3. IMPLICAÇÕES LEGAIS AOS PRINCÍPIOS DA LEI GERAL DE PROTEÇÃO DE DADOS PARA O TRATAMENTO DE DADOS E PESSOAIS
Os princípios norteadores devem ser observados como exigência mínima para uma boa atividade de tratamento de dados pessoais, conforme estabelecem o caput e os 10 incisos do artigo 6º da Lei Geral de Proteção de Dados.
Segundo Miguel Reale (1998, p. 306), no contexto geral da criação de normas, quando de sua gênese, o legislador reconhece que o sistema de leis não é suscetível de cobrir todos os espectros da experiência humana, restando sempre muitas situações imprevistas, algo impossível de ser vislumbrado.
Caso alguns dos princípios norteadores da Lei, direta, por analogia ou simetria sejam descumpridos, em todo o parcial, nasce para o Agente de Tratamento, seja Controlador, Operador ou sub-rogado destes, o dever de reparar civilmente ao titular e a pretensão por parte da Autoridade Nacional de Proteção de Dados de sanciona-los administrativamente, segundo o artigo 52 da Lei Geral de Proteção de Dados nº13.709 de 14 de agosto de 2018.
Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
I - Advertência, com indicação de prazo para adoção de medidas corretivas;
II - Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III - Multa diária, observado o limite total a que se refere o inciso II;
IV - Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V - Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI - Eliminação dos dados pessoais a que se refere a infração;
X - Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
XI - Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
XII - Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados (Brasil, 2018).
Isto implica que um princípio só pode ser considerado como Infração, quando sua conduta é prevista como tal na Lei. Se determinada conduta praticada pelo agente não estiver prevista como ilegal em lei, ela necessariamente será lícita, livre e impunível por parte do Estado, ora representado pela Autoridade Nacional de Proteção de Dados.
3.1. A natureza da Responsabilidade Civil na LGPD
Não importa o método escolhido pelos protagonistas que tratam os dados, seja o Controlador determinando as regras ou o Operador que as segue, a Lei destaca em seu texto, nos artigos 42 a 45, os limites das suas responsabilidades.
Estabeleceu-se pela Lei Geral de Proteção de Dados, uma estrutura legal hierárquica que empodera25 os titulares de dados subsidiando lhes direitos a serem exercidos em face aos controladores de dados, direitos estes que, pela norma, lhes são facultativos. Esses direitos devem ser garantidos e preservados durante toda a existência do tratamento dos dados pessoais do titular realizado pela entidade26, e como princípios não devem ser maculados.
A redação dada pelo artigo 42, caput, diz que qualquer dano, seja ele patrimonial, moral, individual ou coletivo decorrente da violação da legislação de proteção de dados pelo controlador ou operador, em razão do exercício da atividade de tratamento de dados pessoais, deve ser repará-lo.
Quando há a quebra de um dos princípios regidos pela Lei Geral de Proteção de Dados, Danilo Doneda e Laura Schertel entendem que a responsabilidade dos agentes de tratamento é preponderantemente objetiva, levando-se em consideração o risco da atividade, independentemente da culpa do agente de tratamento (MENDES, 2018). Sustentam ainda os doutrinadores que, em face da Lei ter como um dos seus principais fundamentos a minimização dos riscos de dano provocado ao titular do dado, é possível inferir a adoção do regime de responsabilidade objetiva pelo legislador. Tal justificativa apresentada encontra guarida na existência de um risco intrínseco à atividade de tratamento que está relacionado à possibilidade iminente de gerar dano aos titulares dos dados em caso de violação de seus direitos ou da não observância de seus princípios.
Em tempo, é necessário salientar que a depender das disposições da aplicação direta da Lei Geral e do caso concreto, o regime de responsabilidade poderá ser subjetivo ou objetivo, observadas as hipóteses previstas em lei. Segundo Krastin (2021), a exemplo tratamentos de dados que envolvam relações de consumo previstas no Código de Defesa do Consumidor, a responsabilização dos agentes se dará pelo regime da responsabilidade objetiva, uma vez que a obrigação de indenizar os danos causados será dos agentes de tratamento, o que afasta dos titulares27 o ônus de comprovar a existência de sua culpa.
Assim, o Controlador28 possui responsabilidade ampla e direta pelo tratamento, tendo o dever legal de vigilância junto ao Operador, visto que responderá, solidariamente, por qualquer violação à legislação ou por prejuízos causados tanto pelo Operador a sua tutela quanto por outros controladores que estiverem intimamente envolvidos no tratamento do qual decorreram tais danos. Em contrapartida encontramos no artigo 42, § 1º, inciso I da Lei Geral de Proteção de Dados, que o Operador29 será acionado solidariamente apenas e tão somente se não observar as regras deste diploma legal ou realizar atividades de tratamento de dados fora do escopo das instruções delimitados pelo controlador dos dados pessoais, hipótese esta que será equiparado ao Controlador.
3.2. O direito de regresso
A norma legal em seu artigo 42, § 4º nos apresenta: “Aquele que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso.”
Portanto, quanto falamos em direito de regresso, para o caso da aplicação da Lei no caso real em face do responsável pelo dano, esta será reservada àquele que repará-lo, na medida de sua participação no evento danoso. Trata-se de uma observação qualitativa natural pois responderá que negligenciou os princípios da norma.
De outro modo, a Lei prevê algumas hipóteses de exclusão de responsabilidade dos agentes de tratamento. Isto ocorrerá quando os agentes provarem o que dispõem em seu artigo 43, incisos I, II e III.
I - Que não realizaram o tratamento de dados pessoais que lhes é atribuído;
II - Que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou
III - Que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros.
Para estas lacunas do direito, há sempre a possibilidade do recurso aos princípios gerais do direito, mas o doutrinador nos adverte que é necessário entender que estes não cabem apenas na tarefa de preencher ou suprir lacunas deixadas pelo legislador.
4. APRESENTAÇÃO DE UM CASO DE RESPONSABILIDADE CIVIL APLICADA SOB A ÓTICA DA LEI GERAL DE PROTEÇÃO DE DADOS
A responsabilidade é assunto comum no plano da ética, da moral, da filosofia e do Direito. Responsabilidade significa30: “obrigação de reparar o mal que se causou a outros” e responsável (do Francês responsable) é aquele que responde pelos próprios atos ou pelos de outrem”.
Os princípios são verdades ou juízos fundamentais, que servem de alicerce ou de garantia de certeza a um conjunto de juízos, ordenados em um sistema de conceitos relativos à dada porção da realidade. (REALE, 1986a. p 60).
O tema da responsabilidade é um dos mais importantes e complexos da ciência jurídica independente do ramo do direito, sistema jurídico ou país em que está sendo analisado. Trata-se, indubitavelmente, de uma das matérias mais difíceis, vastas e confusas de sistematizar. Quando uma norma é denominada de princípio, significa dizer que esta tem uma forma específica de interpretação. Não se trata da generalidade ou do grau, mas de sua aplicação no caso concreto (ALEXY, 2006, p.36).
Acerca da amplitude da responsabilidade civil feita por Cavalieri (2003), que observa que “A responsabilidade civil é uma espécie de estuário onde deságuam todos os rios do Direito: Público e privado, material e processual; é uma abóbada que enfeixa todas as áreas jurídicas, uma vez que tudo acaba em responsabiliza”.
Portanto, define a situação de quem sofre as consequências da violação de uma norma ou como a obrigação que incumbe a alguém de reparar o prejuízo causado a outrem, pela sua atuação ou em virtude de danos provocados por pessoas ou coisas dele dependentes31.
Doutrinariamente falando, os conceitos de responsabilidade Civil são fundamentados no dever de reparação, ou seja, ainda na clássica ideia de que responsabilidade surge como uma reação ao desequilíbrio econômico jurídico. O dever de reparação obriga o responsável a restabelecer o equilíbrio afetado em razão do dano é uma consequência direta da atitude (conduta) humana omissiva ou comissiva caracterizando-se assim marco inicial da responsabilidade Civil.
Neste caso, a indenização é, portanto, a obtenção objetiva do ato de reparar na totalidade os prejuízos suportados por quem de direito, seja o titular do direito – leia-se, titular dos dados, tentando restaurar status quo anterior, como sendo o estado que se encontrava a situação antes da ocorrência do dano.
4.1. Dano material e dano moral nas relações de consumo
A constituição federal em seu artigo 5º, inciso X, declara que são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação. Já no ínscio V, temos que é assegurado o direito de resposta, proporcional ao agravo, além da indenização por dano material, moral ou à imagem.
Suplementarmente o CDC em seu artigo 6º, inciso VI, prescreve, dentre os direitos básicos do consumidor, a efetiva prevenção e reparação de danos patrimoniais e morais, individuais, coletivos e difusos, apesar de que em certos casos o titular dos dados da LGPD se equipara ao consumidor, pois para a Lei no artigo 4º, não se aplica ao tratamento de dados pessoais realizado por pessoa natural para fins exclusivamente particulares e não econômicos.
Buscamos de antemão, a Chamone (2008) que nos define como sendo dano toda lesão a um bem juridicamente protegido pelo direito, causando prejuízo de ordem patrimonial ou extrapatrimonial. Em dano material entende por aquele que atinge o patrimônio32 (material ou imaterial) da vítima, podendo ser mensurado financeiramente e indenizado e; de para o dano moral33, aquele que constitui lesão aos direitos da personalidade, como a vida, a liberdade, a intimidade, a privacidade, a honra, a imagem, a identificação pessoal, a integridade física e psíquica, o bom nome; em suma, a dignidade da pessoa humana, um dos fundamentos da República Federativa do Brasil, apontado, expressamente, na Constituição Federal em seu inciso III do artigo 1º.
Quanto à indenização, esta deve ser suficiente a restaurar o bem estar da vítima, desestimular o ofensor em repetir a falta, não podendo, ainda, constituir enriquecimento sem causa ao ofendido.
Assim, devem ser consideradas34 “as circunstâncias do fato, as condições socioeconômicas do ofensor e do ofendido, a forma e o tipo de ofensa, bem como suas repercussões no mundo interior e exterior da vítima.”
O caráter educacional da indenização visa desestimular o ofensor a repetir o ato, inibindo sua conduta antijurídica, com sua dupla função da condenação por dano moral, seja punitiva pedagógica e compensatória. De um lado a indenização por dano moral tem a função de compensar a vítima. Do outro, punir o ofensor.
Para Capanema (2020), ao lado da responsabilidade existe o dever de indenizar. Eles vão estar juntos, sendo muitas vezes utilizados como sinônimos. Isso porque ao se afirmar a responsabilidade civil da pessoa, inerente a ela será o dever de indenizar. A indenização é a consequência do reconhecimento da responsabilidade civil. Se não há responsabilidade não há indenização.
Para o caso descrito, houve claramente a violação do direito, tanto previsto pelos princípios da LGDP, bem como a ora declarada pelo artigo 5º, inciso X, da carta magna.
Neste diapasão tem-se que o abuso de direito consiste em um ato jurídico de objeto lícito, mas cujo exercício, levado a efeito sem a devida regularidade, acarreta um resultado considerado ilícito (MARTINS COSTA, 2016, p. 77. apud SANCHEZ 2020 p.80).
4.2. Apresentações do estudo de caso envolvendo vazamentos de dados e a Responsabilidade Civil de indenizar
Para SANCHEZ (2020), está claro que o abuso de um direito se caracteriza por se constituir em ato ilícito e que a ilicitude do ato praticado via abuso de direito, segundo possui natureza objetiva, mensurável, independente de dolo e culpa, cuidando-se de responsabilidade civil objetiva não carece de se ficar comprovada a culpa (DINIZ, 2017, p. 202. apud SANCHEZ, 2020 p.79).
Assim, completados os três pressupostos da responsabilidade civil, que seja, a culpa, o dano e o nexo causal, têm-se, por força legal do artigo 186 do diploma Civil a sedimentação do ato ilícito praticado pelo agente, a questão indenizatória denominada de responsabilidade extracontratual face ao titula do dado.
Em 2020, em uma relação comercial tendo o autor o titular dos dados que foram vazados pelo sítio da Empresa CONSTRUDECOR S.A. (SODIMAC BRASIL)35 e publicizados sem a expressa autorização deste titular. Tal caso teve repercussão nacional, acarretando a exposição de informação classificadas como de perfil financeiro e sócio econômico do então autor da ação.
O autor efetuou uma compra no sítio eletrônico da requerida na Internet (sodimac.com.br) e no mesmo, um terceiro não identificado entrou em contato pelo aplicativo WhatsApp36 alertando-o de que seus dados pessoais estavam expostos no aludido site da loja e lhe encaminhou cópia da tela do seu computador para corroborar os fatos. O autor contatou a empresa e relatou o incidente de vazamento público de seus dados pessoais pela requerida.
As trocas de mensagens entre empresa e autor demonstraram que os dados de cartão de crédito foram vazados pela então controladora. Este ingressou com a ação indenização por danos morais, considerando as funções preventiva e punitivo pedagógica, pleiteando o valor de R$8.540,00 (oito mil, quinhentos e quarenta reais) contra a ré com base na lei nº 13.709/2018, reforçando os argumentos das regras que disciplinam a forma como os dados pessoais dos indivíduos devem ser armazenados por empresas ou mesmo por outras pessoas físicas.
Usou por base em sua tese artigos específicos quem expressam que o tratamento de dados pessoais somente poderá ser realizado nas hipóteses de fornecimento de consentimento pelo titular conforme prevê o artigo 7º e §5º donde o controlador que obteve o consentimento referido no inciso I do caput deste artigo, se necessitar comunicar ou compartilhar dados pessoais com outros controladores, deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas nesta Lei.
Alegou para sustentar sua tese de que a despeito de dano moral, a LGPD não inovou, afirmando o caput de seu artigo 4237 que o controlador ou o operador que em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
O Juiz da causa indeferiu todo o pedido, sentenciou de que não houve prova concreta de os dados teriam sido vazados pela ré, pois tais dados ora vazados, são comumente fornecidos e alocados em vários lugares quando há compra pela Internet.
Entretanto, em sede de apelação, o TJSP em acordão proferido em 2021 deu provimento ao recurso para julgar a ação parcialmente procedente condenando a ré ao pagamento de indenização por danos morais no patamar de R$2.000,00 (dois mil reais) e demais custas sopesando as circunstâncias preponderantes que envolveram o caso concreto, quais sejam, a extensão do sofrimento experimentado pelo autor, a capacidade econômica das partes, o grau de culpabilidade da ré e, considerando, também, o valor da mercadoria adquirida no website da ré.
