RESPONSABILIDADE CIVIL A LUZ DOS PRINCÍPIOS DA LEI GERAL DE PROTEÇÃO DE DADOS Nº 13.709/2018 LGPD

CENTRO UNIVERSITÁRIO CARLOS DRUMMOND DE ANDRADE

UNIDRUMMOND

RICARDO ANDRIAN CAPOZZI

RESPONSABILIDADE CIVIL A LUZ DOS PRINCÍPIOS DA LEI GERAL DE PROTEÇÃO DE DADOS Nº 13.709/2018

São Paulo

2021

RICARDO ANDRIAN CAPOZZI

RESPONSABILIDADE CIVIL A LUZ DOS PRINCÍPIOS DA LEI GERAL DE PROTEÇÃO DE DADOS Nº 13.709/2018

Trabalho de Conclusão de Curso apresentado para a obtenção do grau de bacharel em Direito pela Faculdade Carlos Drummond de Andrade.

Orientador: Professor Me. Diego S. Sanchez

São Paulo

2021

CAPOZZI, Ricardo Andrian

RESPONSABILIDADE CIVIL A LUZ DOS PRINCÍPIOS DA LEI GERAL DE PROTEÇÃO DADOS Nº 13.709/2018

São Paulo, 08 de novembro de 2021

52 fls.

Orientador(a): Me. Diego Santos Sanchez - Trabalho de Conclusão de Curso - Bacharel em Direito - Centro Universitátio Carlos Drummond de Andrade, São Paulo, 2021.

1.Introdução 2. Lei geral de proteção de dados. 3. Dos princípios regidos pela lei geral de proteção de dados. 4. Implicações legais aos princípios da lei geral de proteção de dados para o tratamento de dados e pessoais 5. Apresentação de um caso de responsabilidade civil aplicada 6. Conclusões. 7. Epilogo.

RICARDO ANDRIAN CAPOZZI

A RESPONSABILIDADE CIVIL A LUZ DOS PRINCÍPIOS DA LEI GERAL DE PROTEÇÃO DE DADOS Nº 13.709/2018

Trabalho de Conclusão de Curso apresentado para a obtenção do grau de bacharel em Direito pela Faculdade Carlos Drummond de Andrade.

Aprovado em 08 de novembro de 2021.

BANCA EXAMINADORA

Professro Me. Diego Santos Sanchez

Professora Me. Regina Maria Pinna

Professora Esp. Neivaldo Gonçalves da Costa

São Paulo

2021

Dedico esta pesquisa a Deus e o Divino Mestre Jesus, ao mentor Ubiratan, Dr. Bezerra de Menezes e toda a espiritualidade amiga por permitir minha existência e meus pais que me deram à vida e me ensinaram a vivê-la com dignidade e no caminho da luz.

Ricardo Capozzi

AGRADECIMENTOS

Sempre ao Divino mestre Jesus e todos os anjos de luz.

Aos meus pais, por nunca terem medido esforços para me proporcionar um ensino de qualidade durante todo o meu período escolar.

A minha amada e sempre amada esposa Gisele e minha filha Gabriela, pelo carinho e apoio, que desde o início estiveram incansavelmente ao meu lado e minhas amadas gatinhas Lana e Mia.

Aos professores que contribuíram com toda minha formação, em especial aos professores que ao longo de minha trajetória sempre estenderam seu apoio.

Aos professores, por todos os conselhos, pela ajuda e pela paciência com a qual guiaram o meu aprendizado.

A minha grade colega de classe, Dra. Luciane Cristina da Silva Lima por toda ajuda dispensada durante estes anos de parceria.

Ao meu Orientador, mestre e professor Diego Sanchez, pela confiança em minha capacidade.

A todos os professores que fizeram parte desta minha epopeia acadêmica, dentro do maravilhoso mundo do Direito. Adriano Conceição Abílio, Andréa Araújo Diniz Matos Zambl, Ana Malaco, Cleber Peres, Danilo Junior de Oliveira, Diego Santos Sanchez, Elessandra Santos Marques Válio, Emerson Salino, Elda Souza, Luciano Vieiralves Schiappacassa, Gleibe Pretti, Guilherme Gomez de Andrade, Gisele Mascarelli Salgado, Marcos Tulio de Souza Bandeira, Neivaldo Gonçalves da Costa, Jesus Claudio Pereira de Almeida, Rodrigo Alves da Silva, Rui Décio Martins, Regina Maria Pinna, Tais Cecilia dos Santos Lima de Clares, Thais Pirani Fernandes Pavanello Mingoranze, Washigton Carlos de Almeida e Wagner Carillo.

RESUMO

O presente trabalho coloca em pauta o novo cenário trazido pela Lei Geral de Proteção de Dados com viés para a responsabilidade civil e indenizações por problemáticas nas tratativas de dados pessoais das pessoas naturais. O objetivo central é abordar os princípios da normativa legal e como podem ser evocados para a reparação de danos causados pela ilicitude na salvaguarda e publicitação de tais dados pelos agentes responsáveis por seus tratamentos. Tal abordagem também se reflete em outras normativas legais a exemplo do Código de Defesa do Consumido e do Marco Civil da Internet. Apresenta-se ao final, um caso de indenização por dano pelo vazamento de dados pessoais em uma relação comercial e seus desdobramentos jurídico.

Palavras Chaves: Proteção. Privacidade, Dados, Princípios e Responsabilidade Civil.

ABSTRACT

The present work discusses the new scenario brought by the General Data Protection Law with a bias towards civil liability and compensation for problems in dealing with personal data of natural persons. The main objective is to address the principles of legal regulations and how they can be invoked to repair damages caused by illegality in safeguarding and publicizing such data by agents responsible for their processing, such approach is reflected by other legal regulations such as the Code of Consumer Protection and the Civil Rights Framework for the Internet. At the end, a case of indemnity for damage caused by leakage of personal data in a business relationship and its legal consequences is presented.

Keywords: Protect. Privacy, Data, Principles and Civil Liability.

SUMÁRIO

INTRODUÇÃO8

CÁPITULO 1 A Lei Geral de Proteção de Dados 10

1.1 Apresentação da Lei Geral de Proteção de Dados10

1.2 Do tratamento dos dados pessoais segundo a LGPD12

1.3 Do princípio da privacidade de dados pessoais13

1.4 Hipóteses para tratamento de dados pessoais14

CAPÍTULO 2 - Dos princípios regidos pela Lei Geral de Proteção de Dados Pessoais15

2.1 Definições preambulares dos Princípios Jurídicos15

2.2 Princípios normativos da Lei Geral de Proteção de Dados16

2.3 Descrição dos princípios normativos da Lei Geral de Proteção de Dados17

CAPÍTULO 3 - Implicações legais aos princípios da Lei Geral de Proteção de Dados para o tratamento de dados e pessoais28 3.1 A natureza da responsabilidade civil na LGPD 29 3.2 O direito de regresso31

CAPÍTULO 4 Apresentação de um caso de Responsabilidade Civil aplicada sob a ótica da Lei Geral de Proteção de Dados32

4.1 Dano Material e Dano Moral nas Relações de Consumo33

4.2 Apresentação do estudo de caso envolvendo vazamentos de dados e a Responsabilidade Civil de indenizar34

CONCLUSÕES37

EPÍLOGO38

REFERÊNCIAS BIBLIOGRÁFICAS E WEBGRÁFICAS39

GLOSSÁRIO LGDP42

APÊNDICES45

LISTA DE FIGURAS

Figura 1 Rol exemplificativo das hipóteses de coleta de dados.................................14

Figura 2 Ativos versus fases do ciclo de tratamento versus medidas de segurança.24

LISTA DE TABELAS

Tabela 1 Direitos garantidos aos titulares de dados baseado em princípios.............27

INTRODUÇÃO

Em 14 de agosto de 2018, houve o sancionamento da Lei Nº 13.709, conhecida como Lei Geral de Proteção de Dados, tratada e melhor conhecida apenas com LGPD. Esta lei não é uma novidade no campo das proteções de dados pessoais, mas o Brasil, combinado às regras promovidas por uma lei similar lançada na comunidade europeia, chamada de Regulamento de Europeu de Proteção de Dados (GDPR) dentre outros países da qual o Brasil bebeu destas fontes, se viu, por força regulatória econômica e de segurança jurídica a criar sua própria lei infra constitucional, apesar de conter, em caráter suplementar, outras leis esparsas que tutelam a proteção de dados, como o Código de Defesa do Consumidor, o Marco Civil da Internet e o próprio Código Civil.

Esta lei atinge todas as empresas, públicas ou privadas, de qualquer porte, nicho ou segmento e que de alguma forma tratem dados pessoais. Entretanto, a velocidade em que a tecnologia demanda novos volumes de informação é inversamente proporcional a capacidade em que estas empresas, ora chamadas de Controladores de Dados, têm para se adequar jurídica e tecnologicamente aos preceitos do referido diploma legal de proteção de dados pessoais[1].

Por outro lado, a Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública direta federal do Brasil que faz parte da Presidência da República e possui atribuições relacionadas à proteção de dados pessoais e da privacidade, irá fiscalizar e aplicar severas multas por infrações que levem a vazamentos de dados pessoais ou o não cumprimento da referida lei.

O Direito, por sua vez, não encontra guarida em acompanhar as mudanças da sociedade e da informação face às normas jurídicas na mesma velocidade em que a estas são implementadas, obrigando-se a se adaptar às novas formas de relações sociais e jurídicas, a fim de dirimir ou mitigar possíveis reponsabilidades sobre a perda ou vazamentos de dados pessoais.

Assim, a evolução da tecnologia trouxe a necessidade de imposição de limites éticos ao tratamento de dados pessoais, e junto com ela, uma nova forma de estabelecer o relacionamento entre o titular deste dado e o seu Controlador como agente que trata este dado segundo alguns princípios fundamentais.

Assim, a lei prevê que em seu artigo 6º que as atividades de tratamento de dados pessoais deverão obedecer a certos princípios. Trata-se, portanto, de um rol exemplificativo em que as entidades deverão atentar-se, por pena de, em seu descumprimento, arcar com severas multas junto à Autoridade Nacional de Proteção de Dados (A.N.P.D) cumuladas ou não, com Responsabilidade Civil previstas pelos artigos 186 e 927 do Código Civil.

Assim, saber o que tratar, quando tratar e porque tratar será de vital importância para a manutenção cumulado com, quando necessário, o consentimento inequívoco pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada, a fim de evitar ao máximo alguma penalidade Civil.

Neste mote, o referido estudo pretende, sem esgotar o tema, trazer uma análise sobre os principais dispositivos da Lei Geral de Proteção de Dados e sua referida aplicabilidade, em particular aos princípios melhor descritos no artigo 6º do referido Diploma com suas respectivas responsabilidades por parte do Controlador.

1 A LEI GERAL DE PROTEÇÃO DE DADOS

Na era da economia de dados, o verdadeiro valor das empresas está nos dados de seus clientes. Isso significa que os dados são um novo ativo digno de proteção, que não pode ser mais negligenciada. Assim, os dados pessoais tratados pelas empresas são apenas emprestados, não são de sua propriedade! Para que as empresas preservem tais dados e permaneçam com credibilidade, terão que demonstrar ampla transparência ao se comunicar sobre quais dados coletam, para quais finalidades, quem é o seu processador e assim por diante.

• Apresentação da Lei Geral de Proteção de Dados

Segundo DONEDA (2011, p. 96-98), as leis concernentes à proteção de dados pessoais podem ser divididas em quatro gerações. Inicialmente, as leis tinham como enfoque a criação dos bancos de dados que ganhavam grandes proporções na década de 1970, e na limitação do Estado na utilização e controle das informações. Na época, a preocupação dos legisladores era mais voltada à expansão da tecnologia e no processamento dos dados, do que no princípio de privacidade do cidadão, que jazia em segundo plano.

A segunda geração avançou no sentido de preocupar-se com a privacidade do indivíduo e no acesso de terceiros às suas informações, oferecendo formas de controle para que a própria sociedade tivesse maneiras de tutelar seus direitos individuais.

Já na terceira geração, observa-se o princípio de liberdade, a fim de que o titular pudesse ter uma autodeterminação, referente à maneira cujos dados seriam coletados e tratados.

Por fim, a quarta geração foi adaptada para aplicar técnicas que deem efetividade para conter a disparidade entre o indivíduo titular dos dados pessoais e a entidade que os coleta e processa. Dessa maneira, aumenta-se a proteção dos direitos fundamentais do cidadão atrás de normativas mais técnicas e categóricas, assegurando o nível de proteção e cautela a ser tomada de acordo com o grau de sensibilidade do respectivo dado pessoal e seu titular.

É neste contexto que nasce a Lei Geral de Proteção de Dados[2] ligada às pessoas naturais e que está em vigor no Brasil desde agosto de 2018, sendo esta a principal legislação brasileira que determina como os dados pessoais podem ser tratados, prevendo sanções severas às infrações que versem sobre o seu vazamento ou indisponibilidade. Foi sancionado pelo Congresso Nacional pela PLC 53/2018 em 14 de agosto de 2018, donde dispõe sobre a proteção de dados pessoais alterando a Lei 12.965/16 (Marco Civil da Internet), consolidando-se assim como a Lei Geral de Proteção de Dados brasileira.

Assim como a General Data Protection Regulation (GPDR[3]) tem como regulamento do direito europeu sobre privacidade e proteção de dados pessoais, sendo aplicável a todos os cidadãos da comunidade Europeia e Espaço Econômico Europeu, o Brasil, inspirado nesta regulamentação, lançou sua própria regulação sobre o mesmo tema.

A LGPD impulsionará mudanças de paradigma na gestão dos dados, evidenciando a necessidade de adequações internas e da construção de uma cultura de proteção de dados, o que até antes da entrada da Lei, era pouco aplicada no Brasil.

Em suma, ela cria um marco legal para a proteção de informações pessoais dos brasileiros, residentes ou em trânsito pelo Brasil, como nome, endereço, idade, estado civil, e-mail e situação patrimonial; e visa garantir mais transparência na coleta, processamento e compartilhamento dos dados dos indivíduos, inclusive em meio digital. Em tempo, cabe-se colocar que a lei não proíbe o tratamento[4] dos dados, mas vem apenas como forma regulamentadora, trazendo segurança jurídica a titulares de dados e empresas do setor privado.

Fortemente baseado no regulamento europeu, seu objetivo é criar um novo paradigma de regramento para o uso de dados pessoais, tanto no âmbito online quanto offline, ou seja, é agnóstica, pois não se preocupa em explicitar usos ou meios tecnológicos para o seu tratamento. Isto implica dizer que uma simples anotação em papel contendo um dado pessoal de terceiro está sujeita a esta lei quando há fins específicos[5], como os econômicos, legais, de saúde etc. Importante salientar que o Brasil já dispunha de mais de quarenta normas que direta e indiretamente tratavam da proteção à privacidade e aos dados pessoais, como o Código de Defesa do Consumidor, por exemplo. Todavia, a LGPD vem substituir e ou complementar esse arcabouço regulatório setorial, por vezes conflituoso e que trazia alta insegurança jurídica, o que torna o país menos competitivo no contexto de uma sociedade cada vez mais movida a informação. É temerário para as empresas não estarem em conformidade com as leis de privacidade pois correm o risco de multas e ações judiciais, sem mencionar a perda da reputação e da fidelidade do cliente.

Ao ter uma Lei Geral, o Brasil entra para o rol de mais de cem países que hoje podem ser considerados adequados para proteger a privacidade e o uso de dados, tornando-nos mais completivos.

• Do tratamento dos Dados Pessoais segundo a LGPD

A lei nº 13.709 de 14 de agosto de 2018 nomeada de Lei Geral de Proteção de Dados Pessoais, ao que consta, tem taxatividade mitigada ao elencar vinte[6] verbos em seu artigo 5º, inciso X donde o tratamento pode ser:

Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (Brasil, 2018, Art. 5º, X).

Assim, qualquer manipulação sobre um dado pessoal, em que a informação relacionada a pessoa natural identificada ou identificável segundo o inciso I do mesmo artigo, deve acatar a alguns princípios que são elencados no artigo 6º e que serão melhor discutidos em momento oportuno.

• Do princípio da Privacidade de Dados Pessoais

Na égide máxima da legislação brasileira[7], temos a previsão acerca da privacidade dentro do rol de direitos fundamentais do artigo 5º inciso X: São invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação.

Segundo a Lei Geral de Proteção de Dados, considera-se dados para dos devidos fins, aplicadas pelo artigo 5º, incisos I, II e III respectivamente:

I - Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

II - Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

III - Dado anonimizado: dado relativo à titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento (Brasil, 2018, Art. 5º).

Realizar uma interpretação jus positivista do referido dispositivo não será suficiente para entender a sociedade atual. De acordo com RODOTÁ (2008, p. 92), a privacidade na era da informação deverá ser definida pelo direito do sujeito de manter o controle sobre as próprias informações. Nesse sentido, valorizam-se as escolhas pessoais em detrimento das vontades corporativas, como as fomentadas pelas áreas comercial e de marketing, por exemplo, levando em conta o novo poder que o indivíduo possui sobre o tratamento de seus dados.

Assine a nossa newsletter! Seja o primeiro a receber nossas novidades exclusivas e recentes diretamente em sua caixa de entrada.

Inscrever

Assim, sempre que um tipo de tratamento qualquer lançar mão sobre um determinado dado, de cunho pessoal, privado ou não, deverá ser aplicado segundo certos princípios que são bem aclarados pela Lei Geral de Proteção de Dados para minimizar as consequências de não conformidade.

• Hipóteses para tratamento de Dados Pessoais

Antes de iniciarmos sobre o tema dos Princípios de Tratamento a luz da LGPD, importante se faz apresentar sobre as hipóteses que legitimam o tratamento de dados. O seu artigo 7º traz dez hipóteses taxativas para o tratamento de dados, o que significa dizer que o tratamento de dados somente poderá ser legalmente realizado dentro dessas previsões.

Rol exemplificativo das hipóteses de coleta de dados

Figura 1 Hipóteses exemplificativas onde pode haver o tratamento de dados pessoais. EBC Empresa Brasil de Comunicação. Disponível em https://www.ebc.com.br/lgpd/noticias/2019/11/situacoes-onde-pode-se-tratar-dados-sem-autorizacao. Acessado em: 16 maio 2021.

Nenhuma das hipóteses legais prepondera ou prevalecerá hierarquicamente sobre as demais, sendo sempre necessário buscar a base legal que seja mais adequada às operações do controlador. Devem manter-se em harmonia.

Por esta razão, é importante que as empresas que trabalham com tratamento de dados pessoais em suas operações adequem seus procedimentos internos e suas políticas de compliance[8] desde logo, a fim de estar em conformidade com a lei e garantir a regularidade de suas operações de tratamento.

2 DOS PRINCíPIOS REGIDOS PELA LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS

A Lei Geral de Proteção de Dados Pessoais reza que todas as atividades de tratamento de dados pessoais deverão observar a boa-fé e determinados princípios que nortearão como as empresas controladoras e titulares coexistirão de forma harmônica. Sem querer esgotar o tema, obviamente, todas as regras processuais, em que esfera for, devem ser regidas por bases principiológicas.

2.1 Definições preambulares dos princípios jurídicos

Princípio[9] significa o início, fundamento ou essência de algum fenômeno. Também pode ser definido como a causa primária, o momento, o local ou trecho em que algo, uma ação ou conhecimento, tem origem, sendo que o princípio de algo -seja como origem ou proposição fundamental - pode ser questionado. Outro sentido possível seria o de norma de conduta, seja moral ou legal. Na filosofia, é uma proposição que se coloca no início de uma dedução e que não é deduzida de nenhuma outra proposição do sistema filosófico em questão. Pode-se colocar, com as devidas proporções que é a gênese da Lei.

Já para AVILA (2005) e SANTOS (2015), nas disciplinas do Direito, os princípios são os alicerces da norma, fundamentos em essência, são como o refúgio em que a norma encontra sustentação para racionalizar a sua legitimação, são a base de onde se extrai o norte a ser seguido por um ordenamento, seja em sentido lato como observa-se nos princípios constitucionais, seja em ramos específicos do direito, como o trabalhista, em que o princípio da proteção do trabalhador serve de alicerce para a construção de todos os outros princípios dessa área do direito e de sua legislação não codificada como a jurisprudência. Para Santos apud Melo (2009, p. 882-83), uma definição jurídica para princípio legal seria:

Mandamento nuclear de um sistema, verdadeiro alicerce dele, disposição fundamental que se irradia sobre diferentes normas compondo-lhes o espírito e sentido servido de critério para sua exata compreensão e inteligência, exatamente por definir a lógica e a racionalidade do sistema normativo, no que lhe confere a tônica e lhe dá sentido harmônico.

Destarte, podemos extrair desse compêndio inicial que os princípios, além de serem a origem de algo, a base de sustentação da norma, também são ideias mais genéricas de onde se pode extrair concepções e intenções para a criação de outras normas, ou encontrar a sua sustentação em caso de lacunas na sua aplicação.

Tal prerrogativa se observa no artigo 4º da Lei de Introdução as Normas de Direito Brasileiro, no artigo 126 do Código de Processo Civil e no artigo 8º parágrafo único da Consolidação das Leis do Trabalho em que todos afirmam que, em caso de omissão de regra, o juiz deve decidir a lide baseado em analogias, costumes e princípios gerais de direito. (grifo nosso)

2.2 Princípios normativos da Lei Geral de Proteção de Dados

Podemos identificar ao menos duas teses acerca da natureza da distinção entre princípios e regras: I - a distinção se deve a um aspecto lógico; II - a distinção se deve a um aspecto de grau de generalidade (SILVA, 2003).

Este mesmo autor defende que a regra tem dimensão única: a da validade. Se for válida, deverá ser aplicada integralmente, em sua inteireza, ou não ser aplicada em absoluta. Esse aspecto da regra é também chamado por DWORKIN (1977) de tudo ou nada: ou a regra é totalmente aplicada, ou não, de forma atômica. Não existem diferentes graus de aplicação.

Para SILVA (2003), em sendo o princípio o ato que apresenta a dimensão de peso ou importância inicial de qualquer processo, não fazendo sentido falar em sua validade. Dentre os possíveis princípios aplicáveis, será eleito aquele que apresentar maior peso relativo aos demais em face da situação analisada, algo como hierarquia de princípios.

Assim, a questão sobre qual princípio é o mais importante para ser aplicado ao caso em concreto é realmente válida e carece de ser tratada com muito esmero pelo operador do direito, pois dependerá do caso concreto. Será então acolhida aquela que for eleita como mais relevante. Em tempo, necessário colocar que o princípio eventualmente não escolhido continuará coexistindo poderá, quando oportuno, ser evocado em outro momento sem qualquer tipo de consequência a sua existência.

2.3 Descrição dos princípios normativos da Lei Geral de Proteção de Dados

Dentre diversas disposições dadas pela Lei, merecem nossas considerações para efeitos deste trabalho acadêmico, os preceptivos que tratam dos princípios jurídicos assim considerados em relação ao tratamento de dados e que deverão ser respeitados por ocasião de tais tratamentos.

Neste sentido, a normativa legal foi cuidadosa para disciplinar o tratamento de dados das pessoas naturais, ou seja, aqueles envolvendo os já descritos no artigo 5º, inciso X em seu rol taxativo.

Iniciando sua jornada regulamentária a respeito de tais princípios, cravou em caráter introdutório no caput do artigo 6º, a recomendação de que o tratamento seja presidido pela boa-fé, para logo depois relacionar os princípios jurídicos que, em seu entender, considera relevantes para o objeto disciplinado, como rege o próprio enunciado em seu caput: As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios.

Segundo Pestana (2020), certamente assim o fez por propor desde logo que o amplo cenário atingido pela Lei, nos casos de tratamentos que estes não poderiam ser contemplados pelo normativo em sua totalidade, de forma taxativa, donde, por vezes, pode ser necessário que o interprete aplicador do direito, recorrer-se dos princípios jurídicos especificados para aplicá-los em conjunto com outros consagrados princípios já exauridos da ordem jurídica, dirimindo dúvidas e conflitos, que as pessoas interessadas (naturais, jurídicas, órgãos de classe, governos) poderão aplicar, em concreto, as normativas principiológicas da LGPD em situações envolvendo o tratamento de dados.

Ainda segundo o mesmo autor, os princípios jurídicos representam uma categoria expressional construída pelos homens, tomados por seus próprios valores morais, dotados de importância e relevância pessoal, reconhecidos pela ordem jurídica, os quais reúnem os enunciados e normas jurídicas voltadas para prescrever condutas e disciplinar as relações intersubjetivas.

Conhecer princípios equivale a conhecer a essência da matéria sob atenção analisada, facilitando a dissecação do objeto ora sob estudo. Já seu desconhecimento, é como trilhar entre disposições e preceptivos de forma aventureira, sem visão holística, prejudicando a possibilidade de analisar-se profundamente a totalidade do seu objeto. Carecemos então de um olhar profissional e aprofundado sobre a égide dos princípios desta Lei.

Desta feita, dadas as considerações introdutórias, passemos a descrever os princípios jurídicos considerados pela Lei Geral de Proteção de Dados em relação ao tratamento segundo o exposto pelo referido diploma em seu artigo 6º. Começamos pois com:

i) Princípio da finalidade: O primeiro dos princípios eleitos, quiçá o mais importante que está previsto no inciso I do artigo 6º da referida Lei, emprega-se ao termo a realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades, ou seja, o dado deverá, na coleta, ter a indicação clara, completa e inequívoca que justifique sua coleta com fins específicos, legítimos, explícitos e informados. Ou seja, as empresas devem explicar para que usarão cada um dos dados pessoais.

Por propósitos legítimos podemos aplicar a finalidade movida pelo bom senso, lógica, legalidade, bons costumes e boa-fé, distanciando-se da iniciativa subalterna, simulada, emotiva, ilegal, ilícita e de má fé. Tais finalidades também devem impreterivelmente estar dentro dos limites da lei acompanhadas de todas as informações relevantes para o titular.

Este propósito direciona o tratamento para um determinado objetivo e o Controlador não está autorizado a modificá-la durante o tratamento sem o prévio consentimento. São propósitos explícitos quem enfatizam o aspecto unívoco do tratamento e não admitem desvios, equivocidade ou ambiguidade.

Por dizer, havendo o objetivo do tratamento clara e previamente delineado, não se insurge dúvidas após especificado seu conteúdo. Segundo a interpretação de Pestana (2020), os objetivos que conformam a finalidade admitida pela Normativa Geral devem ser informados ao titular, o qual, com ele concordando, delimitará o objeto do tratamento, domínio esse que, como já explanado com raras exceções, não poderá ser subsequentemente alterado, salvo se nova, específica e expressa concordância, for obtida desse titular.

ii) Princípio da adequação: Está previsto no inciso II, do artigo 6º da LGPD e prevê a compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento e se refere às compatibilidades do tratamento versus suas finalidades informadas ao titular do dado de acordo com o contexto do tratamento. Uma explicação suplementar segundo o TRF[10] 3º Região, é a de que os dados devem ser tratados de acordo com a sua destinação. A coleta de dados deverá ser compatível com a finalidade do tratamento, ou seja, sua justificativa deve fazer sentido com o caráter da informação que se pede ao titular. Caso haja incompatibilidade, o tratamento se apresenta como inadequado para a Lei.

Semanticamente, o termo adequação aplicado ao cenário da Lei Geral de Proteção de Dados Pessoais (LGPD), refere-se ao nexo de pertinência lógica de conformidade que se estabelece entre o tratamento e a finalidade objetivada, tal qual informada ao titular previamente (PESTANA, 2020).

Em outras palavras, este princípio estabelece uma conexão entre o tratamento e a finalidade objetivada e tem como pano de fundo a comunicação da finalidade com o titular, predominantemente instruído e presidido por sua ciência[11].

iii) Princípio da necessidade. O princípio da necessidade dá-se pela limitação ou diminuição estritamente necessária para realização do tratamento, com objetivo finalista. É como dizer que empresas devem, agora por obrigação legal, utilizar apenas os dados necessários para alcançar as suas finalidades, ponderando entre o que é realmente essencial para o negócio e o que é apenas conveniente. Sustenta-se que alede de tudo, isto seria mais que uma obrigação legal.

De acordo com Pestana (2020), tal perspectiva ocorre pela real necessidade da realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados. Quanto mais dados forem tratados, maior será a responsabilidade, inclusive em casos de incidentes de segurança, a exemplo de vazamentos e indisponibilidade para o titular.

Em regra, esse princípio trazido pela norma e o de realizar o tratamento apenas e tão somente quando e para o atingimento de determinada finalidade, se mostrar relevante para que o tratamento seja realizado, donde somente deverão constar os dados apropositados, ou seja, aqueles relevantes e imprescindíveis para que o objetivo previamente tracejado seja atingido e pela manutenção do negócio, pois a lei veda tratar dados que não se mostrem oportunos e relevantes à sua finalidade, como demonstram o artigo 5º, inciso XII e artigo 8º, § 4º.

Adjacente a este princípio, está coloquialmente o princípio da proporcionalidade, apesar de este não ser um princípio autônomo previsto pela LGPD, mas que empresta a esta suporte às necessidades do tratamento.

A proporcionalidade, portanto, no âmbito da normativa de proteção de dados pessoais, admite a realização do tratamento, nos limites do que se mostrar imprescindível e necessário para que seu objetivo seja alcançado, previamente delimitado e aprovado pelo titular dos dados, fazendo com que este princípio vise que a coleta de dados pessoais seja restrita ao que realmente é necessário para a realização da finalidade pretendida.

Este princípio, por fim, veda de forma expressa a coleta indiscriminada de dados que não tenham como fim a operação essencial do Agente Controlador.

iv) Princípio do livre acesso. Este princípio basilar descrito no Inciso IV do artigo 6º da Lei 13.853, possibilita que o titular dos dados consulte livremente, de forma facilitada e gratuita, a forma e a duração do tratamento dos dados, bem como sobre a integralidade deles. A integralidade, neste caso, diz respeito a perfeição e exatitude dos dados, defeso que sejam manipulados ou excluídos de forma arbitrária pelo controlador.

Neste princípio, privilegia-se, pois, as pessoas naturais, titulares de seus dados, após estes sofrerem o respectivo tratamento, assegurando-lhes o acesso e conhecimento da integralidade dos seus dados, em especial após seu tratamento cumulado com descrições de como, quando, onde e por quanto tempo os dados destes titulares serão tratados.

Na prática, o Controlador deve criar mecanismos[12] para que o titular dos dados tenha o direito de consultar os seus próprios dados e informações de forma gratuita, a qualquer tempo, e exige igualmente, que o titular seja cientificado da duração do tratamento e do período em que os dados tratados serão utilizados para atingir a finalidade correspondente, período esse que, segundo Pestana (2020), poderá apresentar alguma dificuldade na sua fixação temporal, vez que poderá ser dificultoso, previamente, se estabelecer o prazo de reverberação do produto dos dados tratados.

Em tempo, estas garantias apenas estarão materializadas caso tais condições e respectivas concordâncias sejam satisfeitas, entenda-se coletadas, expressamente dos respectivos titulares, na forma e tempo adequado, sujeitos às sanções administrativas aplicáveis pela Autoridade Nacional de Proteção de Dados[13], previstas no artigo 52 do referido diploma.

v) Princípio da qualidade dos dados. Princípio norteador consubstanciado na garantia de que os titulares terão assegurada a exatidão, clareza, relevância e atualização de seus dados de acordo com a necessidade com fins para o cumprimento da finalidade de seu tratamento.

É dizer que há garantia de que a base de dados tratada seja confiável e atualizada e, não obstante, alinhada com o propósito do seu negócio, sendo esta essencial para realização do tratamento.

A exatidão refere-se a ideia de precisão e acuracidade, dentro do limiar estrito estabelecido entre dados, tratamento e finalidade. Já a qualidade da clareza associa-se, em relação dada em palavras e procedimentos que, induvidosamente, esclareçam os destinatários da informação, sobretudo ao titular dos dados a serem tratados como pessoa natural. A relevância dos dados nos remete a que o tratamento somente será realizado, caso tal proceder permita atingir a finalidade previamente objetivada e aprovada pela manifestação inequívoca de seu titular dos dados. Por fim tem-se o elemento qualitativo da atualização que destaca o espectro cronológico e dinâmico dos dados, ainda que coletados em determinado momento é compreensível sofram ao decorrer do tempo, a dinâmica da realidade da vida, modificações, exigindo assim, constante atualização.

Para o doutrinador Pestana (2020), tais elementos somente deverão ser exigidos quando estiverem presentes algumas condicionantes como a necessidade e o cumprimento da finalidade do seu tratamento, pois ambos têm como fim atingir uma determinada finalidade previamente desejada e ajustada.

vi) Princípio da transparência. Este princípio é sinérgico ao da qualidade dos dados visto no item v e tem a principal aplicação de que lhes será assegurado informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e sobre os respectivos agentes de tratamento, resguardados, quando necessários, os segredos industriais e comerciais ou com amparo de alguma outra lei como as Leis 9.609[14] e 9.610[15].

O legislador, ao compor a norma, atentou-se para garantir a proteção de segredos comerciais e industriais aos seus respectivos detentores, constituídos limites a serem observados quanto a transparência relativa aos tratamentos realizados com dados de pessoas naturais.

A transparência enfatiza o desejo de que a Lei imponha a fluidez de informações para o titular dos dados tratados, por ser este titular, juntamente com os seus dados, componentes do espectro de elementos mais importantes de todo o processo de tratamento, cuja finalidade da Lei se resumiria.

Informações claras e transparentes para o contexto deste princípio, compreendem de que todos os dados e elementos técnicos correspondentes no respectivo tratamento, sejam amplamente visíveis e compreendidos pelo titular, sem dúvidas ou equívocos.

Desta feita, nos esclarece Pestana (2020, p.6), que o conteúdo de tal transparência tem lugar, não só nos dados, antes e posteriormente tratados, como também dos agentes que tomaram parte do procedimento, ou seja, o controlador[16] e o operador[17].

vii) Princípio da segurança. Durante a realização do tratamento ou ao seu término, todos os protagonistas que atuem no tratamento, ou seja, Controladores e Operadores, deverão utilizar medidas técnicas e administrativas robustas e adequadas, a fim de proteger os dados pessoais contra quaisquer situações adversas que possam comprometer os pilares da Segurança da Informação[18]. Tais exemplos englobam, mas não se limitam, a vazamentos, acessos não autorizados, situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão indevida.

A ideia central desse princípio é a de preservar, sempre em ambiente seguro[19], os dados das pessoas naturais objeto do tratamento. É responsabilidade do Controlador buscar por implantar políticas, procedimentos, meios e tecnologias que garantam a proteção dos dados pessoais de acessos por terceiros, ainda que não sejam autorizados, devendo tomar medidas adequadas para solucionar situações acidentais, como destruição, perda, alteração, comunicação ou difusão dos dados pessoais de suas bases (NUNES, 2021).

A lei é agnóstica, ou seja, não determina qual a tecnologia, ferramenta, procedimento, tipo, marca, modelo, etc., a empresa deve adotar para manter-se segura. Para tanto, convém, sempre que possível, servir-se de técnicas contemporâneas de segurança, assim como, em se tratando de pessoa jurídica tratadora de procedimentos constantemente aprimorados com vistas a garantir a manutenção da segurança. Sugerimos, no entanto, para o início de tais adequações a leitura da ABNT ISO/IEC 27.002[20].

PESTANA (2020, p.7) nos alerta que nesse princípio, mostra-se ineficaz se o vazamento, acesso, alteração ou propagação resulte de uma conduta voluntária e arbitrada, sendo, portanto, ilícita, ou quando decorra de acidente, seja ou não resultado de negligência, imprudência ou imperícia, o que a nosso ver, não será isento de reparação civil ou de multas aplicadas pela ANPD[21].

Ratifica-se, por fim, que o tutor desses dados é obrigado a prever todos os cenários possíveis de ocorrer na realidade posta, devendo se precaver contra todas as possibilidades que possam ocorrer envolvendo o acesso e manuseio indevido dos dados das pessoas naturais objeto do tratamento, para tanto, recomenda-se a leitura das recomendações de norma ABNT NBR ISO/IEC 31000:2018[22] Gestão de Riscos Diretrizes.

Em particular para este princípio, muito se fala sobre qual seriam as melhores Técnicas de Segurança para manutenção de dados pessoais. Para este suporte, recorremos ao Guia de Boas práticas do Governo Federal onde recomendam a leitura da ABNT NBR ISO/IEC 27701:2019[23] - Técnicas de segurança, que é uma extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação de requisitos e diretrizes, sendo este um documento que especifica os requisitos e fornece as diretrizes para o estabelecimento, implementação, manutenção e melhoria contínua de um Sistema de Gestão de Privacidade da Informação (SGPI) na forma de uma extensão das ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 que pode ser usado de norte para processos de adequação aos princípios da Lei (DADOS, 2020). Este guia apresenta uma visão exemplificativa da gestão da privacidade no contexto de uma organização conforme figura abaixo.

Ativos versus fases do ciclo de tratamento versus medidas de segurança

Figura 2 - Ativos versus fases do ciclo de tratamento versus medidas de segurança. Esquema de mapeamento dos ativos e suas respectivas medidas de segurança implementadas (destacadas em verde) e não implementadas (destacadas em vermelho). Fonte: DADOS (2020, p. 49).

viii) Princípio da prevenção. Ora embutido no princípio da Segurança, tal elemento de suma importância provocou o legislador a prestigiá-la, em evidência a um tópico independente, pois entendeu que a prevenção tem como princípio basilar determinando que, no processo de tratamento, sejam adotadas as medidas necessárias para prevenir a ocorrência de danos em detrimento do tratamento inadequado ou ineficiente. Este requer que os protagonistas do tratamento adotem medidas prévias para evitar a ocorrência de danos em virtude do tratamento de dados pessoais, ou melhor, que ajam antes dos problemas e não somente depois.

Desta feita, nota-se uma reiteração do princípio anterior, vez que a proteção dos dados, antes, durante a após tratamento, é um dever imposto àqueles que os acessam e sobre eles dispõem.

ix) Princípio da não discriminação. Princípio de relevante valor social assentado pela normativa que regula expressamente, a impossibilidade de realização do tratamento para fins discriminatórios, ilícitos ou abusivos contra seus titulares.

A salvaguarda dos dados através de regras específicas a serem aplicadas em tempo de tratamento, foi cuidadosamente selecionada pelo legislador quando estas recaírem sobre o que a Lei denomina de dados Sensíveis[24], previstos pelo artigo 5º, inciso II.

Ponto de relevante interesse nos traz a reflexão por Pestana (2020) que dada impossibilidade de admitir a prática do ilícito intrínseca à ordem jurídica ao direito em que não se limita a esta apenas, indo mais além, referindo-se, também, à sua abusividade por parte do Controlador.

Infelizmente aqui a Lei apresenta uma lacuna por não determinar claramente ao que se refere a terminologia abuso, especialmente porque a alocou numa hipótese de finalidade imprópria, o que daria, a nosso ver, ampla margem para discussões jurídicas, pois o referido vocábulo admite diversas acepções.

Na visão de Pestana (2020), este entendeu que o termo abuso pode ser interpretado como o manuseio excessivo ou imoderado dos dados das pessoas naturais, adentrando a fronteira do nexo lógico e jurídico estabelecido pelo trinômio dado-tratamento finalidade, contrapondo a orientação introduzida pela norma, pois se o legislador pretendesse assentá-lo na finalidade propriamente dita na acepção do conceito concreto, teria enfatizado tal valor (vedação à abusividade) ao delimitar também o conteúdo do princípio da finalidade examinado anteriormente.

x) Princípio da responsabilização e da prestação de contas. Sendo este o ultimo princípio arrematado pelo legislador, traz em seu bojo a obrigatoriedade de demonstração, pelo agente tratador, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. Tais agentes devem ter provas e evidências de todas as medidas adotadas, para demonstrarem a sua boa-fé e diligência.

Um dos pontos de atenção levantados por Pestana (2020) e Nunes (2021) é a faculdade de rastreabilidade do tratamento, a qual exige comprovação de procedimentos e atos praticados.

Exemplos deste princípio estão na comprovação de treinamentos, conscientização dos colaboradores, assessórias técnico-jurídicas especializadas para a conformidade e aderência a norma, a utilização de processos, protocolos e sistemas que garantam a segurança dos dados e o acesso facilitado do titular sempre que necessário.

É rastreabilidade com responsabilidade!

Para a Lei, não basta estar seguro, tem que provar que está seguro e segundo a legislação. O agente não só deverá comprovar ter adotado os procedimentos e contramedidas mais adequados aos praticados sob atos permitidos pelo normativo legal, como, também, que todos eles tenham tido eficácia efetiva, pois, do contrário, ainda que o agente tenha agido com boa-fé, se ocorrido descumprimento das normas de proteção de dados, tal equivalerá ao enfrentamento frontal ao princípio da responsabilização e da prestação de contas.

Os direitos a serem garantidos aos titulares de dados estão organizados nos artigos 7º e 8º, aos quais estão segregados em direitos decorrentes dos princípios estabelecidos pelo artigo 6º da Lei e em direitos específicos dos titulares constantes dos demais artigos.

Tabela 1 - Direitos garantidos aos titulares de dados baseado em princípios. (Dados, 2020, p. 15).

3 IMPLICAÇÕES LEGAIS AOS PRINCÍPIOS DA LEI GERAL DE PROTEÇÃO DE DADOS PARA O TRATAMENTO DE DADOS E PESSOAIS

Os princípios norteadores devem ser observados como exigência mínima para uma boa atividade de tratamento de dados pessoais, conforme estabelecem o caput e os 10 incisos do artigo 6º da Lei Geral de Proteção de Dados.

Segundo Miguel Reale (1998, p. 306), no contexto geral da criação de normas, quando de sua gênese, o legislador reconhece que o sistema de leis não é suscetível de cobrir todos os espectros da experiência humana, restando sempre muitas situações imprevistas, algo impossível de ser vislumbrado.

Caso alguns dos princípios norteadores da Lei, direta, por analogia ou simetria sejam descumpridos, em todo o parcial, nasce para o Agente de Tratamento, seja Controlador, Operador ou sub-rogado destes, o dever de reparar civilmente ao titular e a pretensão por parte da Autoridade Nacional de Proteção de Dados de sanciona-los administrativamente, segundo o artigo 52 da Lei Geral de Proteção de Dados nº13.709 de 14 de agosto de 2018.

Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

I - Advertência, com indicação de prazo para adoção de medidas corretivas;

II - Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

III - Multa diária, observado o limite total a que se refere o inciso II;

IV - Publicização da infração após devidamente apurada e confirmada a sua ocorrência;

V - Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

VI - Eliminação dos dados pessoais a que se refere a infração;

X - Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;

XI - Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;

XII - Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados (Brasil, 2018).

Isto implica que um princípio só pode ser considerado como Infração, quando sua conduta é prevista como tal na Lei. Se determinada conduta praticada pelo agente não estiver prevista como ilegal em lei, ela necessariamente será lícita, livre e impunível por parte do Estado, ora representado pela Autoridade Nacional de Proteção de Dados.

3.1 A natureza da Responsabilidade Civil na LGPD

Não importa o método escolhido pelos protagonistas que tratam os dados, seja o Controlador determinando as regras ou o Operador que as segue, a Lei destaca em seu texto, nos artigos 42 a 45, os limites das suas responsabilidades.

Estabeleceu-se pela Lei Geral de Proteção de Dados, uma estrutura legal hierárquica que empodera[25] os titulares de dados subsidiando lhes direitos a serem exercidos em face aos controladores de dados, direitos estes que, pela norma, lhes são facultativos. Esses direitos devem ser garantidos e preservados durante toda a existência do tratamento dos dados pessoais do titular realizado pela entidade[26], e como princípios não devem ser maculados.

A redação dada pelo artigo 42, caput, diz que qualquer dano, seja ele patrimonial, moral, individual ou coletivo decorrente da violação da legislação de proteção de dados pelo controlador ou operador, em razão do exercício da atividade de tratamento de dados pessoais, deve ser repará-lo.

Quando há a quebra de um dos princípios regidos pela Lei Geral de Proteção de Dados, Danilo Doneda e Laura Schertel entendem que a responsabilidade dos agentes de tratamento é preponderantemente objetiva, levando-se em consideração o risco da atividade, independentemente da culpa do agente de tratamento (MENDES, 2018). Sustentam ainda os doutrinadores que, em face da Lei ter como um dos seus principais fundamentos a minimização dos riscos de dano provocado ao titular do dado, é possível inferir a adoção do regime de responsabilidade objetiva pelo legislador. Tal justificativa apresentada encontra guarida na existência de um risco intrínseco à atividade de tratamento que está relacionado à possibilidade iminente de gerar dano aos titulares dos dados em caso de violação de seus direitos ou da não observância de seus princípios.

Em tempo, é necessário salientar que a depender das disposições da aplicação direta da Lei Geral e do caso concreto, o regime de responsabilidade poderá ser subjetivo ou objetivo, observadas as hipóteses previstas em lei. Segundo Krastin (2021), a exemplo tratamentos de dados que envolvam relações de consumo previstas no Código de Defesa do Consumidor, a responsabilização dos agentes se dará pelo regime da responsabilidade objetiva, uma vez que a obrigação de indenizar os danos causados será dos agentes de tratamento, o que afasta dos titulares[27] o ônus de comprovar a existência de sua culpa.

Assim, o Controlador[28] possui responsabilidade ampla e direta pelo tratamento, tendo o dever legal de vigilância junto ao Operador, visto que responderá, solidariamente, por qualquer violação à legislação ou por prejuízos causados tanto pelo Operador a sua tutela quanto por outros controladores que estiverem intimamente envolvidos no tratamento do qual decorreram tais danos. Em contrapartida encontramos no artigo 42, § 1º, inciso I da Lei Geral de Proteção de Dados, que o Operador[29] será acionado solidariamente apenas e tão somente se não observar as regras deste diploma legal ou realizar atividades de tratamento de dados fora do escopo das instruções delimitados pelo controlador dos dados pessoais, hipótese esta que será equiparado ao Controlador.

3.2 O direito de regresso

A norma legal em seu artigo 42, § 4º nos apresenta: Aquele que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso.

Portanto, quanto falamos em direito de regresso, para o caso da aplicação da Lei no caso real em face do responsável pelo dano, esta será reservada àquele que repará-lo, na medida de sua participação no evento danoso. Trata-se de uma observação qualitativa natural pois responderá que negligenciou os princípios da norma.

De outro modo, a Lei prevê algumas hipóteses de exclusão de responsabilidade dos agentes de tratamento. Isto ocorrerá quando os agentes provarem o que dispõem em seu artigo 43, incisos I, II e III.

I - Que não realizaram o tratamento de dados pessoais que lhes é atribuído;

II - Que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou

III - Que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros.

Para estas lacunas do direito, há sempre a possibilidade do recurso aos princípios gerais do direito, mas o doutrinador nos adverte que é necessário entender que estes não cabem apenas na tarefa de preencher ou suprir lacunas deixadas pelo legislador.

4 APRESENTAÇÃO DE UM CASO DE RESPONSABILIDADE CIVIL APLICADA SOB A ÓTICA DA LEI GERAL DE PROTEÇÃO DE DADOS

A responsabilidade é assunto comum no plano da ética, da moral, da filosofia e do Direito. Responsabilidade significa[30]: obrigação de reparar o mal que se causou a outros e responsável (do Francês responsable) é aquele que responde pelos próprios atos ou pelos de outrem.

Os princípios são verdades ou juízos fundamentais, que servem de alicerce ou de garantia de certeza a um conjunto de juízos, ordenados em um sistema de conceitos relativos à dada porção da realidade. (REALE, 1986a. p 60).

O tema da responsabilidade é um dos mais importantes e complexos da ciência jurídica independente do ramo do direito, sistema jurídico ou país em que está sendo analisado. Trata-se, indubitavelmente, de uma das matérias mais difíceis, vastas e confusas de sistematizar. Quando uma norma é denominada de princípio, significa dizer que esta tem uma forma específica de interpretação. Não se trata da generalidade ou do grau, mas de sua aplicação no caso concreto (ALEXY, 2006, p.36).

Acerca da amplitude da responsabilidade civil feita por Cavalieri (2003), que observa que A responsabilidade civil é uma espécie de estuário onde deságuam todos os rios do Direito: Público e privado, material e processual; é uma abóbada que enfeixa todas as áreas jurídicas, uma vez que tudo acaba em responsabiliza.

Portanto, define a situação de quem sofre as consequências da violação de uma norma ou como a obrigação que incumbe a alguém de reparar o prejuízo causado a outrem, pela sua atuação ou em virtude de danos provocados por pessoas ou coisas dele dependentes[31].

Doutrinariamente falando, os conceitos de responsabilidade Civil são fundamentados no dever de reparação, ou seja, ainda na clássica ideia de que responsabilidade surge como uma reação ao desequilíbrio econômico jurídico. O dever de reparação obriga o responsável a restabelecer o equilíbrio afetado em razão do dano é uma consequência direta da atitude (conduta) humana omissiva ou comissiva caracterizando-se assim marco inicial da responsabilidade Civil.

Neste caso, a indenização é, portanto, a obtenção objetiva do ato de reparar na totalidade os prejuízos suportados por quem de direito, seja o titular do direito leia-se, titular dos dados, tentando restaurar status quo anterior, como sendo o estado que se encontrava a situação antes da ocorrência do dano.

4.1 Dano material e dano moral nas relações de consumo

A constituição federal em seu artigo 5º, inciso X, declara que são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação. Já no ínscio V, temos que é assegurado o direito de resposta, proporcional ao agravo, além da indenização por dano material, moral ou à imagem.

Suplementarmente o CDC em seu artigo 6º, inciso VI, prescreve, dentre os direitos básicos do consumidor, a efetiva prevenção e reparação de danos patrimoniais e morais, individuais, coletivos e difusos, apesar de que em certos casos o titular dos dados da LGPD se equipara ao consumidor, pois para a Lei no artigo 4º, não se aplica ao tratamento de dados pessoais realizado por pessoa natural para fins exclusivamente particulares e não econômicos.