Desde a entrada em vigor da Lei Geral de Proteção de Dados em 01 de agosto de 2020, o Poder Público, de forma geral, vem tentando adaptar-se à realidade da nova lei, criando mecanismos de proteção de seus bancos de dados, que na grande maioria das vezes inclui informações sensíveis, nos termos do artigo 5º, II da lei 13.709/18.
Tais medidas envolvem a adaptação de seus contratos, a criação de órgãos internos de controle, além da regulamentação do acesso à população para o cumprimento do previsto no artigo 181, da referida lei, ou seja, que o titular ao titular dos dados seja possível acessar, retificar e eventualmente eliminar os dados fornecidos.
Note-se ainda que no caso do Poder Público, em muitas situações, o fornecimento dos dados é obrigatório para acesso ao serviço, de maneira que, nestes casos, não há consentimento do titular, na medida em que a negativa do dado pessoal implica em não acessar o serviço.
Considerando a imposição da obtenção de dados por parte do Poder Público, é seu dever, nos termos da legislação, buscar o equilíbrio entre os princípios que regem a administração, como a eficiência, a publicidade e o interesse público com aqueles expostos na Lei Geral de Proteção de Dados de finalidade, necessidade e adequação.
A Lei Geral de Proteção de Dados traz a necessidade de proteção não só do direito de personalidade dos titulares, identificados no artigo 2º da lei, mas ainda a responsabilidade pela violação de normas técnicas que são voltadas à segurança e à proteção dos dados pessoais.
Desta forma, o Poder Público, seja no papel de operador ou de controlador, deverá, nos termos do artigo 42 e seguintes da lei 13.709/18 indenizar aquele que tiver seu direito violado seja em razão de desrespeito à noma jurídica ou em razão de violação de norma técnica.
A Lei Geral de Proteção de Dados não trouxe, em seu texto, dicção clara sobre a espécie de responsabilidade que seria adotada para o caso de violação de direitos. Assim, desde sua entrada em vigor, discute-se na doutrina se a responsabilidade prevista na Lei será objetiva, subjetiva ou ainda uma terceira hipótese, a objetiva especial.
Os defensores da responsabilidade objetiva argumentam que a lei trouxe grandes semelhanças com o Código de Defesa do Consumidor, inclusive com a redação do artigo 43 trazendo as hipóteses de excludente de responsabilidade. Para os defensores desta tese, a responsabilidade se dá em razão do risco ou proveito da atividade. Por outro lado, os defensores da responsabilidade subjetiva entendem que a sistemática de Lei, estabelecendo normas de conduta para o tratamento de dados é típica da responsabilidade subjetiva2 e depende da comprovação de culpa dos agentes de tratamento de dados. Para a terceira corrente, que chama a responsabilidade de objetiva especial, ela decorre do cometimento de um ilícito pelos agentes do tratamento de dados, ou seja, pelo descumprimento dos deveres previstos na lei, em especial o de segurança.
Esta discussão, no entanto, para a responsabilidade civil do Estado é despicienda, já que a previsão do artigo 37, §6º da Constituição Federal determina a responsabilidade objetiva para a administração pública.
Fixada a responsabilidade objetiva para o ente estatal, basta a verificação do nexo causal para que seja devida a indenização ela exposição indevida de dados. Neste ponto, é importante verificar que nas operações que envolvem transmissões de dados, nem sempre é possível demonstrar a origem do vazamento. Para a solução de tal problema, a própria lei traz a possibilidade de inversão do ônus da prova a critério do juiz, a favor do titular de dados, desde que verossímil a alegação, haja hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular for excessivamente onerosa
Entretanto, somente existindo responsabilidade solidária na LGPD, nas hipóteses previstas nos incisos I e II do artigo 42, o Poder Público só poderá ser responsabilizado de acordo com as violações que lhe forem imputáveis em razão de seu papel de controlador ou de operador, a depender da hipótese no caso concreto.
Para além das hipóteses do artigo 42, pode-se considerar a solidariedade nas situações em que a violação se enquadra em relação consumerista.
Ainda deve-se ter em conta que, considerando-se a responsabilidade objetiva do Estado, a previsão do artigo 43, II, que trata da não violação à legislação de dados, embora tenha sido este tratado pelo Poder Público, não pode ser aplicada. Em sendo o Poder Público controlador ou operador e tendo existido dano, não há que se falar em afastamento da responsabilidade por não violação da legislação.
As demais hipóteses do artigo 43, no entanto, são aplicáveis ao Poder Público são excludentes de responsabilidade.
Embora a LGPD não traga parâmetros de indenização em caso de responsabilidade civil, com base no artigo 944 do Código Civil, pode-se ter em consideração critérios estabelecidos na própria lei como relevantes para fixação do dano, especialmente aqueles dispostos no §1º do artigo 52, tais como a sensibilidade dos dados, a reincidência do agente e a ausência ou demora na notificação do vazamento de dados.
Ainda sobre a aplicabilidade do artigo 944 do Código Civil, como colocado por Nelson Rosenvald3, para a análise da extensão do dano e considerando a previsão do artigo 50 da lei 13.709/18 sobre adoção de boas práticas e de governança, deve-se considerar a diligência ou o standard adotado pelo órgão a ser condenado.
A LGPD traz ainda seção específica de responsabilidade para o Poder Público nos artigos 31 e 32 que tratam e medidas administrativas a serem tomadas para os casos de infração da lei ou para o monitoramento de adoção de boas práticas.
Recentemente a Agência Nacional de Proteção de Dados excluiu a possibilidade de que as sanções pecuniárias, previstas no artigo 52, possam ser aplicadas a órgãos públicos.
Estas medidas não afastam a incidência das normas do artigo 42 e 43 da Lei para o Poder Público, com as devidas adaptações decorrentes da responsabilidade objetiva do Estado.
*Bruna Simões possui mestrado e doutorado em Direito pela PUC/SP É defensora publica do Estado de São Paulo.
Bibliografia
Gustavo, T. Fundamentos do Direito Civil - Responsabilidade Civil - Vol. 4. Grupo GEN, 2020.
BIONI, Bruno et al (Coords.). Tratado de Proteção de Dados Pessoais. Grupo GEN, 2020.
Peck, P. Proteção de dados pessoais. Editora Saraiva, 2020.
__________
1 Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: I - confirmação da existência de tratamento; II - acesso aos dados; III - correção de dados incompletos, inexatos ou desatualizados; IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei; V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial; VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta lei; VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; IX - revogação do consentimento, nos termos do § 5º do art. 8º desta lei.
2 TEPEDINO, Gustavo, Fundamentos do Direito Civil - Responsabilidade Civil - Vol. 4, pg. 237.
3 Migalhas. Acesso em 24/08/2021.