Migalhas de Responsabilidade Civil

LGPD e a responsabilidade civil do Estado

LGPD e a responsabilidade civil do Estado.

26/8/2021

Desde a entrada em vigor da Lei Geral de Proteção de Dados em 01 de agosto de 2020, o Poder Público, de forma geral, vem tentando adaptar-se à realidade da nova lei, criando mecanismos de proteção de seus bancos de dados, que na grande maioria das vezes inclui informações sensíveis, nos termos do artigo 5º, II da lei 13.709/18.

Tais medidas envolvem a adaptação de seus contratos, a criação de órgãos internos de controle, além da regulamentação do acesso à população para o cumprimento do previsto no artigo 181, da referida lei, ou seja, que o titular ao titular dos dados seja possível acessar, retificar e eventualmente eliminar os dados fornecidos.

Note-se ainda que no caso do Poder Público, em muitas situações, o fornecimento dos dados é obrigatório para acesso ao serviço, de maneira que, nestes casos, não há consentimento do titular, na medida em que a negativa do dado pessoal implica em não acessar o serviço.

Considerando a imposição da obtenção de dados por parte do Poder Público, é seu dever, nos termos da legislação, buscar o equilíbrio entre os princípios que regem a administração, como a eficiência, a publicidade e o interesse público com aqueles expostos na Lei Geral de Proteção de Dados de finalidade, necessidade e adequação.

A Lei Geral de Proteção de Dados traz a necessidade de proteção não só do direito de personalidade dos titulares, identificados no artigo 2º da lei, mas ainda a responsabilidade pela violação de normas técnicas que são voltadas à segurança e à proteção dos dados pessoais.

Desta forma, o Poder Público, seja no papel de operador ou de controlador, deverá, nos termos do artigo 42 e seguintes da lei 13.709/18 indenizar aquele que tiver seu direito violado seja em razão de desrespeito à noma jurídica ou em razão de violação de norma técnica.

A Lei Geral de Proteção de Dados não trouxe, em seu texto, dicção clara sobre a espécie de responsabilidade que seria adotada para o caso de violação de direitos. Assim, desde sua entrada em vigor, discute-se na doutrina se a responsabilidade prevista na Lei será objetiva, subjetiva ou ainda uma terceira hipótese, a objetiva especial.

Os defensores da responsabilidade objetiva argumentam que a lei trouxe grandes semelhanças com o Código de Defesa do Consumidor, inclusive com a redação do artigo 43 trazendo as hipóteses de excludente de responsabilidade. Para os defensores desta tese, a responsabilidade se dá em razão do risco ou proveito da atividade. Por outro lado, os defensores da responsabilidade subjetiva entendem que a sistemática de Lei, estabelecendo normas de conduta para o tratamento de dados é típica da responsabilidade subjetiva2 e depende da comprovação de culpa dos agentes de tratamento de dados. Para a terceira corrente, que chama a responsabilidade de objetiva especial, ela decorre do cometimento de um ilícito pelos agentes do tratamento de dados, ou seja, pelo descumprimento dos deveres previstos na lei, em especial o de segurança.

Esta discussão, no entanto, para a responsabilidade civil do Estado é despicienda, já que a previsão do artigo 37, §6º da Constituição Federal determina a responsabilidade objetiva para a administração pública.

Fixada a responsabilidade objetiva para o ente estatal, basta a verificação do nexo causal para que seja devida a indenização ela exposição indevida de dados. Neste ponto, é importante verificar que nas operações que envolvem transmissões de dados, nem sempre é possível demonstrar a origem do vazamento. Para a solução de tal problema, a própria lei traz a possibilidade de inversão do ônus da prova a critério do juiz, a favor do titular de dados, desde que verossímil a alegação, haja hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular for excessivamente onerosa

Entretanto, somente existindo responsabilidade solidária na LGPD, nas hipóteses previstas nos incisos I e II do artigo 42, o Poder Público só poderá ser responsabilizado de acordo com as violações que lhe forem imputáveis em razão de seu papel de controlador ou de operador, a depender da hipótese no caso concreto.

Para além das hipóteses do artigo 42, pode-se considerar a solidariedade nas situações em que a violação se enquadra em relação consumerista.

Ainda deve-se ter em conta que, considerando-se a responsabilidade objetiva do Estado, a previsão do artigo 43, II, que trata da não violação à legislação de dados, embora tenha sido este tratado pelo Poder Público, não pode ser aplicada. Em sendo o Poder Público controlador ou operador e tendo existido dano, não há que se falar em afastamento da responsabilidade por não violação da legislação.

As demais hipóteses do artigo 43, no entanto, são aplicáveis ao Poder Público são excludentes de responsabilidade.

Embora a LGPD não traga parâmetros de indenização em caso de responsabilidade civil, com base no artigo 944 do Código Civil, pode-se ter em consideração critérios estabelecidos na própria lei como relevantes para fixação do dano, especialmente aqueles dispostos no §1º do artigo 52, tais como a sensibilidade dos dados, a reincidência do agente e a ausência ou demora na notificação do vazamento de dados.

Ainda sobre a aplicabilidade do artigo 944 do Código Civil, como colocado por Nelson Rosenvald3, para a análise da extensão do dano e considerando a previsão do artigo 50 da lei 13.709/18 sobre adoção de boas práticas e de governança, deve-se considerar a diligência ou o standard adotado pelo órgão a ser condenado.

A LGPD traz ainda seção específica de responsabilidade para o Poder Público nos artigos 31 e 32 que tratam e medidas administrativas a serem tomadas para os casos de infração da lei ou para o monitoramento de adoção de boas práticas.

Recentemente a Agência Nacional de Proteção de Dados excluiu a possibilidade de que as sanções pecuniárias, previstas no artigo 52, possam ser aplicadas a órgãos públicos.

Estas medidas não afastam a incidência das normas do artigo 42 e 43 da Lei para o Poder Público, com as devidas adaptações decorrentes da responsabilidade objetiva do Estado.

*Bruna Simões possui mestrado e doutorado em Direito pela PUC/SP É defensora publica do Estado de São Paulo.

Bibliografia

Gustavo, T. Fundamentos do Direito Civil - Responsabilidade Civil - Vol. 4. Grupo GEN, 2020.

BIONI, Bruno et al (Coords.). Tratado de Proteção de Dados Pessoais. Grupo GEN, 2020.

Peck, P. Proteção de dados pessoais. Editora Saraiva, 2020.

Migalhas.

__________

1 Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: I - confirmação da existência de tratamento; II - acesso aos dados; III - correção de dados incompletos, inexatos ou desatualizados; IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei; V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial; VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta lei; VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; IX - revogação do consentimento, nos termos do § 5º do art. 8º desta lei.

2 TEPEDINO, Gustavo, Fundamentos do Direito Civil - Responsabilidade Civil - Vol. 4, pg. 237.

3 Migalhas. Acesso em 24/08/2021.

Veja mais no portal
cadastre-se, comente, saiba mais

Colunistas

Carlos Edison do Rêgo Monteiro Filho é professor titular e ex-coordenador do programa de pós-graduação em Direito da Faculdade de Direito da UERJ (mestrado e doutorado). Doutor em Direito Civil e mestre em Direito da Cidade pela UERJ. Presidente do Fórum Permanente de Direito Civil da Escola Superior de Advocacia Pública da Procuradoria-Geral do Estado do Rio de Janeiro (ESAP/PGE). Vice-presidente do IBERC (Instituto Brasileiro de Estudos da Responsabilidade Civil). Autor de livros e artigos científicos. Advogado, parecerista e consultor em temas de Direito Privado.

Fernanda Schaefer é pós-doutora pelo Programa de pós-graduação Stricto Sensu em Bioética da PUC-PR. Doutora em Direito das Relações Sociais pela Universidade Federal do Paraná, curso em que realizou Doutorado Sanduíche nas Universidades do País Basco e Universidade de Deusto (Espanha). Professora do UniCuritiba. Coordenadora do Curso de Pós-Graduação em Direito Médico e da Saúde da PUC-PR. Assessora Jurídica do CAOP Saúde MPPR.

Igor de Lucena Mascarenhas é advogado e professor universitário nos cursos de Direito e Medicina (UFPB / UNIFIP). Doutorando em Direito pela UFBA e doutorando em Direito pela UFPR. Mestre em Ciências Jurídicas pela UFPB. Especialista em Direito da Medicina pelo Centro de Direito Biomédico vinculado à Faculdade de Direito da Universidade de Coimbra.

Nelson Rosenvald é advogado e parecerista. Professor do corpo permanente do Doutorado e Mestrado do IDP/DF. Pós-Doutor em Direito Civil na Università Roma Tre. Pós-Doutor em Direito Societário na Universidade de Coimbra. Visiting Academic na Oxford University. Professor Visitante na Universidade Carlos III, Madrid. Doutor e Mestre em Direito Civil pela Pontifícia Universidade Católica de São Paulo – PUC/SP. Presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil – IBERC. Foi Procurador de Justiça do Ministério Público de Minas Gerais.

Paulo Roque Khouri é doutorando em Direito Constitucional pelo Instituto Brasiliense de Direito Público — IDP. Graduado em Direito pelo Centro Universitário de Brasília – UNICEUB (1992) e em Jornalismo pela Universidade Federal de Juiz de Fora (UFJF) (1987); mestrado em Direito Privado pela Universidade de Lisboa (2006). Atualmente é professor do Instituto Brasiliense de Direito Público (IDP), sócio do escritório de advocacia Roque Khouri & Pinheiro Advogados Associados S/C.