baseia justamente no risco da atividade. Tampouco optou pelo regime da responsabilidade objetiva, que seria talvez mais adequado à matéria dos dados pessoais, porque buscou ir além na prevenção, ao aventurar-se em um sistema que tenta, acima de tudo, evitar que danos sejam causados.

Este novo sistema de responsabilização “proativa”, nem subjetivo nem objetivo, parece promissor; agora é tempo de aguardar seus resultados.

 

Maria Celina Bodin de Moraes

 

* Para um tratamento mais detalhado do tema, remete-se a Maria Celina BODIN DE MORAES e João QUINELATO DE QUEIROZ. Autodeterminação informativa e responsabilização proativa. In: Proteção de dados pessoais: Privacidade versus avanço tecnológico. Cadernos Adenauer. Rio de Janeiro, ano XX, n. 3, 2019, p. 113-135.

1 Pablo SALVADOR (ed.) et al. Derecho de Daños. Análisis, aplicación e instrumentos comparados, 7. ed., 2018. Disponível em http://www.indret.es, acesso em 15 nov. 2019.

2 Sobre o tema, v. Eugênio FACCHINI NETO. Da responsabilidade civil no novo Código, ora disponível em https://juslaboris.tst.jus.br/handle/20.500.12178/13478, acesso em 30 nov. 2019.

3 Pablo SALVADOR, cit., p. 38.

4 LGPD, art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. § 1º. A fim de assegurar a efetiva indenização ao titular dos dados: I – o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei; II – os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta Lei (…).

5 Sustentam esta posição, na doutrina brasileira, Gisela SAMPAIO DA CRUZ GUEDES E Rose MELO VENCELAU. Término do tratamento de dados. In: G. Tepedino; A. Frazão; M. Donato Oliva. Lei Geral de Proteção de Dados Pessoais, Editora RT: São Paulo, 2019, p. 231 e ss. Para as autoras, a LGPD adotou claramente a teoria subjetiva da responsabilidade civil, devendo haver a prova da culpa do agente de tratamento na ocasião do dano, por sua vez fundamentada i) na omissão na adoção de medidas de segurança para o tratamento adequado dos dados (“quando não fornecer a segurança que o titular dele pode esperar,”); ii) no descumprimento das obrigações impostas na lei (“em violação à legislação de proteção de dados pessoais” ou “quando deixar de observar a legislação”).

6 LGDP, art. 43. Os agentes de tratamento só não serão responsabilizados quando provarem: I – que não realizaram o tratamento de dados pessoais que lhes é atribuído; II – que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou III – que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro. (Grifou-se).

7 LGPD, art. 42, § 2º. O juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa.

8 “A redação da cláusula geral do parágrafo único do art. 927 não se mostra rigorosa, uma vez que toda e qualquer atividade pode implicar ‘riscos para os direitos de outrem’. A excessiva abertura da cláusula tem sido criticada por deixar ao arbítrio do julgador a definição da natureza da responsabilidade, permitindo a fluidez da noção de atividade de risco a instituição de regimes de responsabilidade sem culpa que não estejam caracterizados em lei”. (Maria Celina BODIN DE MORAES. Risco, solidariedade e responsabilidade objetiva. In: Na medida da pessoa humana. Estudos de direito civil-constitucional. Rio de Janeiro, Processo, 2016, p. 386).

9 “No início do processo, ainda com fundamento na ideologia liberal, propugnava-se a exclusão de qualquer responsabilização por atividades perigosas, sustentando-se a aplicação da regra segundo a qual ‘as perdas devem ficar onde caírem’, como meio de evitar que o progresso técnico viesse a ser dificultado pelo pagamento de indenizações”. (Maria Celina BODIN DE MORAES. Risco, solidariedade e responsabilidade objetiva, cit., p. 391).

10 Carlos Roberto GONÇALVES. Responsabilidade civil. 9. ed. São Paulo: Saraiva, 2006, p. 25.

11 Stefano RODOTÀ. A vida na sociedade de vigilância. Privacidade hoje. Rio de Janeiro: Renovar, 2008, p. 53.

12 Maria Celina BODIN DE MORAES. Risco, solidariedade e responsabilidade objetiva, cit., p. 401.

13 Neste sentido, Caitlin MULHOLLAND. Responsabilidade civil por danos causados pela violação de dados sensíveis e a Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018). Revista do Iberc, no prelo, p. 14 do original, a qual afirma: “a Lei Geral de Proteção de Dados, em seu artigo 42, adota a teoria que impõe a obrigação de indenizar independentemente da análise da culpa dos agentes de tratamento de dados, isto é, a responsabilidade civil é objetiva. Fundamenta esta conclusão o fato de que a atividade desenvolvida pelo agente de tratamento é evidentemente uma atividade que impõe riscos aos direitos dos titulares de dados. Estes riscos, por sua vez, são intrínsecos, inerentes à própria atividade. No mesmo sentido, Laura Schertel MENDES e Danilo DONEDA. Reflexões iniciais sobre a nova Lei Geral de Proteção de Dados. Revista de Direito do Consumidor, v. 120, 2018, p. 469-483.

14 V. Teresa VALE LOPES. Responsabilidade e governação das empresas no âmbito do novo Regulamento sobre a Proteção de Dados. In: F. PEREIRA COUTINHO e G. CANTO MONIZ (Coord.). Anuário da Proteção de Dados 2018. Lisboa: CEDIS, 2018.

Enviar para um amigo
Enviar para um amigo
| |   Enviar   | |

Licença Creative Commons Esta publicação está licenciada com uma Licença Creative Commons - Atribuição-NãoComercial-SemDerivações 4.0 Internacional.


© 2012 || Civilistica.com || webdesign by pedro gentil