4. DA RESPONSABILIDADE CIVIL
No decorrer do presente capítulo, buscaremos averiguar não só em como se dá a responsabilidade civil das controladoras de dados, mas também se há alguma diferenciação no tipo de responsabilidade a depender do ambiente em que este dado encontra-se inserido. Não será alvo de estudo a ampla conceituação do instituto da responsabilidade e seus pilares, visto não ser a prioridade com o presente trabalho.
De Plácido e Silva define responsabilidade civil como "(...) a obrigação de reparar o dano ou de ressarcir o dano, quando injustamente causado a outrem.” SILVA, De Plácido e. Vocabulário jurídico. 27. ed. Rio de Janeiro: Forense, 2008.
Por derradeiro, pode-se dizer então que haverá o dever de reparar o dano sempre que a conduta gerada por determinado agente causar dano a outrem. A responsabilidade civil também é sedimentada nos artigos 186 e 927 do Código Civil, senão vejamos:
“Art. 186. Aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que exclusivamente moral, comete ato ilícito.”
“Art. 927. Aquele que, por ato ilícito (arts. 186 e 187), causar dano a outrem, fica obrigado a repará-lo.”
Parece evidente a preocupação do legislador em garantir ao lesado, o direito de haver em vias judiciais a reparação do dano, mediante indenização capaz de tornar quase nulo os efeitos da ação ou omissão do agente. A responsabilidade poderá ser atribuída de forma subjetiva ou objetiva, sendo esta primeira, a que decorre do elemento culpa. Ou seja, para que seja imputada a responsabilidade ao agente, necessário será demonstrar que o mesmo incorreu em culpa para que o resultado fosse alcançado. Já na segunda, tal elemento não se faz necessário. A responsabilidade objetiva decorre do próprio ato, aqui, por força de lei ou quando a própria atividade assim demonstrar necessário, o dano por si só já é capaz de gerar dever de indenizar, salvo nos casos de excludentes de responsabilidade.
“Parágrafo único, artigo 927 do Código Civil: Haverá obrigação de reparar o dano, independentemente de culpa, nos casos especificados em lei, ou quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem.”
Nota-se que razoável seria atribuir a espécie de responsabilidade objetiva às controladoras de dados, por força da parte final da legislação acima (teoria da garantia). Ora, o titular, ao consentir com a armazenagem e tratamento específico de seus dados, o faz acreditando que o controlador observará tal consentimento pautado nos principíos que regem a boa-fé e, não só armazenará estes dados com a finalidade do consentimento do titular, como também adotará medidas para que impeça a desvirtuação do fim específico dado pela pessoa para utilização de suas informações. Neste sentido, pode-se afirmar que a própria relação entre titualr e controlador pressupõe uma responsabilidade objetiva deste segundo que, no caso de não observação das regras da lei geral de proteção de dados, responderá pelos danos independente de culpa.
Uma das mais notaveis inovações trazidas pela LGPD é o reconhecimento do dever de indenizar daquele que, em não observância a lei, causar dano a outrem:
“Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.”
Não bastasse, o legislador reconheceu, ainda, a hipossufiência de informação existente entre titular e controlador, constituindo, de modo a facilitar a defesa daquele que houver sofrido dano por conta das ações dos controladores de dados, a inversão do ônus probatório para que o controlador detenha o dever de produzir a prova de que não incorreu na hipótese do artigo 42. Importante trazer a baila que tal inversão não é automática e que o modelo parece seguir os moldes do artigo 6º do Código de Defesa do Consumidor, requerendo que o titular demonstre ser verossímel a alegação e hipossuficiência para fins de produção de provas.
A ação de reparação mostra-se ser bastante prejudicial ao controlador de dados, que poderá, além de responder objetivamente pela má utilização dos dados, ter o ônus invertido em seu desfavor, podendo a constituição de ações indenizatórias no escopo da LGPD ser de grande incômodo para as controladoras de dados. No entanto, a máxima do direito patrimonial que diz “a indenização mede-se pela extensão do dano” poderá sofrer mitigação com a chegada da nova lei. O legislador mostrou-se preocupado não só com o tipo de responsabilidade e facilitação dos meios de produzir prova do titular, mas também em como as controladoras deverão se comportar para que possa haver diminuição da indenização.
O legislador não só se preocupou com com as regras de segurança e padrões de boa prática a serem adotados, como também deu a chance às controladoras de terem por diminuida a gravidade do incidente, se demonstrar que adotou práticas suficientes para ao menos tentar com que os dados em seu poder mantivessem protegidos, a redação do art. 48, §3º da lei nos mostra exatamente o alegado:
“Art. 48, §3º: No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los.”
Conclui-se que o legislador não se preocupou com o local de armazenagem das informações, tampouco diferenciou o tipo de tratamento a ser efetuado com os dados. Em outras palavras, parece razoável afirmar que a Lei de Proteção de Dados inova ao trazer a figura da responsabilidade civil das controladoras, porém não diferencia o dado online e offline, tampouco a pretensão da controladora ao obter o dado. Busca a norma, no entanto, privilegiar com uma possível redução do quantum indenizatório, aquelas que comprovarem que adotaram técnicas adequadas para preservar o dado obtido, por isso, é de inestimável relevância o trabalho de compliance e adoção de medidas que possam amenizar as chances de vazamentos de dados.
5. CONCLUSÃO
O presente trabalho teve a finalidade de averiguar a aplicação da Lei de Proteção de Dados fora do ambiente virtual e mais, fora do chamado data monetization, ou seja, tentativa de lucrar e manipular sociedades com a obtenção de dados de terceiros. A visão da lei fora do prisma do Direito digital é de suma importância para que tenhamos conhecimento das implicâncias da LGPD sobre as informações de terceiros mantidas por empresas em qualquer meio que não o digital.
Ao decorrer do artigo, foi demonstrada a importância do advento da legislação e a recente mudança da sociedade que agora migra para se transformar em uma comunidade digital. No entanto, grande parte das empresas que tratam com pessoas tem ainda sua base de dados em sistemas offline, e não usam a transação de dados como forma de negócio. Com o presente trabalho, restou comprovado que a aplicação da lei também possui escopo no direito civil comum, corriqueiro, fora do ainda recente e inexplorado direito digital e de tecnologia.
Não bastasse, foi pontuado ainda que, em que pese o legislador ter adotado uma postura de mensurar através da própria atividade da controladora e os cuidados que a mesma tomou para, ao menos, tentar manter o dado que possui em segurança, a extensão do dano e a gravidade do incidente, pouco é relevante para os fins da lei e o ambiente em que o dado se encontra, inclusive para fins de responsabilidade civil e administrativa.
Diante do alegado, apesar de a lei ter sido incentivada pela crescente preocupação com as informações digitais em poder de empresas e as formas como elas são obtidas, os impactos não são restritos a essas, devendo toda pessoa que utilize do tratamento de dados – seja para enviar uma peça promocional ao cliente, ou para que mantenha em seus registros fisicos algum dado de seu consumidor para facilitar a entrega de determinado produto ou serviço, v.g. – estar em plena atenção às implicações da lei de proteção de dados, sob pena de sofrer com as consequências nela previstas.