Ingrid Cristine Vieira Ferreira1
RESUMO
Tratou-se de aferir qual seria o regime de responsabilidade civil adotado pela Lei Geral de Proteção de Dados Pessoais – LGPD e pelo Regulamento Geral de Proteção de Dados - RGPD da União Europeia nº 679/2016, uma vez que este inspirou aquele e tantas outras normativas das nações ao redor do globo, visando, sobretudo, obter conclusões a respeito da efetividade e adequação desses regimes. Partindo da observância das respectivas disposições legais específicas da responsabilização dos agentes de tratamento de dados pessoais, postas sob a ótica da doutrina e jurisprudência a respeito do tema, na perspectiva de pesquisa básica pura, qualitativa e bibliográfica, que resultou na conclusão principal de que não há consenso se a responsabilidade civil estabelecida na LGPD é subjetiva ou objetiva, mas que se subjetiva traz elementos novos de objetividade, muito importantes para o fomento da responsabilização dos agentes de tratamento violadores da Lei, não ficando, por isso, muito atrás da responsabilização do tipo objetiva preconizada pelo RGPD, de forma que a necessidade da observância de ambas as normas deve trazer maior peso de responsabilidade aos agentes de tratamento.
Palavras-chave: Responsabilidade Civil. Proteção de Dados. LGPD. RGPD.
ABSTRACT :
It was about assessing what would be the civil liability regime adopted by the General Law for the Protection of Personal Data – LGPD and the General Data Protection Regulation – RGPD of the European Union nº 679/2016, since it inspired that and many other regulations of nations around the globe, aiming, above all, to obtain conclusions about the effectiveness and adequacy of these regimes. Based on the observance of the respective legal provisions specific to the liability of agents processing personal data, placed from the perspective of doctrine and jurisprudence on the subject, from the perspective of pure basic, qualitative and bibliographic research, which resulted in the main conclusion that no there is a consensus whether the civil liability established in the LGPD is subjective or objective, but that if it is subjective it brings new elements of objectivity, very important for promoting the accountability of treatment agents that violate the Law, not being, therefore, far behind the accountability of the objective type advocated by the RGPD, so that the need to observe both standards should bring a greater burden of responsibility to treatment agents.
Keywords: Civil Responsability. Data Protection. LGPD. GDPR.
1 Introdução
O bêbado entrou na igreja bem na hora em que o pregador dizia:
- Irmãos, o Senhor é onipresente e onisciente! Vocês sabem o que isso significa?
O bêbado cambaleando responde:
- Que ele trabalha no Google?
A situação apresentada pela anedota acima é uma realidade inquestionável, habitual e quem sabe até irreversível na sociedade mundial atual, que torna o conceito de “Big Brother”, do romance de George Orwell, cada vez mais palpável.
A quantidade de dados pessoais indiscriminadamente disponíveis aos mais diversos tipos de pessoas, com as mais diversas intenções, pode gerar consequências devastadoras para os titulares desses dados, gerando uma preocupação global, que mobiliza os legisladores, na tentativa de regulamentar o tratamento dado a esses dados, evitando abusos que comprometam a dignidade, os direitos da personalidade, a privacidade das pessoas.
Neste contexto, surgiu no Brasil a Lei Geral de Proteção de Dados Pessoais (LGPD), a Lei n° 13.709/2018, inspirada no Regulamento Geral de Proteção de Dados (RGPD) da União Europeia (UE) 679/2016.
Segundo, por exemplo, Marcella Blok (2020), o RGPD ou GDPR (General Data Protection Regulation) é considerado a legislação mais completa sobre o tema da proteção de dados, sendo adotado inclusive por outros países que não integram a UE.
Sendo assim, a comparação do regime de responsabilização dos agentes de tratamento de dados adotado pela LGPD com o adotado pelo RGPD pode fornecer importantes contribuições para uma análise crítica da efetividade da proteção de dados no Brasil.
Neste sentido, cabe questionar de que forma cada uma das legislações em comparação estabelece a responsabilização de agentes de tratamento de dados pessoais que agem em desconformidade com elas.
Para tanto, verificando as disposições específicas a este respeito nas normas em questão, especulou-se qual seria a norma mais adequada de responsabilização pelo tratamento inadequado dos dados pessoais, no sentido de garantir maior efetividade à proteção desses mesmos dados, através da colheita da opinião doutrinária e jurisprudencial exaradas no sentido da interpretação e aplicação das normas de proteção de dados em questão.
Assim, segue a pesquisa básica pura, qualitativa e bibliográfica abaixo.
2 Protegendo os Dados Pessoais
A Lei Geral de Proteção de Dados Pessoais dispõe sobre a responsabilidade civil dos agentes de tratamento de dados pessoais no seu Capítulo VI, mais precisamente na Seção III, que compreende os artigos 42 ao 45, que assim dispõem:
Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
§ 1º A fim de assegurar a efetiva indenização ao titular dos dados:
I - o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;
II - os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta Lei.
§ 2º O juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa.
§ 3º As ações de reparação por danos coletivos que tenham por objeto a responsabilização nos termos do caput deste artigo podem ser exercidas coletivamente em juízo, observado o disposto na legislação pertinente.
§ 4º Aquele que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso.
Art. 43. Os agentes de tratamento só não serão responsabilizados quando provarem:
I - que não realizaram o tratamento de dados pessoais que lhes é atribuído;
II - que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou
III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
Art. 44. O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:
I - o modo pelo qual é realizado;
II - o resultado e os riscos que razoavelmente dele se esperam;
III - as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.
Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano.
Art. 45. As hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente. (Lei nº 13.709, de 14 de agosto de 2018)
Conforme se depreende da leitura desses dispositivos e Adrianne Lima et al. ressaltaram, a LGPD não estabeleceu de forma expressa se a responsabilidade dos agentes de tratamento se daria de forma subjetiva ou objetiva, fazendo-se necessária uma análise jurídica, histórica e principiológica para sua interpretação.
As mesmas autoras esclarecem que em princípio a LGPD parece se inclinar para a responsabilidade subjetiva, quando, por exemplo, menciona a culpa no inciso III do art. 43, porém a referenciação do art. 45 às normas consumeristas exige a adoção da responsabilidade objetiva, dos arts. 12 a 14 do Código de Defesa do Consumidor- CDC, quando se tratar de relação de consumo.
Com base no parágrafo único do art. 927 do Código Civil, que dispõe: “Haverá obrigação de reparar o dano, independentemente de culpa, nos casos especificados em lei, ou quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem.”, cabe ainda argumentar no sentido da responsabilidade civil objetiva, mesmo fora das relações consumeristas, haja vista a interpretação do tratamento de dados como atividade de risco.
Todavia, as modificações no Projeto de Lei -PL 4060/2012, que deu origem da LGPD, denotam que o legislador quis afastar justamente essa interpretação, embora pareça melhor se coadunar com o amparo constitucional da proteção de dados, trazido pela Emenda Constitucional nº 115 de 2022, que acrescentou o inciso LXXIX ao memorável art. 5º, colocando entre os direitos e garantias fundamentais a menção expressa à proteção dos dados pessoais.
Fato é que ao retirar do PL as disposições do art. 21, nestes termos: “Os responsáveis pelo tratamento de dados pessoais que incorrerem em infração às normas estabelecidas pela presente lei, ficam sujeitos à aplicação das sanções previstas no Código de Defesa do Consumidor, sem prejuízo das demais sanções de natureza civil e penal cabíveis.”, a mens legis passou a ser outra, retirando a responsabilidade civil do agente de tratamento de dados da vala comum da responsabilidade objetiva trazida pelo CDC.
A doutrina e, consequentemente, a jurisprudência já vem falando de uma nova modalidade de responsabilidade civil trazida pela LGPD, intitulada de responsabilidade ativa ou proativa, nos termos do julgado abaixo colacionado:
A respeito do regime de responsabilidade civil previsto na LGPD, conforme a doutrina de Maria Celina Bodin de Moraes e João Quinelato de Queiroz [...], não se trata mais, como antigamente, de aplicação das regras da responsabilidade subjetiva ou objetiva, mas sim do que a doutrina vem definindo como responsabilidade ativa ou proativa, hipótese em que, às empresas não é suficiente o cumprimento dos artigos da lei, mas será necessária a demonstração da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, a eficácia dessas medidas:
“O sistema de responsabilidade civil da LGPD, previsto nos artigos 42 a 45, mostra-se especialíssimo, sendo talvez a principal novidade da lei, e reflete o disposto no inciso X do art. 6º da Lei que prevê o princípio da “responsabilização e prestação de contas, isto é, a demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas”. O legislador pretendeu não apenas mandar ressarcir, mas quer prevenir e evitar a ocorrência de danos.
Assim, esta responsabilidade especial, à semelhança do que ocorre no Regulamento europeu, está articulada em torno de três noções fundamentais, que devem ser somadas: i) dano, ii) violação da legislação de proteção dos dados por parte do controlador e/ou operador e iii) reparação. Com efeito, o regime demanda que o dano seja resultante de violação da LGPD e que tenha sido causado por um agente de
tratamento dos dados para então impor a obrigação de ressarcir a parte lesada.
(...)
A nova lei, porém, introduz, secundando o regulamento europeu, uma mudança profunda em termos de responsabilização. Trata-se da sua união ao conceito de “prestação de contas”. Esse novo sistema de responsabilidade, que vem sendo chamado de “responsabilidade ativa” ou “responsabilidade proativa” [...]. Portanto, “não descumprir a lei, não é mais suficiente”. (TJ-SP – AC: 1008308-35.2020.8.26.0704 SP 1008308-35.2020.8.26.0704, Relator: Alfredo Attié, Data de Julgamento: 16/11/2021, 27ª Câmara de Direito Privado, Data de Publicação: 16/11/2021)
Como concluíram os autores Bruno Bioni e Daniel Dias:
A despeito da adoção de um regime de responsabilidade civil subjetiva, a LGPD parece ter facilitado a configuração do dever de indenizar. [...]
Deve-se, assim, avançar para além da análise binária do regime jurídico de responsabilidade civil da LGPD, julgando-o de natureza objetiva ou subjetiva. Isto porque não deve haver dúvidas de que a política legislativa adotada exige a investigação em torno de um juízo de culpa dos agentes de tratamento de dados, mas, ao mesmo tempo, prescreve uma série de elementos com alto potencial de erosão dos filtros para que os agentes de tratamentos de dados sejam responsabilizados. O resultado parece ir no sentido de um regime jurídico de responsabilidade civil subjetiva com alto grau de objetividade. (Bioni & Dias, 2020, p. 21).
Outro ponto de relevo sobre a responsabilidade conferida pela LGPD aos agentes de tratamento de dados pessoais e a solidariedade que pode haver entre estes agentes, conforme estabelece o § 1º do art. 42.
Neste sentido, Rafael Fernandes Maciel leciona que:
O objetivo da lei é dar maior efetividade nas indenizações aos titulares e, portanto, caberá aos agentes um cuidado redobrado na celebração dos contratos e definição das obrigações de cada parte, com mecanismos de controle e gerenciamento de forma a mitigar potenciais danos. (Maciel, 2019, p. 89)
A LGPD não se limitou a prever a responsabilização dos agentes de tratamento, mas também instrumentalizou as ações reparatórias dos danos que previu, trazendo, portanto, não só normas de cunho material, como também de natureza processual, a exemplo da possibilidade de inversão do ônus da prova e da propositura de demanda coletiva, na tentativa de dar maior efetividade à proteção de dados, facilitando as indenizações, inclusive por garantir o direito de regresso ao agente indenizante.
A este respeito, cabe destacar as preciosas lições de Oscar Valente Cardoso:
Assim, o juiz deve avaliar qual das partes tem melhores condições de produzir a prova e, se for o caso, atribuir o ônus à parte que litigar contra o titular dos dados pessoais (autor ou réu), para alcançar o equilíbrio entre as partes, a isonomia processual e a paridade (material) de armas. (Cardoso, 2021, p. 49)
O RGPD, por sua vez, dispõe sobre a responsabilidade civil dos agentes de tratamento de dados pessoais no seu Capítulo 8, mais especificamente tratando do direito a indenização e responsabilidade no artigo 82, que assim dispõe:
Arte. 82 GDPR Direito a indemnização e responsabilidade
1. Qualquer pessoa que tenha sofrido danos materiais ou imateriais em consequência de uma violação do presente regulamento tem direito a receber uma indemnização do responsável pelo tratamento ou do subcontratante pelos danos sofridos.
2. 1. Qualquer responsável pelo tratamento envolvido no tratamento é responsável pelos danos causados pelo tratamento que infrinja o presente regulamento. 2. O subcontratante é responsável pelos danos causados pelo tratamento apenas se não tiver cumprido as obrigações do presente regulamento especificamente dirigidas aos subcontratantes ou se tiver agido fora ou contrariando as instruções legais do responsável pelo tratamento.
3. Um responsável pelo tratamento ou subcontratante fica isento de responsabilidade nos termos do n.º 2 se provar que não é de forma alguma responsável pelo evento que deu origem ao dano.
4. Quando mais de um controlador ou processador, ou um controlador e um processador, estiverem envolvidos no mesmo processamento e quando forem, nos termos dos parágrafos 2 e 3, responsáveis por qualquer dano causado pelo processamento, cada controlador ou processador será responsabilizado por a totalidade dos danos de forma a assegurar uma compensação efetiva do titular dos dados.
5. Se um responsável pelo tratamento ou subcontratante tiver, nos termos do n.º 4, pago uma indemnização integral pelos danos sofridos, esse responsável pelo tratamento ou subcontratante tem o direito de reclamar aos outros responsáveis pelo tratamento ou subcontratantes envolvidos no mesmo tratamento a parte da indemnização correspondente ao seu parte da responsabilidade pelos danos, de acordo com as condições estabelecidas no parágrafo 2.
6. As ações judiciais relativas ao exercício do direito a indemnização são intentadas nos tribunais competentes nos termos da lei do Estado-membro referido no n.º 2 do artigo 79.º. (Regulamento (UE) 2016/679 do Parlamento Europeu e do conselho de 27 de abril de 2016)
Assim, resta claro que, ainda que com outras palavras para se referirem as mesmas coisas, o RGPD estabelece o mesmo tipo de responsabilidade solidaria entre os agentes de tratamento de dados pessoais, também com direito de regresso, e pelos mesmos danos aos titulares, tudo conforme visto na LGPD, porém, quanto as causas excludentes da responsabilidade, o RGPD prevê apenas a possibilidade dos responsáveis pelo tratamento dos dados provarem que não são de forma alguma responsáveis pelo evento que deu origem ao dano, não prevendo as outras hipóteses trazidas pela LGPD, tornando, portanto, bem mais difícil a escusa reparatória para os agentes danosos sujeitos ao regulamento europeu, que, neste sentido, estabeleceu uma responsabilidade do tipo objetiva.
No que concerne as disposições procedimentais das ações judiciais indenizatórias, o RGPD deixou tudo a cargo da lei do Estado-membro, não trazendo disposições a este respeito, como o fez a LGPD, o que, dependendo do disposto na lei do Estado-membro, pode gerar maior ou menor efetividade na reparação dos danos decorrentes do tratamento de dados pessoais, além de soluções diversas para as mesmas situações em cada Estado-membro, podendo ser este um fator de injustiça e insegurança jurídica.
2. 1 Aferindo a efetividade da proteção
DLA Piper (2023), um escritório de advocacia global que opera por meio de várias entidades legais, comparou as leis de proteção de dados em todo o mundo e classificou o nível de proteção de dados no Brasil, trazido pela LGPD, como moderado, enquanto que os países integrantes da UE, amparados pelo RGPD, gozariam do maior nível de proteção, entre os níveis limitado, moderado, robusto e pesado, adotados pelo escritório.
Assim, mesmo que a norma Brasileira tenha se inspirado na norma europeia e, em termos gerais, estabeleça uma responsabilização bem semelhante, outros aspectos do Regulamento Europeu.
Seja como for, conforme destacou Daniel Paulo Paiva Freitas:
Assim, ficou evidenciada [...] a importância do estudo do GDPR, seja por sua vinculação temática e de conteúdo com a LGPD brasileira, seja pelo impacto que poderá causar em empresas do Brasil, brasileiros com cidadania europeia e empresas multinacionais, entre outras inúmeras situações relevantes para a segurança e proteção de dados que o gestor deve primar em sua atuação de boas práticas de governança. (Freitas, 2020, p. 99)
3 Considerações Finais
Há muita discussão em torno da subjetividade ou objetividade da responsabilidade civil estabelecida pela LGPD, cuja pacificação certamente ficará a cargo das próximas decisões judiciais, sendo certo, contudo, que ainda que prevaleça o intendimento de que a LGPD adotou a subjetividade, essa Lei lhe deu novos contornos, no sentido do fortalecimento do dever de indenizar, não restando, neste ponto, muita distância com o RGPD, embora este dê um tratamento mais objetivo a responsabilidade civil dos agentes de tratamento de dados pessoais.
A peculiaridade da LGPD em tratar da temática processual da ação indenizatória proveniente do tratamento indevido, nos seus termos, dos dados pessoais, parece lhe conferir certa vantagem na proteção dos titulares dos dados, ao menos potencial e casuisticamente, quando posta em comparação com a ausência de disposições iguais no Regulamento Europeu, porém sem ser algo determinante, muito menos capaz de tornar a Lei brasileira de proteção de dados mais efetiva que o RGPD.
Seja como for, no mundo globalizado em que se dão as relações sociais da atualidade, fato é que, em geral, ambas as legislação tem de ser observadas pelos mais diversos agentes de tratamento de dados pessoais, de forma que a responsabilização objetiva deve nortear a atuação desses agentes, no sentido de evitar a todo custo, proativamente, o resultado danoso.
4 Referências Bibliográficas
Bioni, B. & Dias, D. (2020). Responsabilidade civil na proteção de dados pessoais: construindo pontes entre a Lei Geral de Proteção de Dados Pessoais e o Código de Defesa do Consumidor. Site Civilistica.com. Disponível em: http://civilistica.com/responsabilidade-civil-na-protecao-de-dados-pessoais/ Acessado em 03 de fevereiro de 2023.
Blok, M. (2020). Compliance e Governança Corporativa (3a ed.) Rio de Janeiro, RJ: Freitas Basto.
Brasil. (1988). Constituição da República Federativa do Brasil. Disponível em http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm. Acessado em 03 de fevereiro de 2023.
Brasil. (1990). Dispõe sobre a proteção do consumidor e dá outras providências. Lei n. 8.078 . Disponível em https://www.planalto.gov.br/ccivil_03/leis/l8078compilado.htm. Acessado em 03 de fevereiro de 2023.
Brasil. (2002). Institui o Código Civil. Lei 10.406. Disponível em https://www.planalto.gov.br/ccivil_03/leis/2002/l10406compilada.htm. Acessado em 03 de fevereiro de 2023.
Brasil. (2018). Lei Geral de Proteção de Dados Pessoais (LGPD). Lei n. 13.709. Disponível em https://www.planalto.gov.br/ccivil_ 03/_ato2015-2018/2018/lei/L13709compilado.htm. Acessado em 03 de fevereiro de 2023.
Brasil. (2012). Projeto de Lei de Proteção aos dados pessoais. PL 4.060. Disponível em https://www.camara.leg.br/proposicoesWeb/prop_mostrarintegracodteor=1001750&filename=PL%204060/2012. Acessado em 03 de fevereiro de 2023.
Cardoso, O. V. (2021). Proteção de Dados na Prática (v.1). eBook Kindle.
DLA Piper (2023). Data Protection Laws of the World. Disponível em https://www.dlapiperdataprotection.com/index.html?t=world-map&c=BR&c2=FR Acessado em 03 de fevereiro de 2023.
Freitas, D. P. P. (2020). Proteção e Governança de Dados. Curitiba, PR: Contentus.
Lima, A.; Samaniego, D. & Baronosvky, T. (2021). LGPD para contratos: Adequando contratos e documentos à Lei Geral de proteção de dados. São Paulo, SP: Saraiva Jur.
Maciel, R. F. (2019). Manual Prático Sobre a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/18). Goiânia, GO: RM Digital Education.
Regulamento (UE) 2016/679 do Parlamento Europeu e do conselho de 27 de abril de 2016 sobre a proteção das pessoas físicas no que diz respeito ao tratamento de dados pessoais e sobre a livre movimentação desses dados e revogando a Diretiva 95/46/EC (Regulamento Geral de Proteção de Dados). Disponível em 4 maio, 2016, de https://gdpr-info.eu/ Acessado em 03 de fevereiro de 2023.
1 Graduada em Direito. Especializada em Docência e Gestão do Ensino Superior. Mestranda em Estudos Jurídicos com Ênfase no Direito Internacional pela Must University. E-mail.: [email protected].