Migalhas de Responsabilidade Civil

Incidentes de segurança multitudinários e a reparação fluida (fluid recovery) na LGPD

Nesse breve ensaio são analisados os eventos configuradores de incidentes de segurança com grandes repercussões, para os quais defende-se a utilização da reparação fluida (fluid recovery).

16/5/2023

Violações relacionadas a dados pessoais têm se tornado recorrentes em ritmo consentâneo com a evolução da sociedade da informação e em decorrência da introjeção de novas tecnologias nas rotinas individuais. De fato, todo tipo de atividade realizada a partir de então adquire contornos peculiares e desafiadores conforme se avolumam os incidentes de segurança de grandes proporções.

Técnicas para a tutela jurídica desses incidentes passam a envolver – para além do mapeamento das vulnerações – o propósito mais abrangente da reparação civil, que, pelas proporções tipicamente gigantescas, demanda atuação dos legitimados para a tutela coletiva.

Significa dizer que a tormenta gerada por situações dessa estirpe, embora encontre suporte normativo para a instrumentalização de ações coletivas que visem solucionar seus impactos deletérios, recorrentemente demandará análise casuística de seus efeitos a fim de que se possa conjecturar institutos jurídicos mais adequados para cada evento danoso. No contexto específico da proteção de dados pessoais, nem sempre se terá uma única violação setorial em eventos multitudinário e nem toda relação jurídica atingida será, por exemplo, de consumo, o que gera dúvidas quanto à invocação de instrumentos previstos no Código de Defesa do Consumidor – CDC (lei 8.078/1990), como a reparação fluida (fluid recovery) de seu artigo 100, para solucionar determinado caso1.

A grande repercussão de violações variadas, usualmente relacionadas a crimes cibernéticos que desencadeiam a exposição indevida de conjuntos de dados, tem sido uma preocupação hodierna. Situações dessa natureza são noticiadas pela mídia sob a alcunha de “vazamentos”2, embora, em termos mais apropriados, seja preferível descrevê-las como “incidentes de segurança”3. Com o recrudescimento do uso de estruturas automatizadas para o tratamento de dados pessoais, o desafio tem se tornado ainda maior, pois passa a extrapolar a ação criminosa de hackers, crackers, spammers e malfeitores em geral.

Eventos multitudinário têm sido caracterizados, em notícias recentes que circulam pela mídia, pela palavra “megavazamentos”4. Em seu cerne, o fenômeno descrito pela doutrina como Big Data5 – que remete ao volume massivo de dados que circula pela rede e que alimenta estruturas algorítmicas – é o fator preponderante da aferição casuística de cada evento, o que pode sinalizar a necessidade de soluções variadas para um fenômeno complexo e que atinge interesses plurissubjetivos variados e inegavelmente danosos6, mas recônditos.

Eis alguns exemplos: a) publicidade comportamental e perfilização7; b) policiamento preditivo (predictive policing)8 e os “risk assessment instruments” (RAIs) para o mapeamento da criminalidade em grandes centros urbanos9-10; c) geo-pricing e geo-blocking, que são técnicas que analisam a localização geográfica do usuário para apresentar-lhe preços diversos (discriminatórios) ou negar-lhe acesso ao produto ou serviço11; d) a discriminação por gênero, peso, idade ou outros fatores para a ocupação de determinados postos de trabalho12; e) para fins de reconhecimento facial13-14; f) para a propagação do discurso de ódio (hate speech); g) para a propagação de fake news15; h) os citados “megavazamentos” etc. Todas essas atividades acirram riscos – muitos deles evitáveis e previsíveis – e desencadeiam os malfadados ilícitos.

Analisando a interlocução normativa do CDC com a Lei Geral de Proteção de Dados Pessoais – LGPD (lei 13.709/2018) e outras fontes, como a Lei da Ação Civil Pública – LACP (lei 7.347/1985), fica clara a necessidade de conformação dos contornos estruturais da atuação dos legitimados para a tutela coletiva, que poderão se valer de institutos como a citada reparação fluida, mesmo em casos nos quais a identificação dos interesses violados não seja precisamente classificada como uma vulneração de consumo, a gerar reverberações plurais que justifiquem a conexão normativa descrita pelo artigo 45 da LGPD, segundo o qual “as hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente”.

Ora, nem sempre é possível individualizar todas as vítimas de um evento danoso, o que gera dificuldades para a delimitação do interesse merecedor de tutela – se difuso, coletivo ou individual homogêneo –, embora a legislação aplicável determine a realização da tutela coletiva para eventos de violação à proteção de dados pessoais. Nesse contexto, merecem expressa transcrição os artigos 22 e 42, §3º, da LGPD:

Art. 22. A defesa dos interesses e dos direitos dos titulares de dados poderá ser exercida em juízo, individual ou coletivamente, na forma do disposto na legislação pertinente, acerca dos instrumentos de tutela individual e coletiva.

Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. (...)

§ 3º As ações de reparação por danos coletivos que tenham por objeto a responsabilização nos termos do caput deste artigo podem ser exercidas coletivamente em juízo, observado o disposto na legislação pertinente.

Nota-se, nos dois dispositivos, expressa remissão ao “disposto na legislação pertinente”, indicando uma preferência do legislador, aparentemente calculada, quanto à não delimitação de instrumentos próprios para essa tutela, ou mesmo em relação à estipulação de explicações específicas acerca da aplicação dos métodos tradicionais de apuração de danos aos eventos de violação a dados pessoais.

Leitura precipitada do artigo 45 da LGPD pode levar o intérprete à conclusão de que as relações de consumo que envolvam dados pessoais serão regidas unicamente pelo Código de Defesa do Consumidor. Isso é relevante para a averiguação da reparação fluida (fluid recovery) porque tal instituto é estruturado, no Brasil, pela legislação consumerista.

O Código de Defesa do Consumidor, em seu artigo 95, preconiza claramente que a sentença condenatória pautada em direitos individuais homogêneos será sempre genérica, demandando ulterior liquidação. A fase de conhecimento do processo coletivo destina-se, portanto, à delimitação do an debeatur (se há débito), do quis debeatur (o que é devido) e do quid debeatur (a quem se deve). Na LGPD, pouca clareza há quanto a diferenciações conceituais concernentes à delimitação dos danos, embora se tenha remissões ao “disposto na legislação pertinente” (art. 22 e art. 42, §3º, acima); nada se fala, em específico, sobre a extensão dessa conexão a outras leis, de modo que cabe ao intérprete analisar se o conteúdo de eventual decisão judicial decorrente de violação à LGPD deverá contemplar o cômputo dos danos.

Na sistemática descrita, cada indivíduo lesado ou sucessor poderá, pessoalmente ou através de legitimados, promover a liquidação e posterior execução da indenização a que faz jus, conforme prevê o artigo 97 do CDC: “A liquidação e a execução de sentença poderão ser promovidas pela vítima e seus sucessores, assim como pelos legitimados de que trata o art. 82”. Destarte, na fase de liquidação e execução de que trata o referido dispositivo, surgem duas situações específicas: (i) a primeira diz respeito à iniciativa de cada uma das vítimas e de seus sucessores; (ii) a segunda traz à tona a possibilidade de ajuizamento dos pedidos de liquidação e execução pelos legitimados mencionados no artigo 82 do CDC16. Já no caso do artigo 98, tem-se a possibilidade de que a execução seja coletiva e promovida pelos mesmos legitimados do artigo 82, mas somente “abrangendo as vítimas cujas indenizações já tiveram sido fixadas em sentença de liquidação, sem prejuízo do ajuizamento de outras execuções”.

Consta do artigo 100 do CDC que, “decorrido o prazo de um ano sem habilitação de interessados em número compatível com a gravidade do dano, poderão os legitimados do art. 82 promover a liquidação e execução da indenização devida”. A redação do dispositivo é clara e revela a opção do legislador brasileiro pela incorporação da fluid recovery norte-americana, mas com algumas distinções17, pois foram estabelecidos dois requisitos cumulativos para a sua viabilização, a saber: a) que transcorra o prazo de um ano para que se inicie a liquidação e execução da reparação, a partir do trânsito em julgado da sentença condenatória genérica a que se refere o artigo 95 do CDC; b) que a gravidade do dano seja incompatível com o número de habilitações à tutela coletiva18.

A incorporação da reparação fluida no ordenamento brasileiro, pelo artigo 100 do CDC, tem o objetivo de reduzir as chances de que o lesante saia impune diante de determinada prática lesiva, que pode equivaler à inobservância dos parâmetros de segurança que lhe são impostos (a se constatar pela presença do verbo ‘dever’) no caput do artigo 46 da LGPD.

A indenização pelo dano de grandes proporções tem a finalidade de garantir a prevenção geral de ilícitos19, algo evidente nos chamados “megavazamentos”, na medida em que se atribui maior valor à eficácia deterrente (deterrence) e dissuasória que é associada ao interesse público subjacente à tutela coletiva20. Exatamente por isso, a reparação fluida se torna relevantíssima para a ampliação do acesso à justiça e para a efetivação do devido processo legal coletivo, uma vez que garante a satisfação da tutela coletiva em situações peculiares que envolvem direitos individuais homogêneos capazes de colocá-la em risco, mesmo que a identificação das vítimas de forma individualizada seja impossível ou dificílima21.

Assim, devido à amplitude de determinadas ações coletivas, nem sempre o saldo total obtido por força de uma decisão judicial – ou até mesmo de um acordo – será vertido para indenizar, de forma integral, todos os indivíduos afetados. Por essa razão, é usual que haja um saldo não reclamado, uma sobra, um saldo residual, que merece ser destinado a algum fim socialmente útil.

Essa destinação, no Brasil, é o Fundo de Defesa de Direitos Difusos criado pelo artigo 13 da lei 7.347/1985, com a seguinte previsão: “Havendo condenação em dinheiro, a indenização pelo dano causado reverterá a um fundo gerido por um Conselho Federal ou por Conselhos Estaduais de que participarão necessariamente o Ministério Público e representantes da comunidade, sendo seus recursos destinados à reconstituição dos bens lesados”. Referido fundo foi regulamentado pelo decreto 92.302, de 16 de janeiro de 1986.

Sendo desejável que haja tutela coletiva em contraponto a eventos de grandes proporções que causem danos e gerem desequilíbrio no ordenamento, a integração da previsão do artigo 100 do CDC aos dispositivos delineados pela LGPD para a construção material da vulneração e para a responsabilização civil de quem cause danos (arts. 42 a 44) deve ser formatada para além do redirecionamento remissivo contido no artigo 45 da LGPD, que conecta seus termos ao artigo 100 do CDC, restringindo seu escopo apenas de forma aparente.

Noutros dizeres, deve-se conceber a previsão do artigo 100 como uma festejada incorporação da reparação fluida ao ordenamento jurídico, com clara aplicação às relações de consumo, mas que não deve, nelas, se esgotar. Situações concernentes a vulnerações setoriais não consumeristas devem ser contempladas pelo instituto para que, também, se viabilize a imposição do instituto com o objetivo de redirecionar eventual saldo remanescente da condenação ao pagamento de dano moral coletivo ao FDD do artigo 13 da LACP.

__________

1 Cf. FALEIROS JÚNIOR, José Luiz de Moura. A imprescindibilidade da reparação fluida (fluid recovery) para a tutela de ilícitos relativos a dados pessoais. Revista Fórum de Direito Civil, Belo Horizonte, ano 11, n. 30, p. 35-53, maio/ago. 2022.

2 O exemplo mais recente ocorreu no Brasil e envolveu a exposição ilícita dos números de CPF de 223 milhões de brasileiros, quantidade superior à da população do país, atualmente estimada em cerca de 212 milhões. Sobre tal fato, conferir a notícia divulgada, em 2021, pelo Migalhas. Acesso em: 15 maio 2023.

3 Explorei detidamente o conceito em publicação da coluna Migalhas de Proteção de Dados. Disponível aqui. Acesso em: 15 maio 2023.

4 Cf. TEIXEIRA NETO, Felipe; FALEIROS JÚNIOR, José Luiz de Moura. Dano moral coletivo e vazamentos massivos de dados pessoais: uma perspectiva luso-brasileira. Revista de Direito da Responsabilidade, Coimbra, ano 2, p. 265-287, 2021.

5 MAYER-SCHÖNBERGER, Viktor; CUKIER, Kenneth. Big Data: a revolution that will transform how we live, work, and think. Nova York: Houghton Mifflin Harcourt, 2014, p. 19. Eis o conceito: “Big Data is all about seeing and understanding the relations within and among pieces of information that, until very recently, we struggled to fully grasp”.

6 Para este tema, são importantíssimas as considerações desenvolvidas por Romualdo Baptista dos Santos, em sua Tese de Doutoramento, sobre o conceito de “dano enorme”. Consultar: SANTOS, Romualdo Baptista dos. Responsabilidade civil por dano enorme. Curitiba/Porto: Juruá, 2018.

7 COLOMBO, Cristiano; GOULART, Guilherme Damasio. Inteligência Artificial aplicada a perfis e publicidade comportamental: proteção de dados pessoais e novas posturas em matéria de discriminação abusiva. In: PINTO, Henrique Alves; GUEDES, Jefferson Carús; CERQUEIRA CÉSAR, Joaquim Portes de (Coord.). Inteligência artificial aplicada ao processo de tomada de decisões. Belo Horizonte: D’Plácido, 2020, p. 286-290; FALEIROS JÚNIOR, José Luiz de Moura; BASAN, Arthur Pinheiro. Desafios da predição algorítmica na tutela jurídica dos contratos eletrônicos de consumo. Revista da Faculdade de Direito da Universidade Federal do Rio Grande do Sul, Porto Alegre, n. 44, p. 131-153, dez. 2020, p. 141-146.

8 Exemplo recente envolveu a licitação iniciada pelo Município de São Paulo visando à implementação do sistema “Smart Sampa”. Conferir interessante publicação da coluna Dados Públicos, de autoria de Patricia Peck Pinheiro, Cecília Frota e Maiara Fenili. Disponível aqui. Acesso em: 15 maio 2023.

9 SLOBOGIN, Christopher. Assessing the risk of offending through algorithms. In: BARFIELD, Woodrow (Ed.). The Cambridge handbook of the Law of Algorithms. Cambridge: Cambridge University Press, 2021, p. 432. O autor explica: “To aid in the risk assessment inquiry at sentencing, commitment, and pre-trial proceedings, a number of jurisdictions have begun relying on statistically derived tools called “risk assessment instruments” (RAIs). In a few urban areas, police are engaging in what has been called “predictive policing,” which involves using data-driven algorithms to identify crime hot spots and sometimes even ‘hot people’”.

10 BORSARI, Riccardo. Intelligenza Artificiale e responsabilità penale: prime considerazioni. MediaLaws: Rivista di Diritto di Media, Milão, p. 262-268, nov. 2019.

11 MARTINS, Guilherme Magalhães. O geopricing e geoblocking e seus efeitos nas relações de consumo. In: FRAZÃO, Ana; MULHOLLAND, Caitlin (Coord.). Inteligência artificial e direito: ética, regulação e responsabilidade. São Paulo: Thomson Reuters Brasil, 2019, p. 635-647.

12 REIS, Beatriz de Felippe; GRAMINHO, Vivian Maria Caxambu. A Inteligência Artificial no recrutamento de trabalhadores: o caso Amazon analisado sob a ótica dos direitos fundamentais. Anais do XVI Seminário Internacional “Demandas Sociais e Políticas Públicas na Sociedade Contemporânea”. Santa Cruz do Sul: UNISC, 2019.

13 Conferir, sobre o tema: NEGRI, Sergio Marcos Carvalho de Ávila; OLIVEIRA, Samuel Rodrigues de; COSTA, Ramon Silva. O uso de tecnologias de reconhecimento facial baseadas em Inteligência Artificial e o direito à proteção de dados. Revista de Direito Público, Brasília, v. 17, p. 82-103, maio/jun. 2020, p. 99-100.

14 Exemplo recente envolveu a concessionária Via Quatro, condenada ao pagamento de indenização por dano moral coletivo em razão do implemento de sistemas de reconhecimento facial em áreas de espera do metrô de São Paulo com o intuito de mapear reações e traçar perfis para fins publicitários. Consultar, sobre o caso, COLOMBO, Cristiano; GOULART, Guilherme Damasio. New body perimeter and biometrics as personal data: some thoughts and insights on the ‘São Paulo metro case’. Brazilian Journal of Law, Technology and Innovation, Belo Horizonte, v. 1, n. 1, p. 1-22, jan./jun. 2023. Disponível aqui. Acesso em: 15 maio 2023.

15 Sobre o tema, consultar REIS, Robson Vitor Freitas; THIBAU, Tereza Cristina Sorice Baracho. Os discursos de ódio e as ações coletivas. Quaestio Iuris, Rio de Janeiro, v. 10, n. 3, p. 2084-2107, 2017.

16 O rol de legitimados contempla o Ministério Público; a União, os Estados, os Municípios e o Distrito Federal; as entidades e órgãos da Administração Pública, direta ou indireta, ainda que sem personalidade jurídica,      especificamente destinados à defesa dos interesses e direitos protegidos pelo CDC; as associações legalmente constituídas há pelo menos um ano e que incluam entre seus fins institucionais a defesa dos interesses e direitos protegidos pelo CDC, dispensada a autorização em assembleia.

17 LONGHI, João Victor Rozatti; FALEIROS JÚNIOR, José Luiz de Moura. O dano moral coletivo e a reparação fluida (fluid recovery). In: ROSENVALD, Nelson; TEIXEIRA NETO, Felipe (Coord.). Dano moral coletivo. Indaiatuba: Foco, 2018, p. 389-393.

18 RODRIGUES, Marcelo Abelha. Ponderações sobre a fluid recovery do art. 100 do CDC. Revista de Processo, São Paulo, ano 29, n. 116, jul./ago. 2004, p. 327.

19 A este respeito, destaca-se que a indenização punitiva, segundo a doutrina, "consiste na soma em dinheiro conferida ao autor de uma ação indenizatória em valor expressivamente superior ao necessário à compensação do dano, tendo em vista a dupla finalidade de punição (punishment) e prevenção pela exemplaridade da punição (deterrence), opondo-se, nesse aspecto funcional, aos compensatory damages, que consistem no montante indenizatório compatível ou equivalente ao dano causado, atribuído com o objetivo de ressarcir o prejuízo. MARTINS-COSTA, Judith; PARGENDLER, Mariana Souza. Usos e abusos da função punitiva (punitive damages e o Direito brasileiro). Revista CEJ, Brasília, n. 28, jan./mar. 2005, p. 15-32.

20 VOIGT, Paul; VON DEM BUSSCHE, Axel. The EU General Data Protection Regulation (GDPR): a practical guide. Cham: Springer, 2017, p. 206.

21 MANCUSO, Rodolfo de Camargo. Jurisdição coletiva e coisa julgada: teoria geral das ações coletivas. 3. ed. São Paulo: Revista dos Tribunais, 2012, p. 313.

Veja mais no portal
cadastre-se, comente, saiba mais

Colunistas

Carlos Edison do Rêgo Monteiro Filho é professor titular e ex-coordenador do programa de pós-graduação em Direito da Faculdade de Direito da UERJ (mestrado e doutorado). Doutor em Direito Civil e mestre em Direito da Cidade pela UERJ. Presidente do Fórum Permanente de Direito Civil da Escola Superior de Advocacia Pública da Procuradoria-Geral do Estado do Rio de Janeiro (ESAP/PGE). Vice-presidente do IBERC (Instituto Brasileiro de Estudos da Responsabilidade Civil). Autor de livros e artigos científicos. Advogado, parecerista e consultor em temas de Direito Privado.

Fernanda Schaefer é pós-doutora pelo Programa de pós-graduação Stricto Sensu em Bioética da PUC-PR. Doutora em Direito das Relações Sociais pela Universidade Federal do Paraná, curso em que realizou Doutorado Sanduíche nas Universidades do País Basco e Universidade de Deusto (Espanha). Professora do UniCuritiba. Coordenadora do Curso de Pós-Graduação em Direito Médico e da Saúde da PUC-PR. Assessora Jurídica do CAOP Saúde MPPR.

Igor de Lucena Mascarenhas é advogado e professor universitário nos cursos de Direito e Medicina (UFPB / UNIFIP). Doutorando em Direito pela UFBA e doutorando em Direito pela UFPR. Mestre em Ciências Jurídicas pela UFPB. Especialista em Direito da Medicina pelo Centro de Direito Biomédico vinculado à Faculdade de Direito da Universidade de Coimbra.

Nelson Rosenvald é advogado e parecerista. Professor do corpo permanente do Doutorado e Mestrado do IDP/DF. Pós-Doutor em Direito Civil na Università Roma Tre. Pós-Doutor em Direito Societário na Universidade de Coimbra. Visiting Academic na Oxford University. Professor Visitante na Universidade Carlos III, Madrid. Doutor e Mestre em Direito Civil pela Pontifícia Universidade Católica de São Paulo – PUC/SP. Presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil – IBERC. Foi Procurador de Justiça do Ministério Público de Minas Gerais.

Paulo Roque Khouri é doutorando em Direito Constitucional pelo Instituto Brasiliense de Direito Público — IDP. Graduado em Direito pelo Centro Universitário de Brasília – UNICEUB (1992) e em Jornalismo pela Universidade Federal de Juiz de Fora (UFJF) (1987); mestrado em Direito Privado pela Universidade de Lisboa (2006). Atualmente é professor do Instituto Brasiliense de Direito Público (IDP), sócio do escritório de advocacia Roque Khouri & Pinheiro Advogados Associados S/C.