A responsabilidade civil na Lei Geral de Proteção de Dados

Agende uma Consulta

Entre em contato com o DPO

A responsabilidade civil na Lei Geral de Proteção de Dados

A responsabilidade civil na Lei Geral de Proteção de Dados

Uma das dúvidas mais frequentes com relação à Lei Geral de Proteção de Dados é sobre a responsabilidade civil decorrente do descumprimento das suas normas. Afinal quem é o verdadeiro responsável?

A LGPD coloca o indivíduo, denominado de titular dos dados pessoais, como protagonista das relações jurídicas envolvendo o tratamento de dados, não só porque regula a proteção de dados pessoais, mas, principalmente, elege como fundamento em seu art. 2º, II, a “autodeterminação informativa”, que consiste no direito de escolher quais dados serão utilizados, bem como os limites e o prazo dessa utilização.

Ciente disso, esses direitos correspondem a um rol de deveres voltados a quem exerce a atividade de tratamento de dados. A LGPD diferencia esses deveres conforme a relação destes com o tratamento, denominando aquele que exerce a decisão sobre o tratamento de controlador, enquanto aquele que executa o tratamento, sob as ordens do controlador, de operador. Juntos, eles são denominados como os “agentes de tratamento”.

Perante uma visão civilista, o controlador seria o mandante, e o operador, o mandatário.

Talvez possa se aventar a hipótese de que a relação controlador-operador constitua modalidade especial de mandato, própria das relações que envolvam tratamento de dados pessoais.

Há ainda nessa relação jurídica um outro ator: o encarregado, pessoa natural ou jurídica, integrante ou não dos quadros do controlador ou do operador, que exerça, dentre outras funções, a intermediação entre os demais atores, especialmente a Autoridade Nacional de Proteção de Dados (ANPD) e, ainda, orienta a aplicação das normas de proteção de dados.

Essa complexa relação de múltiplos atores e deveres aqui relatada em resumo evidencia o desafio que as empresas privadas e órgãos públicos encontrarão para estar em conformidade com a LGPD. Os efeitos do não-atendimento passam não só pelas sanções administrativas que podem ser eventualmente impostas pela ANPD, mas em maior escala, por ações de responsabilidade civil.

A questão da responsabilidade civil, por estar relacionada necessariamente a sanções administrativas e ações judiciais, é talvez o aspecto da LGPD que mais interessa a todos os atores e agentes que realizam o tratamento de dados pessoais.

O art. 42 da LGPD prevê que o controlador ou operador de dados devem reparar dano patrimonial, coletivo, moral ou individual causado a terceiro. Essa responsabilidade é solidária, nos termos do §1 º do mesmo artigo. Assim, se uma empresa terceirizar a atividade de tratamento de dados para terceiros, ambos responderão igualmente por eventual dano causado. O mesmo acontece se o operador de dados também não estiver adequado e descumprir as normas da LGPD.

Outro ponto importante a ser observado é que a responsabilidade surge do exercício da atividade de proteção de dados que propriamente viole a “legislação de proteção de dados”. 

Por essa expressão, o legislador reconhece que a proteção de dados é um microssistema, com normas previstas em diversas leis, sendo a LGPD a sua base estrutural. 

Por isso, é necessário fazer uma analogia com o conceito de “legislação tributária” do art. 96 do CTN, para incluir não apenas as leis que versem sobre a proteção de dados, mas as normas administrativas regulamentares que serão expedidas pela Autoridade Nacional de Proteção de Dados ou por outras entidades.

Mas a responsabilidade civil na LGPD não surge apenas da violação do microssistema jurídico de proteção de dados. É preciso interpretar o art. 42, caput em conjunto com o art. 44, parágrafo único, que assim dispõe:

Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano.

O art. 46, por sua vez, estabelece que os agentes de tratamento deverão adotar medidas de segurança, técnicas e administrativas visando a proteção de dados pessoais. Tais normas podem ser editadas, inclusive, pela ANPD.

Pela complexidade da atividade de segurança da informação, devem ser consideradas apenas aquelas medidas previstas em padrões devidamente reconhecidos, como as denominadas normas ISO.

Dessa forma, é possível identificar duas situações de responsabilidade civil na LGPD:

a) violação de normas jurídicas, do microssistema de proteção de dados;

b) violação de normas técnicas, voltadas à segurança e proteção de dados pessoais.

E, evidentemente, só caracterizará a responsabilidade civil, se a violação de norma jurídica ou técnica ocasionar dano material ou moral a um titular ou a uma coletividade.

O art. 42 restringe a responsabilidade civil ao controlador ou ao operador. A presença da conjunção alternativa “ou” estabelece a alternância entre um (controlador) ou o outro (operador). Obviamente, se a relação jurídica do titular com o controlador e o operador for de natureza consumerista, serão aplicadas as normas de responsabilidade solidária dos arts. 12 e 18 do CDC.

O § 1º excepciona a regra de alternância do caput, permitindo a solidariedade em dois casos específicos, com vistas a “assegurar a efetiva indenização ao titular dos dados”.

No inciso I, o operador responderá solidariamente em duas situações: caso descumpra a legislação de proteção de dados ou se não seguir “as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador”. É muito semelhante, nesse caso, na situação do mandatário que descumpre as instruções do mandante, conforme o art. 679, CC.

Já no inciso II, ocorrerá a solidariedade entre “os controladores que estiverem diretamente envolvidos no tratamento”, ou seja, aqueles que estabelecerem, em conjunto, decisões que violem o microssistema da proteção de dados ou às normas técnicas cabíveis.

Tais hipóteses de solidariedade estarão afastadas caso presentes as hipóteses de exclusão de responsabilidade, previstas no art. 43.

A LGPD não fala na responsabilidade civil do encarregado, contudo ela poderá surgir, por exemplo, quando essa função for exercida por uma pessoa natural ou jurídica destacada do controlador e do operador em uma relação consumerista. Por se estar diante de alguém que está na cadeia de produção, poderá ser responsabilizado de forma solidária pelo dano causado.

O § 2º admite a inversão do ônus da prova, a critério do juiz, a favor do titular de dados, desde que verossímil a alegação, haja hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular for excessivamente onerosa. Há normas sobre a redistribuição/inversão do ônus da prova em outras leis: uma muito semelhante no art. 373, § 1º do CPC e outra no art. 6º, VIII do CDC, aplicável nas ações de natureza consumerista, exigindo menos requisitos. 

Além da inversão do ônus probatório, o reconhecimento da hipossuficiência do titular também se verifica no fato de que a responsabilidade civil da LGPD ser da modalidade objetiva, onde não há discussão sobre a culpa do agente.

 

Hipóteses de exclusão da responsabilidade civil 

As hipóteses de exclusão da responsabilidade civil estão previstas no art. 43 da LGPD.

O inciso I trata da situação em que o agente não realizou o tratamento de dados a que lhe foi atribuído. Ou seja, houve um tratamento de dados, mas o réu não tem qualquer vínculo com ele. Aproxima-se muito da figura da ilegitimidade passiva, que a LGPD trata como matéria de mérito.

Já o inciso II exclui a responsabilidade na situação em que o agente realizou o tratamento, mas “não houve violação à legislação de proteção de dados”. Aqui, o dano ocorreu por um ato lícito.

Seria o caso, por exemplo, de uma decisão automatizada, baseada em critérios transparentes, informados (presentes em termos de uso) e sem viés, que negue um empréstimo a um possível consumidor. 

O presente inciso prevê expressamente apenas a situação em que não houve violação à proteção de dados. Deve-se interpretar este artigo em conjunto com os arts. 42, 44, 46 e parágrafo único, conforme as razões já apresentadas, de modo a admitir, também a alegação de ausência de violação de norma técnica.

A alegação de culpa exclusiva do titular ou de terceiro está prevista no inciso III do art. 43. Serão os casos em que o dano for causado por exclusiva ingerência do titular, por terceiro, ou por uma atuação conjunta do titular com o terceiro.

Mas, ainda assim, caberão alguns questionamentos.

Imagine a situação em que houve a invasão da conta de e-mail de um usuário, com a destruição de todas as suas mensagens. Tal fato só ocorreu porque a senha utilizada pelo titular era fraca, com apenas quatro caracteres, e foi facilmente descoberta. 

Pode nesse caso aqui falar em culpa exclusiva do titular? Caberia aos agentes de tratamento verificar a segurança da senha criada pelo usuário e impedir o uso daquelas que fossem frágeis? Existe norma técnica estabelecendo essa obrigação?

Por isso, para saber as respostas dessas e outras questões que surgem decorrente das relações jurídicas entre titulares e agentes de tratamentos devem ser sanadas por profissionais especialistas habilitados.

Esperamos que com esse breve artigo possamos ter sanado algumas dúvidas sobre A responsabilidade civil na Lei Geral de Proteção de Dados.

Se você quer saber mais a respeito da empresa e dos serviços ofertados entre em contato conosco pelo telefone (42) 3027-4747 ou pelo email contato@pillarescompliance.com.br e fale com nossos especialistas.