Um dos mais polêmicos pilares estabelecidos pela Lei Geral de Proteção de Dados Pessoais foi o da responsabilidade civil dos agentes de tratamento. Ao regular as situações ilícitas, acidentais ou não, as normas dos artigos 42 a 45 da Lei 13.709/1 criaram um inusitado e desconfortável paradoxo: quais elementos levar em consideração para fixar os critérios do regime de responsabilização civil?
Não há dúvida de que a reparação de danos decorrente do tratamento ilícito de dados pessoais há de ser examinada com extrema cautela. A ninguém interessa que o futuro se veja aprisionado em formas técnicas pertencentes ao passado e que possam se revelar insuficientes para compreender o significado das inovações que se apresentam atualmente (Rodotà,1997). Mas também é igualmente temerária a proposta alvissareira de revisão da tradição secular que firmou as bases da responsabilidade civil e que pode causar desproporcional insegurança jurídica para as relações civis e descortinar uma nova roupagem às afrontas à dignidade da pessoa humana.
Interessa-nos compreender que o artigo 42 da LGPD estabelece que "o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo".
Verifica-se a clara alusão aos institutos do ato ilícito e do nexo de causalidade, não se identificando qualquer alteração em relação aos tradicionais elementos ensejadores do dever de indenizar a que aludem os artigos 186 e 927 do Código Civil.
Cumpre observar, entretanto, que durante a tramitação do PL que deu origem à LGPD, havia a expressão "independentemente de culpa" que foi retirada do texto do artigo 42 exatamente para que não fosse consagrado o regime da responsabilização objetiva dos agentes de tratamento de dados pessoais. Disso, e ainda de forma superficial, pode-se apontar a primeira incoerência de uma pretensão de se postular a aplicação do regime da responsabilidade objetiva pela simples interpretação literal da norma.
Porém, também é importante compreender e com amparo na lição de Anderson Schreiber (2021, p.324) que "[...] a parte final do art. 42 alude ao dano causado em violação à legislação de proteção de dados pessoais, expressão que sugere uma responsabilidade fundada na violação de deveres jurídicos (culpa normativa)". O critério de culpa normativa aqui mencionado por Schreiber diz respeito à conduta do bonus pater familias (ou do reasonable man no common law) e ao critério de culpa in abstracto, levando-se em consideração circunstâncias comuns inerentes ao "tempo, lugar, usos, costumes e hábitos sociais" (BANDEIRA, 2008, p. 231).
Dito isso, interessa-nos, por conseguinte, alcançar aquilo que se encontra previsto no artigo 43 da LGPD, em especial pela aproximação de sua redação com o artigo 14 do Código de Defesa do Consumidor que traz consigo a fortíssima herança da responsabilização objetiva dos fornecedores de produtos e serviços:
Art. 43. Os agentes de tratamento só não serão responsabilizados quando provarem:
I- que não realizaram o tratamento de dado pessoais que lhes é atribuído;
II- que, embora tenham realizado o tratamento de dados pessoais que lhe é atribuído, não houve violação à legislação de proteção de dados; ou
III- que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
De fato, a redação do indigitado dispositivo é bem próxima ao que dispõe o parágrafo terceiro do artigo 14 do CDC, o qual consagrou a sistemática da responsabilidade do fornecedor independentemente de culpa na reparação de danos causados aos consumidores. Essa comparação, potencializada pelo fato de que o tratamento de dados pessoais constituirá uma frequente relação consumerista, constitui um fator de razoável insegurança no estudo da matéria diante da constante relação de dialeticidade entre essas normativas. Vale dizer que a objetivação da responsabilidade consumerista não deve ser confundida com a regra geral.
No domínio do CDC, que pode ser aplicado diretamente (art. 45, LGPD) em inúmeros casos do tratamento de dados pessoais caso presentes as figuras do consumidor (direto ou por equiparação) e do fornecedor, o artigo 14 da Lei 8.078/90 estabelece que há responsabilidade "independentemente da existência de culpa pela reparação dos danos causados aos consumidores por defeitos relativos à prestação de serviços". E o parágrafo terceiro deste dispositivo estabelece que o fornecedor somente se isenta da responsabilização quando comprovar a inexistência de vício no serviço prestado ou se o dano tiver sido causado pela culpa exclusiva do consumidor ou de terceiro. Na esfera da LGPD, como já se anotou, não foi adotada positiva e expressamente a expressão "independentemente da existência de culpa".
No tocante ao mencionado artigo 43 da LGPD, aponta-se a prevalência da responsabilização do controlador, o qual estará isento do ressarcimento quando provar que não realizou o tratamento de dados pessoais (inciso I). Nesta hipótese, não haveria sequer a constituição de um liame a unir juridicamente o controlador ao titular, eis que em um primeiro momento aquele não seria sequer legitimado para responder por atos de terceiro1. É o típico caso da ausência do nexo de causalidade a impedir a responsabilização do controlador em relação ao qual, aliás, não se estabeleceu solidariedade como regra geral.2-3
A segunda hipótese contemplada no dispositivo diz respeito à inexistência de ato ilícito, isto é, embora o controlador tenha realizado efetivamente o tratamento de dados pessoais, e sua prática tenha sido respaldada por um dos fundamentos para o tratamento lícito inseridas no art. 7o da LGPD, ou em outro dispositivo correlato assim considerado pelo diálogo das fontes4. Nesta hipótese, não há ato ilícito e, consequentemente, não prospera o dever de indenizar entre o controlador e a pessoa lesada5-6. Houvesse o art. 43, II, da LGPD predeterminado a responsabilidade objetiva, não haveria motivo para se preocupar com a licitude ou não do ato praticado pelo agente de tratamento, já que bastaria, por si só, a existência de ato ou fato a ele atribuído que, em virtude de uma relação causal, houvesse causado danos à pessoa.
A esse respeito, Gustavo Tepedino, Aline Terra e Gisela Guedes (2021, p.751) destacam que os incisos I e III se referem expressamente à relação de causalidade e que o inciso II remete claramente à ideia de culpa enquanto fundamento primário da responsabilidade.
Neste particular, é essencial compreender que o ato que se reputar ilícito será praticado a título de culpa ou dolo. A responsabilidade objetiva, nada obstante, representa uma simplificação dos requisitos do dever de indenizar e do afastamento do elemento subjetivo da culpabilidade, bastando que exista ato praticado, dano e nexo de causalidade. Deste modo, é possível afirmar que o inciso II do art. 43 da LGPD constitui uma clara evidência da adoção do padrão subjetivo da responsabilidade civil pois, a se cogitar sua objetivação, seria irrelevante a comprovação do caráter lícito ou ilícito do ato praticado pelo respectivo agente de tratamento. Não há dúvida de que este dispositivo reclamou o cotejo do elemento culpa.
A terceira hipótese estabelece que o controlador não será responsável, quando comprovar que o dano suportado pela pessoa foi causado exclusivamente por ela própria ou por terceiro. Mais uma vez, trata-se do reconhecimento da necessária relação de causalidade entre o ato que se reputa ilícito e o dano originado. Se o ato, ainda que ilícito, foi praticado pela própria pessoa ou por terceiro, há que se reconhecer o afastamento do nexo de causalidade e do dever de indenizar.
A compreensão daquilo que está contido nos incisos do art. 43 da LGPD revela que o controlador será sempre responsabilizado, salvo nas hipóteses em que inexistir nexo de causalidade entre o ato por ele praticado e o dano suportado pela pessoa, assim como na ausência de antijuridicidade do ato realizado.
Isso significa que o sistema adotado pela LGPD é o da culpa presumida em caráter relativo e não o da responsabilidade objetiva pura. Parte-se do pressuposto, portanto, de que a responsabilidade do agente de tratamento constitui uma regra geral que pode ser afastada mediante a demonstração de que sua conduta não incorreu em quaisquer das modalidades da culpa, o que ocorrerá notadamente através da demonstração da adoção dos deveres de cuidado inerentes ao bonus pater familias estruturalmente definidos pela lei.
Acrescentem-se, ainda, os naturais obstáculos à comprovação da existência e da dimensão do dano, os quais podem excepcionalmente impedir o estabelecimento do liame obrigacional de ressarcimento e que historicamente justificaram a criação da teoria objetiva da responsabilidade civil.
Taísa Maria Macena de Lima e Maria de Fátima Freire de Sá (2020), assim como Maria Celina Bodin de Moraes (2019), Laura Mendes e Danilo Doneda (2018) entendem que a objetivação da responsabilidade do controlador decorre da adoção da teoria do risco-proveito.
Para tais autores, a responsabilidade civil pelo tratamento de dados pessoais prevista no art. 43 da LGPD estaria respaldada pelo parágrafo único do art. 927 do CC/02, segundo o qual o dever de reparar o dano não depende de culpa "quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem".
Porém, como observa Silvio Venosa (2010) "o que se leva em conta é a potencialidade de ocasionar danos; a atividade ou conduta do agente que resulta por si só na exposição a um perigo [...]". Em um mundo cada vez mais interconectado e em que o tratamento de dados pessoais se torna a pedra angular de qualquer atividade, não se pode presumir a prática da potencialidade danosa e acabamos por concordar com Leonardo Poli (2019):
É lógico que a noção de risco criado deve ser relativizada, ou, caso contrário, a responsabilidade subjetiva não mais seria aplicável, visto que, em última análise, toda conduta humana em sociedade gera risco de dano para terceiros.
Assim, tem-se que a teoria do risco criado não se aplica a qualquer atividade humana que gere risco, uma vez poder-se dizer que exista risco em qualquer atividade humana. A teoria se aplica apenas a atividades ditas perigosas, aquelas em que o risco é inerente, seja por sua natureza, seja pelos meios que utiliza. (POLI, 2019, p.575).
Além disso, duas outras questões corroboram esse apontamento. A primeira, é que toda a LGPD é estruturada de acordo com uma complexa morfologia de práticas relacionadas ao dever de cuidado, transparência, informação, prevenção, segurança, responsabilização e prestação de contas e cujo cumprimento total ou parcial devem importar à gradação da responsabilidade do agente de tratamento.
A simples atribuição da responsabilidade civil, independentemente do elemento subjetivo da culpa, significará que o cumprimento desses deveres estruturais será irrelevante para o agente de tratamento de dados pessoais, já que não resultaria em qualquer possibilidade de afastamento ou mitigação de sua responsabilidade.
Dito de outra forma, nem mesmo existiria incentivo para a adoção das melhores práticas de governança de dados pessoais (art. 50, LGPD), da sua manutenção e melhoria contínua ao longo do tempo se, eventualmente, incapazes de evitar o ilícito, não pudessem atenuar total ou parcialmente a dimensão da responsabilidade do agente de tratamento. Se é certo afirmar que o instituto da responsabilidade civil tem passado por um deslocamento de seu eixo gravitacional, o qual se transfere de uma inicial incidência sobre o dano e, agora, tende para a reprovabilidade da conduta do ofensor (LEVY, 2012; ROSENVALD, 2010), seria igualmente apropriado também compreender que esse movimento deve ser levado em consideração, ao se interpretar a responsabilidade civil pelo tratamento de dados pessoais. A objetivação da responsabilidade civil, nessa esfera, embora possa constituir uma medida de facilitação da preservação dos direitos fundamentais da pessoa, não dispensa, a priori, a sua conjugação com o critério subjetivo. Para compreender a responsabilidade civil na LGPD é preciso ir além.
Gustavo Tepedino, Aline Terra e Gisela Guedes (2021) chegam à mesma conclusão ao compararem a redação do art. 43 da LGPD com o art. 493, item 2, do Código Civil português e com o art. 2.050 do Código Civil italiano que acolheram exatamente a figura da culpa presumida em caráter relativo.
No movimento histórico que levou ao desenvolvimento da responsabilidade civil enquanto presunção relativa de culpa e o dever de reparar, mediante presunção absoluta ou da adoção de medidas mitigadoras do dano, consolidara-se no CC/02 diversas disposições neste sentido, como é o caso da responsabilidade de pais, tutores, curadores, empregadores, donos de hotéis e hospedarias, casas ou estabelecimentos onde uma pessoa se abriga, mediante contraprestação pecuniária, em que a culpa por danos causados não é discutida pois dotada de presunção iure et de iure. O mesmo ocorre com a responsabilidade do fornecedor de produtos ou serviços pelos danos causados aos consumidores (art. 14, CDC). Porém, em tais situações, houve expressa determinação prevista na legislação para a adoção desse tipo de obrigação.
No desafio da construção de uma interpretação consentânea com a unidade da ordenação jurídica em um pensamento pós-abissal (SANTOS, 2007), sem descuidar da tendência antropocêntrica orientada pela dignidade da pessoa, de fato, não há sentido em se atribuir à parte lesada o ônus decorrente do tratamento indevido de seus dados pessoais, dificultando-lhe, sobremaneira, o exercício de seu direito de ação e o ressarcimento integral daquilo que suportou. Em inúmeras situações, a pessoa se torna verdadeiramente hipossuficiente em relação a qualquer prova do elemento subjetivo da culpa e da adoção das salvaguardas técnicas, de segurança e administrativas, a cargo do agente de tratamento, e às quais alude o art. 46 da LGPD.
Porém, há aqui um problema relativo à prova do ato ilícito e da adoção das medidas de índole procedimental e estrutural previstas na legislação, como os deveres de cuidado, informação, transparência, segurança, prestação de contas e responsabilização e não, rigorosamente, uma discussão inerente ao regime de culpa. Para tais situações, a legislação processual estabelece a possibilidade de inversão do ônus da prova, seja pela aplicação do art. 6o, do CDC ou do art. 373 do CPC.
O sistema da culpa presumida em caráter relativo, destarte, serve como instrumento de inversão da lógica de comprovação da culpa (e da sua gradação), ao atribuir ao agente de tratamento o dever de demonstrar a adoção das obrigações de cuidado, informação, transparência, segurança, prestação de contas e responsabilização, o que parece lógico e compatível com a disposição da LGPD.
O mesmo se extrai do art. 44 da LGPD, segundo o qual haverá ilicitude no tratamento de dados pessoais, quando este não oferecer a segurança esperada, a se considerarem os seguintes vetores: o modo de sua realização, o resultado e os riscos razoavelmente esperados, e as técnicas de tratamento disponíveis à época. Aqui novamente se consagra a responsabilização decorrente da falta de demonstração da adoção de medidas de segurança.
Presume-se, portanto, a culpa do agente de tratamento, até que haja demonstração da licitude dos atos por ele praticados, da inexistência de nexo causal entre o ato e o dano, assim como da suficiência dos deveres de cuidado, informação, transparência, segurança, prestação de contas e responsabilização, em sintonia com a cláusula geral da boa-fé objetiva.
Situações consentâneas com a obrigação do agente de tratamento em demonstrar, ativa e claramente, as cautelas por ele observadas, envolvem a identificação do uso secundário de dados pessoais, o desvio de finalidade pautado em base legal que assim o permita (art. 7o, LGPD) e, neste ângulo, principalmente, a utilização do legítimo interesse do controlador (art. 7o, IX c/c art. 10, LGPD) e da proteção do crédito (art. 7o, X, LGPD).
Essa conjuntura, que apresenta um maior grau de opacidade no tratamento de dados pessoais, tende a privilegiar a consecução de atividade meramente econômica e, em maior grau, a atender os interesses do controlador. Trata-se de situações concretas que eventualmente podem externar um verdadeiro risco assumido por este, em virtude de sua própria atividade, hipótese na qual a teoria do risco-proveito poderia se mostrar de adequada aplicação, sempre como regra de exceção.
A proposição de que se reconheça a responsabilidade subjetiva com culpa presumida estabelecida pelo art. 43 da LGPD e a incidência da teoria do risco-proveito, apenas circunstancialmente e em decorrência da natureza extraordinária da atividade empreendida pelo controlador, leva em consideração não apenas um regime de incentivos econômicos e comportamentais a induzir um determinado padrão de comportamento responsável e zeloso pela dignidade da pessoa, mas, também, um profundo vetor de coerência da norma.
Ao mesmo tempo em que os custos de transação associados ao tratamento de dados pessoais podem ser aumentados através do estabelecimento, por exemplo, da solidariedade entre operador e controlador, também se devem estabelecer verdadeiras salvaguardas, na concepção de um safe harbor, no sentido de se estabelecerem premissas para a ausência de responsabilidade civil, quando ausente o nexo de causalidade ou a própria ilicitude do ato, aspectos estes mencionados tanto pelo art. 42 quanto pelo art. 43, II, da LGPD.
Bernardo Grossi é Doutor e Mestre em Direito Privado pela PUC Minas. Advogado. Professor da Pós-Graduação do IEC PUC Minas. Membro do Instituto Brasileiro de Estudos de Responsabilidade Civil (IBERC), da International Association of Privacy Professionals (IAPP), do Instituto de Direito e Inteligência Artificial (IDEIA) e do Instituto dos Advogados de Minas Gerais (IAMG).
Referências
CHAMON JÚNIOR. Lúcio Antônio. Teoria geral do Direito moderno: por uma reconstrução crítico-discursiva na alta modernidade. 2. ed. Rio de Janeiro: Lumen Juris, 2007.
DONEDA, Danilo. Da privacidade à proteção de dados pessoais: fundamentais da lei geral de proteção de dados. 3. ed. São Paulo: Revista dos Tribunais, 2021.
GONÇALVES, Carlos Roberto. Direito civil brasileiro: volume 4: responsabilidade civil. 7.ed. São Paulo: Saraiva, 2012.
LEVY, Daniel de Andrade. Responsabilidade civil: de um direito dos danos a um direito das condutas lesivas. São Paulo: Atlas, 2012.
LIMA, Taísa Maria Macena de; SÁ, Maria de Fátima Freire de. Microssistema de proteção de dados pessoais e contrato de trabalho: a reparação de danos decorrentes da violação dos direitos da personalidade do empregado. Revista eletrônica de direito do Centro Universitário Newton Paiva, Belo Horizonte, n. 40, p. 100-116. jan./abr. 2020. Disponível aqui. Acesso em abr. 2023.
MARTINS-COSTA, Judith. A boa-fé no direito privado: critérios para a sua aplicação, 2a ed. 3a reimp. São Paulo: Saraiva, 2019.
MENDES, Laura Schertel Ferreira; DONEDA, Danilo. Comentário à nova Lei de Proteção de Dados (Lei 13.709/2018), o novo paradigma da proteção de dados no Brasil. Revista de Direito do Consumidor, Brasília, v. 120, ano 27, p. 555-587, nov./dez. 2018. Disponível aqui. Acesso em: abr. 2023.
MORAES, Maria Celina Bodin de. Danos à pessoa humana: uma leitura civil-constitucional dos danos morais. Rio de Janeiro: Renovar, 2009.
MORAES, Maria Celina Bodin de. LGPD: um novo regime de responsabilização civil dito proativo. Civilistica.com., Rio de Janeiro, v. 8, n. 3, p. 1-6. 15 dez. 2019. Disponível aqui. Acesso em: abr. 2023.
MULHOLLAND, Caitlin Sampaio. Responsabilidade civil por danos causados pela violação de dados sensíveis e a Lei Geral de Proteção de Dados Pessoais (lei 13.709/2018). [Rio de Janeiro]: PUC-Rio, 2021.Disponível aqui. Acesso em: abr. 2023.
POLI, Leonardo Macedo. Ato ilícito. In: FIUZA, César (org.). Curso avançado de direito civil. 2. ed. Rio de Janeiro: Forense, 2019. p. 569-586.
RODOTÀ, Stefano.Tecnopolitica: la democrazia e le nuove tecnologie della comunicazione. Roma: Sagittari Laterza,1997.
ROSENVALD, Nelson. A refundação das penas privadas. In: FIUZA, César; SÁ, Maria de Fátima Freire de; NAVES, Bruno Torquato de Oliveira (coord.). Direito civil: atualidades IV: teoria e prática no direito privado. Belo Horizonte: Del Rey, 2010. p. 625-648.
ROSENVALD, Nelson. A polissemia da responsabilidade civil na LGPD. Migalhas. [S. l.: s. n.], 06 nov. 2020. Disponível aqui. Acesso em: abr. 2023.
SANTOS, Boaventura de Souza. Para além do pensamento abissal: das linhas globais a uma ecologia de saberes. Novos estudos CEBRA, São Paulo, v. 3. n. 79, p.71-94, nov. 2007. Disponível aqui. Acesso em: abr. 2023.
SCHREIBER, Anderson. Responsabilidade civil na lei geral de proteção de dados pessoais. In: MENDES, Laura Schertel et al (coord.). Tratado de proteção de dados pessoais. Rio de Janeiro: Forense, 2021. p. 319-338.
VENOSA, Silvio de Salvo. Direito civil: volume 4: responsabilidade civil. 10. ed. São Paulo: Atlas, 2010.
TEPEDINO, Gustavo; TERRA, Aline de Miranda Valverde; GUEDES, Gisela Sampaio da Cruz. Responsabilidade civil dos agentes de tratamento. In: FRAZÃO, Ana; CUEVA, Ricardo Villas Bôas (coord.). Compliance e políticas de proteção de dados. São Paulo: Revista dos Tribunais, 2021. p.741-770.
__________
1 Conquanto não se tenha estabelecido a solidariedade como regra geral.
2 A exemplo do que se estabeleceu, por exemplo, no art. 18 do CDC e cujo teor é o seguinte: Os fornecedores de produtos de consumo duráveis ou não duráveis respondem solidariamente pelos vícios de qualidade ou quantidade que os tornem impróprios ou inadequados ao consumo a que se destinam ou lhes diminuam o valor, assim como por aqueles decorrentes da disparidade, com a indicações constantes do recipiente, da embalagem, rotulagem ou mensagem publicitária, respeitadas as variações decorrentes de sua natureza, podendo o consumidor exigir a substituição das partes viciadas.
3 Ad cautelam, é importante relembrar que o nexo de causalidade rompe com o dever de indenizar mesmo nas situações de objetivação da responsabilidade civil, eis que esta diz respeito à presunção relativa ou absoluta da culpa de uma das partes, enquanto não se dispensa o dano e a respectiva relação de causalidade direta.
4 Como, por exemplo, o autêntico exercício regular de direito previsto no art. 188, I, do CC/02.
5 Salvo na hipótese do abuso de direito que, por si só, será considerado como uma espécie de ato ilícito na forma do art. 186 do CC/02.
6 Ainda que a responsabilidade objetiva trate do dever de indenizar sem culpa, ainda nela há ato ou fato atribuído ou inerente àquele que foi definido como responsável pelo ressarcimento.