Migalhas de IA e Proteção de Dados

A polissemia da responsabilidade civil na LGPD

A polissemia da responsabilidade civil na LGPD.

6/11/2020

You cannot escape the responsibility of tomorrow by evading it today.
Abraham Lincoln

Muito se discute sobre responsabilidade civil na LGPD. A responsabilidade civil insculpida na lei 13.709/18 seria objetiva ou subjetiva? Caso considerada objetiva, o nexo de imputação remeteria ao risco da atividade (em razão do exercício - art. 42) ou ao defeito do produto/serviço (tratamento irregular- art. 44)? Em sendo a responsabilidade apreciada como subjetiva, assume-se a culpa como fator atributivo, ou nos serviremos de um conceito objetivo de ilícito? Em sendo assim, a eliminação da culpa excluiria a responsabilidade subjetiva (como em França) ou só se alcança a real obrigação objetiva de indenizar quando afastamos a ilicitude, tal como na legislação da Alemanha ou Portugal?

Esse debate é importante – bem como as diversas soluções até então construídas -, mas não esgota as múltiplas variáveis e dimensões do termo “responsabilidade” e as suas possíveis aplicações na LGPD. Em verdade, a controvérsia sobre o exato fator de atribuição da responsabilidade civil concerne tão somente à qualificação da obrigação de indenizar, para que se proceda à reparação integral de danos patrimoniais e extrapatrimoniais a serem transferidos da esfera da vítima para o patrimônio dos causadores de danos.

No common law há um termo que se ajusta perfeitamente ao clássico sentido civilistico da responsabilidade. Trata-se da "liability". Várias teorias desenvolvem a liability no contexto da responsabilidade civil. Em comum, remetem à uma indenização cujo núcleo consiste em um nexo causal entre uma conduta e um dano, acrescida por outros elementos conforme o nexo de imputação concreto, tendo em consideração as peculiaridades de cada jurisdição.

Porém, este é apenas um dos sentidos da responsabilidade. Ao lado dela, colocam-se três outros vocábulos: "responsibility", "accountability" e "answerability". Os três podem ser traduzidos em nossa língua de maneira direta com o significado de responsabilidade, mas na verdade diferem do sentido monopolístico que as jurisdições da civil law conferem a liability, como palco iluminado da responsabilidade civil (artigos 927 a 954 do Código Civil). Em comum, os três vocábulos transcendem a função judicial de desfazimento de prejuízos, conferindo novas camadas à responsabilidade, capazes de responder à complexidade e velocidade dos arranjos sociais.

Cremos ser importante enfatizar o sentido de cada um dos termos utilizados na língua inglesa para ampliarmos o sentido de responsabilidade. Palavras muitas vezes servem como redomas de compreensão do sentido, sendo que a polissemia da responsabilidade nos auxilia a escapar do monopólio da função compensatória da responsabilidade civil (liability), como se ela se resumisse ao pagamento de uma quantia em dinheiro apta a repor o ofendido na situação pré-danosa. A liability não é o epicentro da responsabilidade civil, mas apenas a sua epiderme. Em verdade, trata-se apenas de um last resort para aquilo que se pretende da responsabilidade civil no século XXI, destacadamente na tutela dos dados pessoais.

Começando por "responsibility", trata-se do sentido moral de responsabilidade, voluntariamente aceito e jamais legalmente imposto. É um conceito prospectivo de responsabilidade, no qual ela se converte em instrumento para autogoverno e modelação da vida. No campo do tratamento dos dados pessoais, assume duas vertentes: para agentes de tratamentos, significa a inserção da ética no exercício de sua atividade; para os titulares dos dados, a educação digital, no sentido de "...capacitação, integrada a outras práticas educacionais, para o uso seguro, consciente e responsável da internet como ferramenta para o exercício da cidadania" (art. 26 MCI). Se uma pessoa não sabe o que acontece com os seus dados, não poderá se proteger. Conceitos como de "anonimização de dados", sequer são dominados por advogados, quanto mais pelo cidadão em geral. Por isto a educação digital não se confunde com o direito fundamental à inclusão digital (tratado neste espaço na coluna de 23/10 por Carlos Edison do Rêgo e Diana Loureiro). A educação digital extrapola a ideia de acesso à internet, alcançando o sentido de uma autodeterminação informativa, tal como delineado entre os fundamentos da LGPD (art. 2, II, lei 13.709/18).

Avançando para a "accountability", ampliamos o espectro da responsabilidade, mediante a inclusão de parâmetros regulatórios preventivos, que promovem uma interação entre a liability do Código Civil com uma regulamentação voltada à governança de dados, seja em caráter ex ante ou ex post.

No plano ex ante a accountability é compreendida como um guia para controladores e operadores, protagonistas do tratamento de dados pessoais, mediante a inserção de regras de boas práticas que estabeleçam procedimentos, normas de segurança e padrões técnicos, tal como se extraí do artigo 50 da LGPD. Impõe-se o compliance como planificação para os riscos de maior impacto negativo. Não por outra razão, ao discorrer sobre os princípios da atividade de tratamento de dados, o art. 6. da lei 13.709/18 se refere à "responsabilização e prestação de contas", ou seja, liability e accountability. Aliás, ao tratar da avaliação de impacto sobre a proteção de dados, em um viés de direitos humanos, a GDPR da União Europeia amplia o espectro do accountability para que os stakeholders sejam cientificados sobre operações que impactem em vulneração ao livre desenvolvimento da personalidade, causem discriminação, violem a dignidade e o exercício da cidadania.

Já na vertente ex post, a accountability atua como um guia para o magistrado e outras autoridades, tanto para identificar e quantificar responsabilidades, como para estabelecer os remédios mais adequados. Assim, ao invés do juiz se socorrer da discricionariedade para aferir o risco intrínseco de uma certa atividade por sua elevada danosidade – o desincentivo ao empreendedorismo é a reação dos agentes econômicos à insegurança jurídica -, estabelecem-se padrões e garantias instrumentais que atuam como parâmetros objetivos para a mensuração do risco em comparação com outras atividades. Aliás, se o causador do dano houver investido em compliance, com efetividade, pode-se mesmo cogitar da redução da indenização, como espécie de sanção premial, a teor do parágrafo único do art. 944 do Código Civil. Em acréscimo, a ausência de previsão legal de um modelo jurídico similar aos punitive damages, não impede que em resposta às infrações cometidas por Agentes de Tratamento de Dados, a Autoridade Nacional de Proteção de Dados, sirva-se da accountability para a estipulação de sanções de natureza punitiva e quantificação de multas, conforme previsão do artigo 52 da LGPD.

Não se pode afastar a possibilidade de que, em reação a perspectiva de uma liability acrescida de uma accountability, os agentes econômicos respondam ao esforço conjunto de legislação e regulação, mediante a padronização de arranjos contratuais aptos à diluição dos custos dos acidentes. O recurso à gestão contratual dos riscos, pode ser dar mediante a limitação de responsabilidade ou a sua transferência ao usuário ou a seguradoras. Mas não podemos olvidar da assimetria informativa dos usuários, associada à sua frequente condição de consumidores, para a rígida aferição das cláusulas contratuais gerais.

Por último, entramos na seara da answerability. O termo é traduzido ao pé da letra como "explicabilidade", impondo-se como mais uma camada da função preventiva da responsabilidade. A answerability é um procedimento de justificação de escolhas que extrapola o direito à informação, facultando-se a compreensão de todo o cenário da operação de tratamento de dados. No âmbito da LGPD ela amplia o seu raio, convertendo-se em uma "ability to appeal", ou seja, o titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade (art. 20, lei 13.709/18). Prioriza-se uma revisão extrajudicial por humanos, de decisões produzidas por inteligência artificial. A liability surgirá em um momento posterior, se eventualmente eclodem danos em razão de atos ou atividades danosas que vulneram o profiling da pessoa ou alcançam situações existenciais.

Responsibility, accountability e answerability executam exemplarmente as funções preventiva e precaucional da responsabilidade civil, eventualmente complementadas pela função compensatória (liability). Ao contrário do que propaga a escola clássica da responsabilidade, distancia-se o efeito preventivo de um mero efeito colateral de uma sentença condenatória a um ressarcimento. Aliás, a multifuncionalidade da responsabilidade civil não se resume a uma discussão acadêmica: a perspectiva plural da sua aplicabilidade à LGPD é um bem-acabado exemplo legislativo da necessidade de ampliarmos a percepção sobre a responsabilidade civil. Não se trata tão somente de um mecanismo de contenção de danos, mas também de contenção de comportamentos. Transpusemos o "direito de danos" e alcançamos uma responsabilidade civil para muito além dos danos.

Evidencia-se, assim, uma renovada perspectiva bilateralizada: a responsabilidade como mecanismo de imputação de danos – foco da análise reparatória - no qual o agente se responsabiliza "perante" a vítima, convive com a responsabilidade "pelo outro", o ser humano. Aqui, agrega-se a pessoa do agente e a indução à conformidade mediante uma regulação de gestão de riscos, sobremaneira a sua mitigação, seja por parte de um desenvolvedor de tecnologias digitais emergentes como de um agente de tratamento (accountability/answerability). Porém, em uma noção de reciprocidade, a mitigação de ilícitos e danos também incumbe a cada um de nós, mediante a paulatina construção de uma autodeterminação responsável que nos alforrie da heteronomia e vitimização (responsibility), pois como já inferia Isaiah Berlin "O paternalismo é a pior forma de opressão".

*Nelson Rosenvald é procurador de Justiça do MP/MG. Pós-doutor em Direito Civil na Università Roma Tre (IT-2011). Pós-doutor em Direito Societário na Universidade de Coimbra (PO-2017). Visiting Academic na Oxford University (UK-2016/17). Professor visitante na Universidade Carlos III (ES-2018). Doutor e mestre em Direito Civil pela PUC/SP. Presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil (IBERC).  Professor do corpo permanente do Doutorado e Mestrado do IDP/DF. Associado Fundador do Instituto Avançado de Proteção de Dados – IAPD.

Veja mais no portal
cadastre-se, comente, saiba mais

Coordenação

Cintia Rosa Pereira de Lima, professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto – FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Ottawa University (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pó-doutora em Direito Civil na Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Presidente do Instituto Avançado de Proteção de Dados – IAPD - www.iapd.org.br. Associada Titular do IBERC - Instituto Brasileiro de Responsabilidade Civil. Membro fundador do IBDCONT - Instituto Brasileiro de Direito Contratual. Advogada.

Cristina Godoy Bernardo de Oliveira, professora doutora da Faculdade de Direito de Ribeirão Preto – Universidade de São Paulo desde 2011. Academic Visitor da Faculty of Law of the University of Oxford (2015-2016). Pós-doutora pela Université Paris I Panthéon-Sorbonne (2014-2015). Doutora em Filosofia do Direito pela Faculdade de Direito da USP (2011). Graduada pela Faculdade de Direito da USP (2006). Líder do Grupo de Pesquisa Direito, Ética e Inteligência Artificial da USP – CNPq. Coordenadora do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados – IAPD.

Evandro Eduardo Seron Ruiz, professor Associado do Departamento de Computação e Matemática, FFCLRP - USP, onde é docente em dedicação exclusiva. Atua também como orientador no Programa de Pós-graduação em Computação Aplicada do DCM-USP. Bacharel em Ciências de Computação pela USP, mestre pela Faculdade de Engenharia Elétrica da UNICAMP, Ph.D. em Electronic Engineering pela University of Kent at Canterbury, Grã-Bretanha, professor lLivre-docente pela USP e pós-Doc pela Columbia University, NYC. Coordenador do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados – IAPD.

Nelson Rosenvald é advogado e parecerista. Professor do corpo permanente do Doutorado e Mestrado do IDP/DF. Pós-Doutor em Direito Civil na Università Roma Tre. Pós-Doutor em Direito Societário na Universidade de Coimbra. Visiting Academic na Oxford University. Professor Visitante na Universidade Carlos III, Madrid. Doutor e Mestre em Direito Civil pela Pontifícia Universidade Católica de São Paulo – PUC/SP. Presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil – IBERC. Foi Procurador de Justiça do Ministério Público de Minas Gerais.

Newton De Lucca, professor Titular da Faculdade de Direito da USP. Desembargador Federal, presidente do Tribunal Regional Federal da 3ª Região (biênio 2012/2014). Membro da Academia Paulista de Direito. Membro da Academia Paulista de Letras Jurídicas. Membro da Academia Paulista dos Magistrados. Vice-presidente do Instituto Avançado de Proteção de Dados.