RESUMO: O advento da Internet promoveu a Revolução Digital. A detenção do poder passa a ser dada àquele que tem mais informação, a qual abrange, principalmente, dados pessoais. Nessa conjuntura, o Direito, enquanto instrumento de anteparo das relações sociais, necessita de mecanismo que garanta a segurança, ainda que, em ambientes virtuais. Para isso, é necessário tutelar pela reparação de danos na internet. Sendo assim, o objetivo é definir o regime de responsabilidade civil dos agentes que realizam tratamento de dados, seja ente público ou privado. Para isso, será examinado instituto da responsabilidade civil, o contexto histórico da proteção de dados que originou a LGPD no Brasil e, principalmente, o preceituado na própria lei. A metodologia de pesquisa empregada consiste na coleta e análise de material bibliográfico disponível na legislação brasileira e estrangeira sobre o tema. Será utilizado o método científico dedutivo para contraposição e triagem dos materiais.
Palavras-chave: Responsabilidade Civil. Lei Geral de Proteção de Dados. Poder Público e Agentes de Tratamento de dados.
1 INTRODUÇÃO
O advento do computador, da informática e da Internet foram inventos disruptivos o suficiente a ponto de promover uma revolução. A Revolução Digital mudou a forma como a humanidade se relaciona. Não há mais detentores de conhecimento, instaurou-se a Sociedade da Informação, na qual o aprendizado é acessível, ultrapassa as paredes da academia, qualquer conteúdo é passível de verificação e atualização de forma instantânea. Não há mais limites territoriais, estabeleceu-se a Sociedade Global, com sociedades civis transnacionais articuladas e complexas. As transformações excederam o formato de trabalho, de consumo, de lazer e atingiram também a esfera mais pessoal e privada dos indivíduos, estendendo-se a relações afetivas.
A detenção do poder passa a ser dada àquele que tem mais informação, a qual abrange, principalmente, dados pessoais. A informação torna-se instrumento econômico e de controle e com isso os dados pessoais igualmente. Inúmeros foram os casos de utilização de dados pessoais para objetivos políticos, tanto no exterior, quanto no Brasil. Além dos escândalos envolvendo órgãos públicos e corridas presidenciais, há o tradicional compartilhamento de banco de dados para interesses comerciais, seja para prospecção de consumidores ou para posicionar a empresa enquanto marca empregadora.
Assim, com a era digital, intensifica-se a dicotomia entre o público e o privado, se por um lado cresce a ânsia por compartilhar conteúdos envolvendo a esfera mais íntima do sujeito, por outro torna-se evidente a necessidade de proteção dos dados pessoais. Embora aparentemente opostas, essas são pretensões complementares. Nessa conjuntura, o Direito, enquanto instrumento de anteparo das relações sociais, necessita de mecanismo que garanta a segurança individual e coletiva, incluindo os ambientes virtuais.
Como tutela jurídica a essa necessidade e com forte influência de legislações internacionais, o Brasil cria sua primeira lei específica para proteção de dados pessoais. A Lei nº 13.709 de 14 de agosto de 2018, Lei Geral de Proteção de Dados (LGPD), que entrou em vigência em janeiro de 2021.
2 RESPONSABILIDADE CIVIL E SUAS ESPÉCIES.
A responsabilidade civil embasa-se na indispensabilidade da recuperação do statu quo ante, ou seja, do restabelecimento da estabilidade jurídica após ter sido abalada por uma ação que violou uma norma de conduta preexistente, seja por ação ou inobservância de dever de cuidado. Através da reparação de danos é possível beneficiar tanto aquele que sofreu o dano de forma direta, quanto toda a sociedade que supre suas expectativas geradas pelo senso de justiça. Nessa linha, Venosa leciona:
Os princípios da responsabilidade civil buscam restaurar um equilíbrio patrimonial e moral violado. Um prejuízo ou dano não reparado é um fator de inquietação social. Os ordenamentos contemporâneos buscam alargar cada vez mais o dever de indenizar, alcançando novos horizontes, a fim de que cada vez menos restem danos irressarcidos (2010, p. 2).
A previsão legal da responsabilidade civil no Código Civil está no art. 186 que prescreve: Aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que exclusivamente moral, comete ato ilícito e no art. 187 que em complemento define que também comete ato ilícito o titular de um direito que, ao exercê-lo, excede manifestamente os limites impostos pelo seu fim econômico ou social, pela boa-fé ou pelos bons costumes.
O marco histórico que identifica a atribuição da responsabilidade pelos prejuízos causados em razão de culpa é a Lei Aquilia, a qual prescrevia consequências para determinados eventos danosos quando fossem causados de forma intencional. O Direito Ocidental como um todo sofreu grande influência do Direito Romano. Em razão disso, o sistema jurídico brasileiro reproduziu a culpa como elemento essencial da responsabilidade civil, conforme exterioriza Carlos Roberto Gonçalves:
Em face da teoria clássica, a culpa era fundamento da responsabilidade. Esta teoria, também chamada de teoria da culpa, ou subjetiva, pressupõe a culpa como fundamento da responsabilidade civil. Em não havendo culpa, não há responsabilidade. Diz-se, pois, ser subjetiva a responsabilidade quando se esteia na ideia de culpa. A prova da culpa do agente passa a ser pressuposto necessário do dano indenizável. Nessa concepção, a responsabilidade do causador do dano somente se configura se agiu com dolo ou culpa (2012, p. 46).
Diante do exposto, verifica-se que a responsabilidade subjetiva é fundada na teoria da culpa, ou seja, pressupõem a necessidade de prova de culpa do agente para que a suposta vítima seja meritória de indenização. Desse modo, nos casos, por exemplo de caso fortuito ou força maior, não é possível falar em reparação de danos derivada da responsabilidade civil, pois por ausência de culpa o agente não concorreu para o dano.
Consequência processual direta do fundamento da responsabilidade civil subjetiva é a exigência da comprovação da culpa, resultando ao autor o ônus da prova. Todavia, nos casos em que há responsabilidade civil indireta, situações previstas em lei que atribui a responsabilidade a alguém por dano causado por terceiro com quem mantém relação jurídica, a culpa passa ser presumida, em função do dever geral de vigilância a que está obrigado o réu (Gagliano, 2017, p. 908).
Com as revoluções tecnológicas que ocorreram ao longo do século XX, as vítimas dos acidentes inevitáveis encontravam-se muitas vezes desamparadas pela justiça, na medida em que não havia culpa no agente responsável pelo dano. Diante desse contexto e com o movimento objetivista, que surgiu no final do século XIX, a indispensabilidade do pressuposto subjetivo para a imputação de responsabilidade por danos passou a ser questionada (Ulhoa, 2018, p.527). Dessa necessidade, de solucionar os casos em que a teoria da culpa se mostrava insuficiente, se desenvolve a teoria objetiva:
Uma das teorias que procuram justificar a responsabilidade objetiva é a teoria do risco. Para esta teoria, toda pessoa que exerce alguma atividade cria um risco de dano para terceiros. E deve ser obrigada a repará-lo, ainda que sua conduta seja isenta de culpa. A responsabilidade civil desloca-se da noção de culpa para a ideia de risco, ora encarada como risco-proveito, que se funda no princípio segundo o qual é reparável o dano causado a outrem em consequência de uma atividade realizada em benefício do responsável (ubi emolumentum, ibi onus); ora mais genericamente como risco criado, a que se subordina todo aquele que, sem indagação de culpa, expuser alguém a suportá-lo (GONÇALVES, 2012, p. 47).
A responsabilidade objetiva funda-se, por sua vez, na teoria do risco em que o agente causador do dano tem a obrigação de repará-lo, independente de culpa e da sua ilicitude de sua conduta, na medida em que obteve proveito da atividade que gerou o dano. Assim, está sujeito a reparação de danos quem criá-lo e expuser terceiros a suportá-lo, ainda que tenha agido dentro dos limites legais de seu direito, visto que a teoria objetivista é fundada diretamente no risco da atividade exercida pelo agente (Gagliano, 2017).
Segundo Fábio Ulhoa, a responsabilidade objetiva não advém somente da necessidade dos cidadãos de uma maior tutela do Estado frente às grandes indústrias. A espécie jurídica também surge como uma resposta a mudança de mentalidade da época que passa a entender que os acidentes inevitáveis não devem ser suportados pelos cidadãos em prol dos benefícios de se viver em sociedade, mas sim que aquele que aufere lucro com as atividades produtivas deve arcar pelos danos que dela decorrerem, como segue:
É racional imputar responsabilidade por danos a quem agiu exatamente como deveria ter agido quando o sujeito passivo da obrigação de indenizar ocupa posição econômica que lhe permita socializar os custos da sua atividade entre os beneficiários dela. Nessa posição encontram-se, por exemplo, os empresários, o Estado e as agências de seguro social (ULHOA, 2018, 528).
Desse modo, tem-se que a responsabilidade civil objetiva poderá decorrer tanto do risco da atividade, segundo a teoria do risco, quanto da lei (art. 927, parágrafo único do Código Civil). Já a responsabilidade civil objetiva decorrente de legislação, por sua vez, se origina na medida em que a própria lei regulamenta determinadas atividades como de risco, ou em que há relação de hipossuficiência entre as partes, como é o caso das relações de trabalho e de consumo.
Insta salientar que é possível examinar a culpa também quando tratar-se de responsabilidade civil objetiva, isso ocorre nos casos em que o réu faz alegação, arguindo, por exemplo, rompimento do nexo causal por culpa exclusiva da vítima ou culpa concorrente, por ser elemento essencial para fixação da indenização. Nesse sentido, analisa Gagliano:
A diferença da responsabilidade civil objetiva para a subjetiva não está, portanto, na possibilidade de discutir culpa, mas, sim, na circunstância da culpa ser um elemento obrigatório de ônus da prova, pois, na responsabilidade civil subjetiva (seja de culpa provada ou de culpa presumida), o julgador tem de se manifestar sobre a culpa, o que somente ocorrerá acidentalmente na responsabilidade civil objetiva (2017, p. 836).
Assim, conforme expresso no trecho acima, embora a culpa possa estar presente em ambas espécies de responsabilidade, o que diferencia é que na responsabilidade subjetiva ela será elemento essencial e na objetiva elemento acidental. A regra geral da responsabilidade objetiva é a necessidade de reparação do dano causado, em detrimento da culpa de quem o causou.
3 DA PROTEÇÃO DE DADOS NA INTERNET.
A história mostra que os maiores avanços tecnológicos advêm de situações de conflitos, e o desenvolvimento da Internet não poderia ser diferente. Foi durante a Segunda Guerra Mundial, em Berlim (Alemanha), 1941, a invenção do primeiro computador completamente eletrônico. O computador era utilizado como ferramenta para efetuar cálculos de aerodinâmica e balística, bem como decifrar códigos criptografados em mensagens.
Apenas quatro anos depois, o predecessor dos primeiros computadores comerciais estava sendo concluído em Harvard (EUA). A partir daí o desenvolvimento tecnológico avançou de forma abrupta, permitindo não somente máquinas mais inteligentes, mas também que se comunicassem entre si. Da mesma forma que ocorreu na Segunda Guerra Mundial, durante os anos da Guerra Fria o investimento em tecnologia aumentou drasticamente e os computadores passaram a ser o principal instrumento de comunicação e de controle de informações.
No início da década de 1960, cientistas do MIT criaram para o Departamento de Defesa dos EUA um sistema em rede, nomeado ARPANET, que substituía o controle centralizado por um conjunto de computadores que se comunicavam. Para que isso ocorresse, as informações eram divididas em blocos, chamados pacotes, e enviadas ao destinatário, o qual remontava a mensagem original. Desse modo, o pacote trafegava de forma independente e, nos casos de interrupções ou ataques, seguiam seu caminho pelas conexões restantes, assim, a queda de parte dos computadores não comprometia a rede. Em 1969, foi instalada a primeira ligação em rede, entre a Universidade de Stanford e a UCLA (Lins, 2013, p.48).
O ano de 1972 foi crucial para a ARPANET por dois fatores: a criação do e-mail durante a primeira International Conference on Computer Communications (ICCC), em Washington (EUA). No início daquele ano, foi elaborado um programa que possibilitava a troca de mensagens eletrônicas, o qual seria por mais de uma década a aplicação mais utilizada em toda a rede. Já a demonstração da ARPANET, em outubro, durante a ICCC, comprovou que as redes de pacotes funcionavam e possibilitou a expansão dessa tecnologia através das operadoras de telecomunicações e empresas criadas para explorar esse novo mercado. Logo, a ARPANET se tornou internacional (Carvalho, 2006).
Com o processo de internacionalização da ARPANET, surgiu a necessidade de criar uma maneira de interconectar redes diversas. Isso foi possível com o desenvolvimento de um conjunto de protocolos, ou seja, procedimentos que estabelecem um padrão para o tráfego de dados e possibilitaram a comunicação entre computadores, chamados Transmission Control Protocol/Internet Protocol (TCP/IP). A massiva implementação do TCP/IP, somada divisão da ARPANET, que foi separada em rede de pesquisa, com instituições civis, e rede de produção, com instituições militares, acelerou o surgimento da Internet civil (Carvalho, 2006).
No início dos anos 1980, a ARPANET ainda era uma rede que interligava somente algumas universidades que deveriam ser aprovadas pelos militares e ter capital para investir em equipamentos de comunicação. Nesse contexto, a City University of New York (CUNY) montou uma rede para conectar pessoas de forma simples, barata e sem restrição de acesso, criando a Because Its Time Network (BITNET), sistema de comunicação por e-mail, que oferecia listas de transmissão, transferência de arquivos e mensagens instantâneas. Após uma década, a BITNET era a maior rede em utilização no mundo, conectando mais de mil instituições de pesquisa em mais de cinquenta países, inclusive no Brasil (Carvalho, 2006). Assim, em 1989, a Internet brasileira começa a ser instaurada para fins acadêmicos.
Após o desenvolvimento da Internet dita comercial e com a inserção em massa no ambiente digital, surgiram novas relações jurídicas. Por um lado, as empresas virtuais e físicas começaram a coletar todo o tipo de dados pessoais para formação de cadastro de clientes e envio de mídias, por outro o governo passou a acompanhar o fluxo virtual da população tanto para tomada de decisões, quanto para controle. Esse contexto fez com que o Direito precisasse buscar meios para proteger a privacidade e inviolabilidade de dados de dados da população, principalmente no que tange o cuidado com as informações pessoais arquivadas na rede.
Logo em 1970 foi instituída a primeira lei estadual de proteção de dados da história, no estado alemão de Hesse. Alguns anos mais tarde, em 1973, foi aprovada na Suécia a primeira lei nacional de proteção de dados, o Ato de Dados Sueco. Ambas as leis tratavam da proteção dos dados de maneira genérica, não trazendo, por exemplo, em que situações a coleta de dados poderia ou não ocorrer, dispondo apenas que essa coleta deveria se dar com autorização da agência governamental competente. No entanto, inovaram ao trazer o tema da proteção de dados dos cidadãos para a agenda pública de governo (Monteiro et al., 2019).
Influenciados por esse movimento de regulamentação de dados, em 1979, outros países europeus aderiram a normatização e fizeram legislações específicas de proteção de dados, foi o caso da Alemanha, Dinamarca e França. Insta salientar que, embora essas leis tenham sido fundamentais para a evolução da proteção de dados no continente europeu, elas reproduziram a generalidade dos textos suecos. A proteção à privacidade já tinha tanta visibilidade na Europa desde a época que algumas nações como Áustria, Espanha e Portugal chegaram inclusive a conceber a privacidade como direito fundamental em suas Constituições (Monteiro et al., 2019).
Somente em 2014, surge no Brasil a Lei nº 12.965, popularmente conhecida como Marco Civil da Internet, que estabeleceu princípios, garantias, direitos e deveres para uso da internet no Brasil. Nota-se que o Marco Civil da Internet teve como principal objetivo zelar pelas relações jurídicas na esfera civil. A esfera penal já havia sido tutelada pela Lei nº 12.737/12, que dispõe sobre a tipificação criminal de delitos informáticos (Marcacini, 2016).
O Marco Civil da Internet foi a primeira regulamentação específica no país sobre comunicação em rede e representou um salto importante, na medida em que o Brasil já estava atrasado em relação a outros países na temática. Todavia, citada legislação não se aprofundou na tutela da privacidade por meio da normatização do uso do banco de dados. Neste mesmo sentido, relata Marcacini:
A princípio, o Marco Civil não parece ser voltado para proteger o indivíduo das múltiplas formas de violação da privacidade decorrentes de formação de bases de dados que não estão disponíveis online, ou não tenham outra relação direta com a Internet [...]. Em favor do Marco Civil, pode-se argumentar corretamente que a defesa da privacidade dificilmente será objeto de uma lei única. Afinal, trata-se de um bem jurídico que guarda relações diretas ou reflexas com múltiplos aspectos da vida e com todos os ramos do Direito. E pode-se dizer que o Marco Civil foi bastante feliz em várias de suas disposições acerca do tema, que se mostram oportunas para a preservação da privacidade, ao menos, como já dito, diante dos fatos relacionados à Internet (2016, p. 54).
Desse modo, o Marco Civil não chegou a delimitar prerrogativas específicas no que que tange ao uso e compartilhamento indevido de dados pessoais coletados, ou à sua utilização para fins diferentes dos inicialmente propostos. Assim, a utilização de banco de dados pessoais só prevista em algum dispositivo legal em 2018, com a edição da Lei Geral de Proteção de Dados.
3 DO TRATAMENTO DE DADOS NA LEI GERAL DE PROTEÇÃO DE DADOS.
A Lei nº 13.709, de 14 de agosto de 2018, conforme prescrito em seu artigo 1º, tem como objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, no tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado.
Em uma interpretação literal da lei, verifica-se que ela se restringiu a tutelar a proteção de dados da pessoa natural. Entretanto já há discussão a respeito da possibilidade dessa proteção se estender a pessoas jurídicas. Para tanto, fundamenta-se no artigo 52 do Código Civil, o qual dispõe sobre a possibilidade de aplicar às pessoas jurídicas, no que couber, a proteção dos direitos da personalidade. Ademais, a hipotética violação ao direito da personalidade causada pelo tratamento irregular dos dados acarreta em dano moral, do qual também podem ser vítimas pessoas jurídicas, segundo a súmula 227 do STJ.
A grande inovação que fundamenta a LGPD é a chamada autodeterminação informativa. Trata-se de um mecanismo de tutela ao direito de privacidade individual e que garante à pessoa natural o direito de controlar as informações referente a si mesmo. Desse modo, a privacidade transcende a sua dimensão negativa, ou seja, de mera não interferência na esfera individual, e passa à dimensão de tutela positiva e proativa, que garante ao titular o conhecimento pleno das formas de tratamento, finalidade e destino de seus dados (Moraes; Queiroz, 2018).
Quanto à territorialidade, conforme disposto no artigo 3º, a LGPD aplica-se em três hipóteses: quando a operação de tratamento for realizada no território nacional, quando o tratamento tenha por objetivo a oferta de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional e na hipótese em que os dados pessoais objeto do tratamento tenham sido coletados no território nacional. Em complementaridade, o artigo 33 traz as possibilidades de transferência internacional de dados pessoais a qual é permitida para organismos internacionais que proporcionem o mesmo grau de proteção que a LGPD.
Ademais, é possível a transferência realizada sem consentimento pelo controlador e em atividade exercidas por órgãos público, sendo essas: quando a transferência resultar em compromisso assumido em acordo de cooperação internacional; necessária para a cooperação jurídica internacional e para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade. Nos casos do controlador, este necessita comprovar garantias de cumprimento do regime de proteção de dados previstos LGPD, seja através de contratos, normas corporativas, certificações ou código de conduta e para o cumprimento de obrigação legal ou regulatória e quando a transferência for de acordo com os instrumentos de direito internacional.
Ressalta-se que a própria Lei Geral de Proteção de Dados delimitou, no art. 4º, os casos em que não incidiria sua aplicação: quando realizado por pessoa natural para fins exclusivamente particulares e não econômicos, realizados para fins exclusivamente jornalístico e artísticos; ou acadêmicos, desde que com consentimento. Ressalva-se ainda casos de tratamento de dados pessoais realizado para fins exclusivos de segurança pública, defesa nacional, segurança do Estado, ou atividades de repressão de infrações penais, por pessoas de direito público ou por pessoas de direito privado, sob tutela de pessoa jurídica de direito público.
De acordo, com artigo 5º, inciso X, da LGPD o termo tratamento de dados consiste em toda operação realizada com dados pessoais, conforme cita-se:
Art. 5º Para os fins desta Lei, considera-se:
X - Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
Importa salientar a diferença entre dado e informação por Bruno Bioni: dados são simplesmente fatos brutos que, quando processados e organizados, se convertem em algo intangível, podendo ser deles extraída uma informação (2019, p.36). Desse modo, ao contrário das informações (que podem ser livremente dispostas e manipuladas), com o advento da Lei Geral de Proteção de Dados, para haver tratamento de dados é necessário que se configure alguma das hipóteses previstas no artigo 7º da LGPD. A primeira hipótese para que ocorra o tratamento de dados é mediante o fornecimento de consentimento pelo titular. A definição adotada para o termo consentimento foi a seguinte (art. 5, XII): manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
A LGPD aborda o consentimento como elemento essencial do tratamento de dados. Assim vício de consentimento invalida a possibilidade de tratamento. Pontua-se, ainda, que o consentimento deverá referir-se a finalidades determinadas, sendo que autorizações genéricas para o tratamento de dados pessoais serão nulas. Para garantir que a manifestação de vontade seja inequívoca a LGPD estabelece que o consentimento deverá ser fornecido por escrito, de modo deve constar de cláusula destacada das demais cláusulas contratuais, ou por outro meio que demonstre a manifestação de vontade do titular, restando ao controlador o ônus da prova de que o consentimento foi obtido em conformidade (art. 8, Lei nº 13.709/18).
O consentimento será considerado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca. Ademais, se houver mudanças da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as mudanças de finalidade, podendo o titular revogar o consentimento, caso discorde das alterações (art.10, Lei nº 13.709/18).
Nas relações de consumo o consentimento será considerado de livre manifestação nos casos em que o usuário consiga ter acesso ao produto ou prestação de serviço ainda que não forneça os dados, em casos contrários a esse será necessário que o titular dê seu consentimento específico. Portanto, o consentimento passa a ter um caráter expresso, no momento em que as cláusulas contratuais são destacadas e necessitam de aceite específico (KLEE; NETO; 2019).
Os casos de interesse privado em que ocorre dispensa de consentimento, previstos no artigo 7° são: para o cumprimento de obrigação legal ou regulatória pelo controlador; para a realização de estudos por órgão de pesquisa; quando necessário para a execução de contrato do qual seja parte o titular, a pedido do titular; para o exercício regular de direitos em processo judicial, administrativo ou arbitral; para a proteção da vida ou da incolumidade física do titular ou de terceiros; para a tutela da saúde, em procedimento realizado por serviços de saúde ou autoridade sanitária; quando necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos do titular que exijam a proteção dos dados pessoais; ou para a proteção do crédito.
Outrossim, nos casos em que ocorre tratamento de dados manifestamente públicos pelo titular também é dispensada a exigência do consentimento, porém deve-se considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização. Do mesmo modo, eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento demais obrigações previstas na LGPD, especialmente da observância dos princípios gerais e da garantia dos direitos do titular. Em relação ao tema, Bruno Bioni destaca a importância:
Por exemplo, a princípio, terceiros não poderiam usar dados de uma rede social, mesmo que de perfis públicos, para fins de marketing - instâncias pelas quais tais dados foram tornados públicos pelo seu próprio titular deram-se para uma outra finalidade, que é a de se relacionar com quem integra o seu círculo social.
Por outro lado, a princípio, seria compatível o uso de dados de perfis públicos de uma rede profissional (e.g., Linkedin) por terceiros, como headhunters, para aproximar seus usuários às vagas profissionais de seu eventual interesse. Esse uso é compatível com a finalidade não só da plataforma em si, como, principalmente, a razão pela qual tais dados são públicos.
Portanto, as figuras de dados de acesso público e manifestamente público, além de estarem dentro do escopo de aplicação da LGPD, também estão sujeitas a um regime que impõe uma série de requisitos para o seu tratamento à luz do referencial da privacidade contextual. O caráter pedagógico dessa taxonomia é não deixar dúvidas de que tais tipos de dados não deixam de ser pessoais, rompendo com a chave binária do público privado. E, por fim, assegurar uma esfera de controle por parte dos titulares dos dados, ainda que não haja o seu consentimento para tanto (2019, p.265).
Assim, ainda que os dados pessoais tenham sido disponibilizados publicamente, para ocorrer sua utilização é necessária haver compatibilidade entre o uso dos dados manifestamente públicos e a razão pela qual tais dados encontram-se nessa condição. Tal circunstância assegura a privacidade dos titulares, na medida que possibilita que ele publique o que lhe convir sem se preocupar com os impactos que isso pode causar na esfera da sua vida privada.
No que tange aos dados pessoais sensíveis, aqueles definidos pela LGPD como dado pessoal não anonimizado sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, referente à saúde ou à vida sexual, dado genético ou biométrico, esses não podem ser objetos de legítimo interesse do operador. Evidencia-se, ainda, que é expressamente vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde em benefício dos interesses dos titulares de dados, e para permitir a portabilidade de dados quando solicitada pelo titular; ou permitir as transações financeiras e administrativas resultantes do uso e da prestação dos serviços (art. 11, §4º).
Neste mesmo diapasão, é vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários. Todavia, é permitida a comunicação de dados pessoais com os órgãos de pesquisa, tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e pesquisas, adotando, sempre que possível, a anonimização ou pseudonimização dos dados, e considerando os devidos padrões éticos (art. 13). Nesses casos, recairá sobre o órgão de pesquisa a responsabilidade pela segurança dos dados.
O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado com o consentimento específico dado por um responsável legal, e só será dispensável quando a coleta for necessária para contatar o responsável legal ou para proteção da criança, porém em nenhuma dessas hipóteses poderá ser armazenado ou repassado a terceiro. No tratamento de dados pessoais de criança é dever dos controladores manter pública a informação sobre os dados coletados de maneira acessível aos pais e ao adequado entendimento da criança, bem como não deverão condicionar a participação das crianças e adolescentes ao fornecimento de informações pessoais, além das estritamente necessárias à atividade (art. 14).
O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses: com o alcance da finalidade ou verificação de que os dados não serão necessários para o alcance da finalidade, fim do período de tratamento ou por determinação da autoridade nacional, a revogação do consentimento pelo titular, que pode se dar a qualquer momento de forma gratuita e facilitada. Após o término, os dados serão eliminados e sua conservação só se dará para cumprimento de obrigação legal ou regulatória pelo controlador; estudo por órgão de pesquisa; transferência a terceiro, desde que respeitados os requisitos de tratamento; ou uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados (art. 15).
4 da responsabilidade civil do Poder Público no tratamento de dados PESSOAIS.
A Lei Geral de Proteção de Dados oferece tratamento diferenciado ao Poder Público. Note-se que LGPD adota como Poder Público todas aquelas pessoas previstas na Lei de Informação (art. 1º da Lei n. 12.527/11), sendo essas: os órgãos públicos integrantes da administração direta dos Poderes Executivo, Legislativo, incluindo as Cortes de Contas, e Judiciário e do Ministério Público; as autarquias, as fundações públicas, e demais entidades controladas direta ou indiretamente pela União, Estados, Distrito Federal e Municípios.
Ademais, os serviços notariais e de registro exercidos em caráter privado, por delegação do Poder Público, terão o mesmo tratamento concedido às pessoas jurídicas de direito público, devendo fornecer acesso aos dados para a administração pública (art. 23, §4º e §5º, da Lei n° 13.709/18). No caso das empresas públicas e as sociedades de economia mista que atuam em regime de concorrência, terão o mesmo tratamento previsto às pessoas jurídicas de direito privado, exceto quando estiverem operacionalizando políticas públicas e no âmbito da execução delas, terão o mesmo tratamento dispensado aos órgãos e às entidades do Poder Público (art. 24).
O tratamento de dados pessoais por pessoas jurídicas de direito público, conforme preceitua o art. 23 da LGPD, será realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público. Desse modo, assim como as empresas privadas precisam ter uma finalidade objetiva para o tratamento do dado, o mesmo vale para o Poder Público, razão pela qual deve ser divulgada, em veículos de fácil acesso, a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução do tratamento de dados pessoais, além disso, é necessária a indicação de um encarregado enquanto estiverem realizando essas operações.
Com esses requisitos, verifica-se que a LGPD busca garantir não somente o princípio da finalidade, como também o da transparência. Assim, é vedado ao Poder Público compartilhar os dados pessoais que tem acesso com entidades privadas. Excetua-se, porém, casos de execução descentralizada de atividade pública que exija a transferência, casos em que os dados forem de acesso público, quando houver previsão legal ou a transferência for respaldada em contratos, ou instrumentos congêneres; na hipótese da transferência objetivar exclusivamente a prevenção de fraudes, ou resguardar a segurança do titular dos dados, vedado o tratamento para outras finalidades (art. 26, §1º).
Estabelecidas as hipóteses e requisitos em que se possibilita o tratamento de dados pelo Poder Público, resta agora pontuar as exceções. A primeira delas é no que se refere o tratamento de dados pessoais sensíveis. Embora, o tratamento e uso compartilhado de dados pessoais sensíveis também possa ser objeto da administração pública para fins de execução de políticas, com dispensa de consentimento, é necessário que sempre seja dada publicidade a dispensa, para que os titulares sejam informados de seus dados estão sendo utilizados (art. 11, §2º).
Por fim, importante relembrar as hipóteses em que não há incidência da Lei Geral de Proteção de Dados, quais sejam: segurança pública, defesa nacional, segurança do Estado, ou atividades de investigação e repressão de infrações penais. Esses são casos de caráter estatal e que, pela sua não incidência, em que a administração pública se exime da responsabilidade prevista na LGPD, porém deve respeitar todos os princípios constitucionais e previstos em demais legislações atinentes (ROSSO, 2019).
Dessa forma, evidencia-se que a responsabilidade civil do estado prevista no ordenamento jurídico, tanto na Constituição Federal no art. 37, § 6º, quanto no Código Civil, art. 43, é objetiva. Além do fundamento normativo importante entender também quais as teorias fundamentaram a adoção do regime de responsabilidade civil objetiva pelo Estado, para tanto utiliza-se as lições de Carvalho Filho:
O Estado tem maior poder e mais sensíveis prerrogativas do que o administrado. É realmente o sujeito jurídica, política e economicamente mais poderoso. O indivíduo, ao contrário, tem posição de subordinação, mesmo que protegido por inúmeras normas do ordenamento jurídico. Sendo assim, não seria justo que, diante de prejuízos oriundos da atividade estatal, tivesse ele que se empenhar demasiadamente para conquistar o direito à reparação dos danos.
Diante disso, passou-se a considerar que, por ser mais poderoso, o Estado teria que arcar com um risco natural decorrente de suas numerosas atividades: à maior quantidade de poderes haveria de corresponder um risco maior. Surge, então, a teoria do risco administrativo, como fundamento da responsabilidade objetiva do Estado.[...]
Além do risco decorrente das atividades estatais em geral, constituiu também fundamento da responsabilidade objetiva do Estado o princípio da repartição dos encargos.
Verifica-se, portanto, que com o intuito de atenuar as dificuldades suportadas por aqueles prejudicados por condutas de agentes estatais, instituiu-se a responsabilidade objetiva do Estado. Nessa esfera, a teoria do risco administrativo e o princípio da repartição dos encargos são mecanismos de garantir a justiça social e reduzir as disparidades entre o Poder Público e os cidadãos.
A objetivação da responsabilidade do Estado garante que nos casos de ação ou omissão, cometidas pela administração pública, que gerem dano haverá indenização aos prejudicados. Dessa forma, o Estado responde independente do ato que gerou o prejuízo. Nesse mesmo sentido, aduz Ulhoa:
Não é relevante a questão da licitude ou ilicitude do ato causador do dano; a indenização será devida em qualquer hipótese pelo Estado. Note-se que, se houver ato ilícito (dolo ou culpa) por parte de seu agente, terá o Estado direito de regresso contra ele. Paga, então, ao prejudicado e recupera com o agente culpado o valor da indenização. [...] Para que o Estado se responsabilize objetivamente pelo dano, não se exige que o causador seja funcionário público efetivo ou comissionado. O preceito normativo menciona a responsabilidade das pessoas jurídicas de direito público pelos danos causados por seus agentes, conceito amplo que alcança toda e qualquer pessoa a serviço do Estado. Por outro lado, se o dano é provocado por quem não cumpre essa condição, o Estado não é responsabilizável ( 2012, p. 741).
Assim, na hipótese de a Administração Pública violar direitos individuais, enquanto realizar o tratamento de dados, ainda que seja nos casos em que não há incidência da LGPD, deverá responder pelos danos gerados, independente de culpa, indenizando os prejudicados. Segundo Patrícia Pinheiro (2018, p. 90), cabe à autoridade nacional garantir que medidas cabíveis e proporcionais sejam adotadas quando da violação do tratamento de dados pessoais nos órgãos públicos.
A Autoridade Nacional é o órgão específico, criado pela LGPD, para tutelar a proteção de dados, a fiscalizar tanto pessoas jurídicas de direito público quanto de direito privado. Além de ser responsável pelos possíveis processos administrativos, a mesma poderá solicitar a agentes do Poder Público a publicação de relatórios de impacto à proteção de dados pessoais e informações específicas sobre o âmbito e a natureza dos dados e outros detalhes do tratamento realizado, bem sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo Poder Público enviar informe com medidas cabíveis, no casos em ocorrer violação a LGPD.
Evidencia-se, por fim, que o art. 43 prevê hipóteses excludentes da responsabilidade civil dos agentes de tratamento, sendo essas: não realização do tratamento de dados que lhes é atribuído; o dano decorrente de culpa exclusiva do titular dos dados ou de terceiro e não violação à legislação de proteção de dado. Tais hipótese são aplicáveis também a exclusão de responsabilidade do Poder Público, uma vez que rompem o nexo de causalidade. Cita-se:
De acordo com a teoria do risco administrativo, adotada pelo art. 37, § 6.º, da CRFB, o Estado pode se defender nas ações indenizatórias por meio do rompimento do nexo de causalidade, demonstrando que o dano suportado pela vítima não foi causado pela ação ou omissão administrativa. São causas excludentes do nexo causal: fato exclusivo da vítima, fato de terceiro e caso fortuito ou força maior. As causas excludentes decorrem da redação da referida norma constitucional que consagra a responsabilidade civil do Estado apenas pelos danos causados por seus agentes públicos, o que não ocorre nas hipóteses em que os danos são imputados à própria vítima, ao terceiro e aos eventos da natureza. Nessas situações não há ato ou fato administrativo que tenha causado o dano à vítima (OLIVEIRA, 2018, p. 797).
Desse modo, não há o que se falar em responsabilidade estatal quando não cometida por ação ou omissão de agentes públicos ou a serviço da administração pública, bem como danos causados pela própria vítima ou exclusivamente por terceiros. Isso pois, na teoria do risco administrativo, adotada pela maior parte dos doutrinadores, só há responsabilidade do Estado se houver participação total ou parcial, nos casos de participação parcial do lesado, o Estado terá atenuação na sua obrigação de indenizar, e em hipóteses que somente o lesado ou terceiro concorrer para o dano, o Estado se exime de responsabilidade civil, a qual é objetiva.
5 DA responsabilidade civil dos agentes de tratamento de dados pessoais.
A Lei Geral de Proteção de Dados preceitua três figuras de agentes responsáveis pelo tratamento de dados: o controlador, pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; o operador, pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador; e o encarregado, pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados.
Cada um desses agentes possui obrigações jurídicas frente aos titulares dos dados e a Autoridade Nacional. Tanto o controlador como o operador devem manter registro das operações de tratamento de dados pessoais realizadas (art. 36). Isso visando garantir a transparência das ações, bem como o controle exercido pela Autoridade Nacional que poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados (art. 37).
Quanto ao encarregado, conforme abordado anteriormente, sua identidade e informação de contato devem ser divulgadas publicamente pelo controlador, para que esse estabeleça a comunicação com os titulares. Assim, as atividades do encarregado consistem em: aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da autoridade nacional e adotar providências: orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares (art. 41). A figura do encarregado é uma medida que previne a centralização dos dados e valida a segurança do tratamento de dados perante o titular (Pinheiro, 2018).
Já no que tange às obrigações do controlador e do operador, art. 39 da LGPD preceitua que o operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria. Segundo Patrícia Pinheiro, esse artigo estabelece um elo entre a figura do controlador e o operador. Senão, vejamos:
A regulamentação de proteção de dados pessoais tem o condão de estabelecer uma responsabilidade solidária do controlador para com o operador a partir do contrato entre eles, considerando que quem detém o consentimento do titular é o controlador e, portanto, continua a ser o que fica responsável pelo que ocorre no ciclo de vida dos dados pessoais na gestão e governança do negócio (2018, p.98).
Segundo o Código Civil, art. 264, há solidariedade quando na mesma obrigação concorre mais de um credor, ou mais de um devedor, cada um com direito, ou obrigado, à dívida toda. A responsabilidade civil solidária configura exceção ao princípio da divisibilidade das obrigações e apenas pode decorrer de lei, como no presente caso, ou de vontade das partes. Contudo, a solidariedade não condiciona que os obrigados solidários respondam na mesma extensão ou condição, uma vez que a lei pode atribuir a direitos ou obrigações diferentes (ULHOA, 2012, p. 191). É o que acontece na Lei Geral de Proteção de Dados:
Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
§ 1º A fim de assegurar a efetiva indenização ao titular dos dados:
I - o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;
II - os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta Lei (BRASIL, 2018).
A partir da leitura do artigo, verifica-se que o operador e controlador possuem condições diferentes para responder por possíveis prejuízos causados. O operador irá responder solidariamente somente quando descumprir as obrigações previstas em legislação ou quando deixar de seguir as instruções do controlador. Desse modo, há uma violação por parte do controlador que gera a sua responsabilização.
Por sua vez, os controladores dos dados sempre responderão pelo tratamento de dados. Isso pois a LGPD em vários momentos estabelece obrigações específicas ao controlador, fazendo com que seja inviável a sua figura não estar envolvida no tratamento. A LGPD ao adotar essas medidas impossibilita que o operador se olvide de sua obrigação de tutelar os dados que estão em seu poder.
A responsabilidade solidária recai sobre o controlador e operador quando o tratamento de dados for irregular. A irregularidade se configura no momento em que não se observa a legislação, não adotando as medidas de segurança previstas, ou quando não fornecer a segurança que o titular pode esperar, seja em relação ao modo pelo qual é realizado o tratamento; o resultado e os riscos ou as técnicas à época em que foi realizado (art. 44).
No que se refere às vítimas, o caput do art. 42 utilizou o termo outrem para referir-se a elas, o que amplia o conceito de vítima para além do titular dos das e se estendo a qualquer pessoa que venha a sofre um dano decorrente da violação da LGPD extensível até mesmo as pessoas jurídicas (Moraes; Queiroz; 2019).
Conforme pontuado anteriormente, o artigo 43 lista as hipóteses em que não haverá a responsabilidade dos agentes de tratamento, sendo estas aplicáveis na exclusão de responsabilidade de agentes particulares quando provarem que: não realizaram o tratamento de dados pessoais que lhes é atribuído; que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros.
A partir das hipóteses levantadas para exclusão da responsabilidade civil, é possível determinar o regime de responsabilidade civil adotado pela Lei Geral de Proteção de Dados. Nesse sentido, Maria Celina Bodin de Moraes e João Quinelato de Queiroz, estabelecem o seguinte:
O sistema de responsabilidade civil da LGPD, previsto nos artigos 42 a 45, mostra-se especialíssimo, sendo talvez a principal novidade da lei, e reflete o disposto no inciso X do art. 6º da Lei que prevê o princípio da responsabilização e prestação de contas, isto é, a demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. O legislador pretendeu não apenas mandar ressarcir, mas quer prevenir e evitar a ocorrência de danos. Assim, esta responsabilidade especial, à semelhança do que ocorre no Regulamento europeu, está articulada em torno de três noções fundamentais, que devem ser somadas: i) dano, ii) violação da legislação de proteção dos dados por parte do controlador e/ou operador e iii) reparação. Com efeito, o regime demanda que o dano seja resultante de violação da LGPD e que tenha sido causado por um agente de tratamento dos dados para então impor a obrigação de ressarcir a parte lesada (2018, p.130).
Dessa maneira, conforme apontado pelos autores, diante da necessidade de comprovar, além do dano e autoria, a violação da legislação, entende-se que a LGPD adotou o regime de responsabilidade subjetiva. Entretanto, denota-se que não foi o regime comum e sim o regime de responsabilidade subjetiva com culpa presumida.
Entretanto, difere-se a responsabilidade subjetiva com presunção de culpa, em que a culpa deve existir como pressuposto, tão somente se invertendo os ônus da prova. A culpa presumida refere-se à transgressão de um dever imposto por lei ou regulamento, razão pela qual a doutrina e jurisprudência por vezes adotam o termo culpa contra a legalidade (VENOSA, 2018, p. 487).
Portanto, ainda é necessário que haja a comprovação de culpa para configurar a responsabilidade, no entanto ocorre uma flexibilização de produção de provas no processo. O §2º do art. 42 da LGPD ao estabelecer que o juiz poderá inverter o ônus da prova a favor do titular dos dados adota a culpa presumida, pois considera a hipossuficiência da vítima para produção de provas e presume que a causa do dano adveio de uma transgressão à Lei Geral de Proteção de Dados.
Outrossim, conforme preceitua o art. 45 as hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente. Desse modo, em alguns casos de violação, a responsabilidade civil será aplicada de acordo com a legislação consumerista. (Pinheiro, 2018).
CONSIDERAÇÕES FINAIS
A LGPD reveste-se como o mecanismo de amparo fundamental à reparação de danos e a privacidade também em ambientes virtuais, no qual não há delimitação fronteiriça. Desse modo, o presente artigo teve como intuito analisar a incidência do instituto da responsabilidade civil na Lei Geral de Proteção de Dados. Para isso, foi examinada a evolução da teoria geral da responsabilidade civil, bem como os aspectos históricos da proteção de dados pessoais desde o surgimento da Internet.
A partir dos pressupostos da responsabilidade civil, verifica-se que o instituto se divide em duas espécies, quais sejam: a responsabilidade civil subjetiva, a qual sujeita a sua concretização a presença da conduta culposa, dano e o nexo causal, e a responsabilidade civil objetiva, na qual a culpa não configura elemento essencial para obrigação de reparar os danos, bastando apenas a presença do dano, conduta do agente e o nexo causal.
Com base em análise doutrinária e em estudo dos demais materiais bibliográficos utilizados, compreendeu-se que na Lei Geral de Proteção de Dados ocorre a incidência tanto da responsabilidade civil objetiva, quanto subjetiva. Isso pois a espécie de responsabilidade civil está condicionada a natureza do agente que realiza o tratamento de dados.
Nos casos em que a natureza do agente de tratamento de dados for pessoa jurídica de direito público, ou pessoa jurídica de direito privado prestando serviço sob comando do Poder Público, a responsabilidade civil assumida será de natureza objetiva. Embora tal fato não esteja explícito em nenhum artigo da LGPD, sua inferência é possível a partir da análise da responsabilidade civil do Estado, a qual após um processo de aperfeiçoamento histórico culminou no regime de responsabilidade civil objetiva, fundado na teoria do risco administrativo e na repartição dos encargos.
Caso o agente de tratamento de dados seja pessoa de direito privado, o regime adotado para possível reparação de danos será a responsabilidade civil subjetiva. Nessa hipótese será necessário comprovar, além do dano, autor da conduta e nexo causal, a culpa do agente. Todavia, conforme expresso na própria lei, compreendendo que o legislador entendeu a relação de vulnerabilidade entre o titular de dados e o agente de tratamento, é possível a inversão do ônus da prova.
Desse modo, tendo em vista que na maior parte dos casos, salvo raríssimas exceções, será impossível o titular produzir provas contra o agente de tratamento, em virtude da carência de meios probatórios, o regime aplicado quando o tratamento de dados for realizado por pessoas jurídicas de direito privado será o da responsabilidade civil subjetiva com culpa presumida.
Quanto à responsabilidade entre os agentes de tratamento de dados, essa será solidária. O operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação ou quando não tiver seguido as instruções lícitas do controlador. Já os controladores respondem solidariamente quando estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular.
A Lei Geral de Proteção de Dados também prevê expressamente as hipóteses em que não haverá responsabilidade civil do agentes de tratamento de dados, sendo estas: quando não tiverem realizado o tratamento de dados que lhes é atribuído; quando o dano for decorrente de culpa exclusiva do titular dos dados ou de terceiro e quando não houver violação à legislação de proteção de dado. Essas hipóteses são aplicáveis tanto na exclusão de responsabilidade de pessoas de direito privado, quanto pessoas de direito público.
A efetividade da Lei Geral de Proteção de Dados só será passível de comprovação com a sua recente entrada em vigência em 2021, porém a relevância jurídica da lei evidencia-se desde já. É tão somente através de tutelas legais e por meio da concretização de garantias fundamentais que a dignidade e a privacidade permanecem sob adequada proteção jurídica