Texto de autoria de Caitlin Mulholland
A LGPD, em seus artigos 42 a 45, estabelece as regras referentes à responsabilidade civil dos agentes de tratamento de dados pessoais, inaugurando um debate doutrinário a respeito da natureza da obrigação de indenizar, se subjetiva - baseada na falta a um dever de conduta imposto ao agente de tratamento - ou objetiva - fundamentada no risco da atividade desenvolvida pelos agentes. Estas normas, por sua vez, são justificadas por três princípios da LGPD, quais sejam, segurança (art. 6º, VII), prevenção (art. 6º, VIII) e responsabilização e prestação de contas (art. 6º, X). Complementa o debate, os artigos 46 e seguintes, da LGPD, que tratam da segurança de dados, governança e sanções administrativas adequadas em caso de incidentes de segurança.
De acordo com Gisela Sampaio e Rose Meireles1, a LGPD adotou claramente a teoria subjetiva da responsabilidade civil, devendo haver a prova da conduta culposa do agente de tratamento na ocasião do dano, por sua vez fundamentada (i) na omissão na adoção de medidas de segurança para o tratamento adequado dos dados ("quando não fornecer a segurança que o titular dele pode esperar,"); (ii) no descumprimento das obrigações impostas na lei ("em violação à legislação de proteção de dados pessoais" ou "quando deixar de observar a legislação"). As autoras indicam que o Capítulo VI da LGPD (artigos 46 a 54) - que trata de standards de conduta a serem seguidos pelos agentes de tratamento de dados para a segurança, sigilo, boas práticas e governança de dados - seria também o fundamento para o reconhecimento da responsabilidade subjetiva. Em complementação ao entendimento das autoras, na análise das excludentes de responsabilidade do artigo 43, da LGPD, o inciso II pareceria indicar a adoção de uma excludente tipicamente relacionada às hipóteses de responsabilidade civil subjetiva ao estatuir que só não serão responsabilizados se, ainda que exista o dano, não houver violação da legislação de proteção de dados. A violação da lei, para as autoras, seria elemento subjetivo da obrigação de indenizar e indicaria a conduta culposa do agente de tratamento de dados. Assim, não haverá obrigação de indenizar quando o agente de tratamento de dados tiver demonstrado que "(…) observou o standard esperado e, se o incidente ocorreu, não foi em razão de sua conduta culposa"2. Em resumo, sustentam as autoras que a LGPD adota a teoria subjetiva da responsabilidade civil, calcada em duas “dicas” deixadas pelo legislador: (i) no artigo 42, quando o legislador faz menção a medidas de segurança; (ii) no art. 43, II, quando o legislador estabelece excludente de ilicitude referente ao cumprimento das normas da LGPD.
Em posição diversa, Maria Celina Bodin de Moraes e João Quinelato3 acreditam que a LGPD adota a chamada teoria ativa ou proativa da responsabilidade civil. Esta teoria indica a necessidade de olhar-se a responsabilidade civil de um ponto de vista positivo, sustentado pela necessidade da adoção de posturas pelos agentes de tratamento de dados que tutelem a prevenção de danos, sendo a obrigação de indenizar medida excepcional a ser tomada. De acordo com os autores, "a proteção da intimidade por vias da mera não interferência na esfera individual cede espaço à tutela positiva e proativa, isto é, que garanta ao titular o conhecimento pleno das formas de tratamento, finalidade e destino de seus dados"4. Complementam essa afirmação, indicando que os dados pessoais, por constituírem conteúdo do direito à privacidade, impõem que "a coleta e o tratamento de dados pessoais deve ser precedida de medidas rigorosas e eficazes de proteção, especialmente em relação aos dados sensíveis, núcleo duro da dignidade humana"5. Os autores sustentam que a "responsabilidade proativa" encontra-se justificada no art. 6º, X, da LGPD, que reconhece o princípio da responsabilização e prestação de contas que impõem aos agentes de tratamento de dados pessoais a "demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas".
De outro lado, Danilo Doneda e Laura Mendes6 consideram que a atividade de tratamento de dados encerra um risco intrínseco, na medida em que há uma potencialidade danosa considerável em caso de violação desses direitos, que se caracterizam por sua natureza de direito personalíssimo e de direito fundamental. Partem os autores da constatação de que a legislação de proteção de dados tem como um dos seus principais fundamentos a diminuição de riscos de dano. Tanto assim, que a lei adota como princípio, no artigo 6, III, o da necessidade que impõe a "limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados”. Estas considerações a respeito da finalidade da lei e dos princípios por ela adotados (necessidade, minimização, responsabilidade e prestação de contas, entre outros), levam os autores a concluir que o legislador optou por um regime de responsabilidade objetiva, vinculando o exercício da atividade de tratamento de dados pessoais a um risco inerente, potencialmente causador de danos a seus titulares.
Analisando os princípios indicados, o princípio da prestação de contas estabelece a necessidade de atender à transparência a ser adotada pelo agente de tratamento de dados acerca dos procedimentos que são tomados para a segurança no tratamento de dados. Esta transparência deve ser considerada como um dever "ativo". Isto é, aos titulares de dados devem ser comunicadas todas as medidas de segurança que serão tomadas para evitar o dano. A transparência, por sua vez, gera a obrigação ao agente de tratamento de prestar contas, onde serão evidenciadas as medidas que estão sendo tomadas para uma atuação em conformidade com as boas práticas impostas pela lei. Uma das formas, inclusive, de avaliação destas práticas se dá pelo chamado relatório de impacto à proteção de dados pessoais, que se configura como a "documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco" (art. 5, XVII, LGPD). O uso deste termo - "mecanismos de mitigação do risco" -, refere-se à capacidade do pretenso ofensor de reconhecer previamente os riscos relacionados à atividade que ele desenvolve e tomar as medidas para evitar o dano, numa antecipação que o controlador ou operador deverá considerar para evitar a obrigação de reparar, por meio da gestão dos riscos relacionados à atividade desenvolvida.
Em complementação, o artigo 44, LGPD, trata da hipótese em que se reconhece que haverá tratamento irregular de dados quando o agente de tratamento (i) deixar de observar a legislação; ou (ii) não oferecer a segurança que o titular dele pode esperar (legítima expectativa). Por sua vez, estes dois fundamentos que formam o conceito do tratamento irregular de dados devem ser analisados considerando, dentre outras circunstâncias, o modo como o tratamento é realizado, o resultado e os riscos razoavelmente esperados pelo tratamento e as técnicas de tratamento de dados disponíveis à época em que este foi realizado. Complementa a redação do artigo 44, o seu parágrafo único, que estabelece que o controlador ou o operador será obrigado a indenizar os danos decorrentes da violação da segurança dos dados quando deixarem de adotar as medidas de segurança previstas no art. 46, da LGPD, quais sejam, aquelas "aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito".
Com base na redação do artigo 44, LGPD, questiona-se se o legislador inaugurou um regime de responsabilidade civil diverso daquele adotado no artigo 42, LGPD. Essa indagação se deve ao fato de que (i) o artigo 44, LGPD, utiliza a expressão “tratamento irregular”, condicionando a hipótese de responsabilidade civil prevista em seu parágrafo único, à qualificação de irregularidade definida no artigo 46, LGPD, e (ii) o artigo 46, LGPD, encontra-se inserido no Capítulo VII, que trata da "Segurança e Boas Práticas", na Seção I, "Da Segurança e Sigilo de Dados", que se refere às medidas de segurança e boas práticas que devem ser adotadas pelo agente de tratamento para a prevenção de danos decorrentes de incidentes de segurança. Assim, enquanto o artigo 42, LGPD, impõe a obrigação de indenizar "em razão do exercício de atividade de tratamento de dados pessoais", o artigo 44 e seu parágrafo único, LGPD, determinam a obrigação de indenizar caso haja tratamento irregular de dados pessoais, identificado como sendo aquele decorrente da "violação da segurança dos dados". Parece que o legislador quis identificar nessa hipótese situações danosas que decorrem especificamente de incidentes de segurança que são, por sua vez, acontecimentos que se relacionam ao risco inerente ao desenvolvimento da atividade de tratamento de dados, como vazamentos não intencionais e invasão de sistemas e bases de dados por terceiros não autorizados. Neste sentido, esses riscos devem ser necessariamente situados como intrínsecos à atividade de tratamento de dados e, portanto, considerados, em última análise, como hipótese de fortuito interno, incapazes de afastar a obrigação dos agentes de tratamento de indenizar os danos causados pelos incidentes.
Conclui-se, portanto, que apesar do uso de expressões diversas em sua redação, tanto o artigo 42, quanto o artigo 44, da LGPD, adotam o fundamento da responsabilidade civil objetiva, impondo aos agentes de tratamento a obrigação de indenizar os danos causados aos titulares de dados, afastando destes o dever de comprovar a existência de conduta culposa por parte do controlador ou operador. Fundamenta esta conclusão o fato de que a atividade desenvolvida pelo agente de tratamento é evidentemente uma atividade que impõe riscos aos direitos dos titulares de dados, que, por sua vez, são intrínsecos, inerentes à própria atividade e resultam em danos a direito fundamental. Ademais, tais danos se caracterizam por serem quantitativamente elevados e qualitativamente graves, ao atingirem direitos difusos, o que, por si só, já justificaria a adoção da responsabilidade civil objetiva, tal como no caso dos danos ambientais e dos danos causados por acidentes de consumo.
*Caitlin Mulholland é doutora em Direito Civil pela UERJ e professora do Departamento de Direito da PUC-Rio
__________
1 GUEDES, Gisela Sampaio da Cruz; MEIRELES, Rose Melo Vencelau, “Término do tratamento de dados”, IN: Tepedino, Gustavo; Frazão, Ana; Oliva, Milena Donato. Lei Geral de Proteção de Dados Pessoais, Editora RT: São Paulo, 2019, p. 231.
2 Idem, ibidem, p. 236.
3 MORAES, Maria Celina Bodin de; QUEIROZ, João Quinelato de. Autodeterminação informativa e responsabilização proativa: novos instrumentos de tutela da pessoa humana na LGDP. IN: Cadernos Adenauer, volume 3, Ano XX, 2019.
4 Idem, ibidem, p. 118.
5 Idem, ibidem, p. 119.
6 MENDES, Laura Schertel; DONEDA, D. . Comentário à nova Lei de Proteção de Dados (Lei 13.709/2018), o novo paradigma da proteção de dados no Brasil. REVISTA DE DIREITO DO CONSUMIDOR, v. 120, p. 555, 2018.
__________
Esta coluna é exclusivamente produzida pelos associados do IBERC (Instituto Brasileiro de Estudos de Responsabilidade Civil).