"Se cada um de nós varresse a frente do nosso lugar, o mundo todo seria limpo."
Johann Wolfgang von Goethe
O presente artigo busca analisar as excludentes de responsabilização dos agentes de tratamento de dados pessoais na Lei Geral de Proteção de Dados. Nesse contexto, cabe destacar que tais excludentes estão previstas no artigo 43 da Lei Geral de Proteção de Dados1, dividindo-se em três incisos.
O inciso I estabelece a excludente da não realização do tratamento e, por consequência, diz respeito ao dever de registro das operações de tratamento, tanto do operador, quanto do controlador, nos termos do artigo 37 dessa lei2, especialmente quando fundamentado com base no legítimo interesse. Pela inversão do ônus da prova, na maior parte dos casos, este dever de registro explicitará facilmente a hipótese descrita para os fins de se afastar eventual responsabilização.3
O inciso II define a excludente da ausência de ilicitude no tratamento e, assim, designa, também, situações de "exercício regular de direito" de forma similar ao artigo 188, inciso I, do Código Civil. Este inciso deve ser lido levando em consideração os parâmetros estabelecidos pela Lei Geral de Proteção de Dados, tais como o dever de registro, nos termos do artigo 37, o dever geral de segurança, previsto no artigo 46, e os deveres de boas práticas e de governança descritas no artigo 50.
Diante da situação em que não ocorre ato ilícito – ou seja, inexiste violação à legislação de proteção de dados –, com o operador e o controlador respeitando o dever geral de segurança, não há responsabilização dos agentes de tratamento. Por exemplo, se uma decisão automatizada, baseada em critérios transparentes, sem nenhum viés, e devidamente fundamentada, negar um empréstimo a alguém, não haveria nenhuma responsabilização aos agentes de tratamento, já que não ocorreu violação à legislação de proteção de dados.4
Por fim, o inciso III incorpora o fato da vítima (titular de dados) e o fato de terceiros como excludentes de responsabilização – excludentes, aliás, clássicas da responsabilidade civil e já, previstas, por exemplo, na legislação consumerista (artigo 12, § 3º, inciso III, do CDC, que prevê a excludente de responsabilização do fornecedor em caso de culpa exclusiva do consumidor ou de terceiro). Diante deste contexto, conceitua-se o fato exclusivo da vítima como o evento que se identifica como causa necessária de um dano sofrido por ela, e cuja realização só possa ser a ela imputável.5
Destacam-se situações em que, mesmo com a diligência dos agentes para garantir a maior segurança possível no tratamento de dados, o titular dos dados, na sua pessoa, incorra ao dano – como, a título exemplificativo, ao disponibilizar seus dados, mesmo não sendo hipossuficiente, a sítios eletrônicos que claramente não são confiáveis, ou ao não atualizarem periodicamente os seus aplicativos nos seus celulares. Aliás, a esse respeito, há o entendimento de ocorrer fato exclusivo do usuário quando este, sem o devido cuidado, e havendo o cumprimento do dever de segurança daquele que prestou o serviço, contribui para o dano.6
Quanto ao fato de terceiro, há uma interrupção do nexo causal, na medida em que não é a conduta do agente a causa necessária à produção de danos.7 No presente ponto, pode-se, por exemplo, questionar a responsabilidade do encarregado, responsável por passar instruções ao controlador e a seus controladores quanto à proteção de dados, em caso de fato exclusivo deste. Causa estranheza que a responsabilização desta figura central para o controle de eventos danosos esteja omissa no artigo 42 dessa lei, que versa apenas sobre a responsabilidade civil do controlador e do operador.
Igualmente, questionável se uma invasão cibernética a um sistema que armazena dados pessoais poderia ser imputada como fato de terceiro. Considerando que o sistema de responsabilidade da Lei Geral de Proteção de Dados é centrado num dever geral de segurança8, entende-se que, se o controlador ou o operador demonstrarem que, à época do ataque hacker, trataram os dados com a melhor técnica de segurança da época, pode incidir essa excludente de ilicitude pela ocorrência de fato de terceiro.
Aliás, o entendimento de uma responsabilidade centrada num dever de segurança não é novidade no ordenamento jurídico brasileiro: no Código de Defesa do Consumidor, a responsabilidade pelo fato do produto e fato do serviço é fundada no defeito, em que há a possibilidade do fornecedor de afastar a sua responsabilidade quando comprovar que não faltou com a segurança e informações devidas acessíveis através da melhor técnica existente.9 Este é, também, o entendimento do Superior Tribunal de Justiça.10 Inclusive, as excludentes de responsabilidade civil do fabricante, construtor, produtor ou importador, disciplinadas no artigo 12, § 3º, incisos I, II e III, do Código de Defesas do Consumidor11, são bastante similares às excludentes consagradas no artigo 43 da Lei Geral de Proteção de Dados.
Nesse mesmo sentido, a jurisprudência dos Tribunais brasileiros entende que, demonstrado o cumprimento do dever de segurança na colocação do produto pelo fornecedor, pode-se alegar o fato de terceiro.12 Assim, é possível aplicar esse entendimento também ao inciso III do artigo 43 da Lei Geral de Proteção de Dados. Por se tratar de uma problemática recente, faz-se necessário cuidado especial na aplicação das excludentes de responsabilidade em processos judiciais que certamente irão interpretar o melhor formato de responsabilização dos agentes de tratamento de dados pessoais. A devida aplicação exige a consideração dos aspectos especiais da disciplina da proteção de dados pessoais e de seu regime especial de responsabilidade civil.
__________
1 Art. 43. Os agentes de tratamento só não serão responsabilizados quando provarem:
I - que não realizaram o tratamento de dados pessoais que lhes é atribuído;
II - que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou
III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
2 Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.
3 DRESCH, Rafael de Freitas Valle; FALEIROS JÚNIOR, José Luiz de Moura. Reflexões sobre a responsabilidade civil na Lei Geral de Proteção de Dados (lei 13.709/2018). In: ROSENVALD, Nelson; DRESCH, Rafael de Freitas Valle; WESENDONCK, Tula (Coords.). Responsabilidade civil: novos riscos. Indaiatuba: Foco, 2019, p. 81.
4 CAPANEMA, Walter Aranha. A responsabilidade civil na Lei Geral de Proteção de Dados. Cadernos Jurídicos, São Paulo, ano 21, nº 53, p. 163-170, jan.-mar. 2020, p. 167.
5 MIRAGEM, Bruno Nubens Barbosa. Direito civil: responsabilidade civil. São Paulo: Saraiva, 2015, p. 241.
6 TJRS, 12a. Câmara Cível, Apelação Cível n. 70083485789, Rel. Des. Ana Lúcia Carvalho Pinto Vieira Rebout, j. 10/06/2020.
7 ROSENVALD, Nelson; FARIAS, Cristiano Chaves de; BRAGA NETTO, Felipe Peixoto. Curso de direito civil: responsabilidade civil. Salvador: Juspodvm, 2017, v. 3, p. 431.
8 DRESCH, Rafael de Freitas Valle; FALEIROS JÚNIOR, José Luiz de Moura. Reflexões sobre a responsabilidade civil na Lei Geral de Proteção de Dados (lei 13.709/2018). In: ROSENVALD, Nelson; DRESCH, Rafael de Freitas Valle; WESENDONCK, Tula (Coords.). Responsabilidade civil: novos riscos. Indaiatuba: Foco, 2019, p. 82.
9 DRESCH, Rafael de Freitas Valle. Fundamentos da responsabilidade civil pelo fato do produto e do serviço: um debate jurídico-filosófico entre o formalismo e o funcionalismo no Direito Privado. Porto Alegre: Livraria do Advogado Editora, 2009, p. 126.
10 STJ, REsp. 1.095.271/RS, T4, Rel. Min. Felipe Salomão, j. 07/02/2013, DJe 05/03/2013.
11 Art. 12. O fabricante, o produtor, o construtor, nacional ou estrangeiro, e o importador respondem, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos decorrentes de projeto, fabricação, construção, montagem, fórmulas, manipulação, apresentação ou acondicionamento de seus produtos, bem como por informações insuficientes ou inadequadas sobre sua utilização e riscos.
(...)
§ 3° O fabricante, o construtor, o produtor ou importador só não será responsabilizado quando provar:
I - que não colocou o produto no mercado;
II - que, embora haja colocado o produto no mercado, o defeito inexiste;
III - a culpa exclusiva do consumidor ou de terceiro.
12 TJPR, 9ª Câmara Cível, Apelação Cível n. 1727103-5, Rel. Des. Domingos José Perfetto, j. 30/11/2017, DJ 23/01/2018.