O direito à proteção de dados pessoais parte do pressuposto de que são bens jurídicos inerentemente essenciais e vulneráveis, por se tratarem de projeções diretas da personalidade na medida em que configuram um meio de representação da pessoa na sociedade1 e, ainda, por serem desenhados, em uma perspectiva econômica, para influenciar e modificar o comportamento humano. A par deste cenário, a lei 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados (LGPD) – objetiva resgatar os direitos básicos dos titulares de dados relacionados à autodeterminação informativa.
No contexto atual, em que a economia é movida a dados, são imprescindíveis a proteção e a garantia da confiança dos indivíduos nestas novas tecnologias da informação cujo uso deve ocorrer livre de qualquer interceptação ou acesso indevido. Existindo danos, nesse sentido, advindos da manipulação de dados, a reparação se mostra a medida mais adequada, em conformidade ao brocardo latino “neminem laedere”.
Como, no entanto, responsabilizar os agentes de dados em caso de lesão ou ameaça de lesão aos direitos de personalidade dos usuários? Sob a literalidade das normas da LGPD, não é possível identificar a natureza de responsabilização – se subjetiva ou objetiva. Com vistas à máxima relevância das medidas de segurança para a proteção de dados, defende-se aqui a aplicação de uma teoria de responsabilidade mista dos agentes de dados à luz da normativa específica.
A confluência de fatores legais e fáticos justifica a aplicação da responsabilidade objetiva, em um primeiro momento, como regra geral aos agentes de tratamento de dados. Afinal, o tratamento de dados é inerentemente uma atividade de risco, apta a se adequar devidamente ao parágrafo único do art. 927 do Código Civil, uma vez que os dados representam a individualidade de seus respectivos titulares, sendo inadequada e problemática qualquer exposição sem lastro na vontade do usuário.
Em interpretação ao inciso II do artigo 43 da LGPD, conjugada com a teoria da responsabilidade objetiva, entende-se que a Lei Geral de Proteção de Dados é principiológica, de modo que não apresenta um rol exaustivo de condutas a serem subsumidas às normas: pelo contrário, o diploma legal estabelece de maneira genérica as medidas de segurança eficientes e razoáveis, exibindo que a desarmonia com tais padrões promove a responsabilização por eventuais danos. Desse modo, a volatilidade tecnológica não permite uma interpretação segundo a qual o cumprimento da lei exclui, per si, a responsabilidade do agente.
Ademais, atenta ao equilíbrio das relações sociais admitir a hipótese em que o titular de dados arque com todos os danos, correlatos à esfera de sua personalidade, sob o argumento de que o agente cumpriu com os deveres genéricos da lei. Isso porque se está diante de atividade inerentemente arriscada, de caráter econômico, cujo objeto (os dados em si) goza de proteção constitucional.
A responsabilização por parâmetros objetivos facilita, em certa medida, o acesso a uma espécie de reparação que, por diversos fatores, se apresenta complexa e necessária. No entanto, a dispensa da demonstração da culpa não pode, de forma alguma, tencionar à banalização das indenizações decorrentes de incidentes de segurança envolvendo dados pessoais, vez que a imputação, à luz da responsabilidade objetiva, não afasta a necessidade de comprovação dos demais requisitos essenciais à obrigação de indenizar, em especial o dano e o nexo causal.
A regra – responsabilidade objetiva –, contudo, abarca exceções.
No contexto em que o direito ao sigilo, entendido como forma de resguardo às interferências alheias, deve ser protegido, o hacker, conhecido como o grande intruso digital, representa justamente a ameaça mais concreta. O hacker é o terceiro que se utiliza de seu conhecimento, altamente qualificado, sobre sistemas de informação, linguagens de programação e protocolos da internet para acessar à rede de comunicação eletrônica de dados, e demais informações, de maneira não autorizada.
Entende-se que, acerca do vazamento de dados por terceiros – hackers – em situações em que os agentes de dados agiram de acordo com as melhores normas de segurança e com boa-fé, cabe analisar o caso concreto à luz da responsabilidade subjetiva. Isso porque, em tese, o standard disposto em lei foi respeitado e, não havendo violação à norma, sobreporia ao caso a excludente constante do inciso II, do artigo 43. Vale, em seguida, apurar a existência de algum grau de culpa – ânimo de prejudicar (dolo) ou erro de conduta por imprudência, negligência e/ou imperícia (culpa stricto sensu) – para que haja a devida responsabilização. A mera invasão por terceiros, então, não tem o condão de afastar por completo a responsabilidade do agente.
Embora o hacker seja equiparado a um terceiro estranho à relação estabelecida entre o agente de tratamento de dados e a vítima, titular dos dados, dificilmente o dano será proveniente exclusivamente da conduta daquele, já que a invasão tende a estar relacionada com algum tipo de deficiência na segurança do sistema. Nesse ponto, vale alertar que a imprescindibilidade de providências adequadas de segurança ao tratamento de dados é, op legis, fator de regularidade da atividade, de modo que, na apuração de danos, faz-se imperiosa a checagem da realização de todas as medidas disponíveis ao caso, seja preventiva, seja repressivamente2.
Não é cabível afirmar, de plano, que os agentes de tratamento de dados em nada contribuíram para a ocorrência do evento danoso. Para fins de caracterização daquela excludente, deve a conduta do hacker ser considerada ativa e determinante à configuração do dano, sem que o vazamento de dados tenha decorrido também pela ineficácia das medidas de segurança adotadas. Nesse sentido, entende-se que dificilmente os tribunais pátrios admitirão, com plausibilidade, o vazamento de dados como hipótese de excludente de responsabilidade por fato de terceiro.
Dificuldade semelhante é verificada nas hipóteses de excludente por caso fortuito ou força maior. Ressalta-se que, para fins do presente texto, as duas categorias serão consideradas indistintamente, enquanto categoria unificada, a depreender a identidade de efeitos jurídicos. A definição do caso fortuito/força maior requer que o acontecimento seja inevitável, imprevisível e exterior. Contrariamente a tais requisitos, destaca-se que a invasão por hackers é um fenômeno recorrente e conhecido, configurando assim um fato previsível pelos agentes de tratamento de dados.
Tampouco o vazamento de dados pode ser considerado como inevitável, pois cabe aos agentes não apenas a adoção de medidas preventivas, mas também o emprego da tecnologia mais avançada e eficiente que esteja disponível no momento da ação do invasor a fim de evitar e/ou mitigar o dano. Esse ônus, repisa-se, decorre da própria LGPD.
Não parece restar dúvida, então, que as atividades habitualmente realizadas no tratamento de dados dão causa ao risco de danos a titulares de dados pessoais. Acredita-se, nesse sentido, que a responsabilidade subjetiva seja uma primeira fórmula para que não haja impunidade quando da invasão dos sistemas de dados por terceiros.
Sob este prisma, analisar-se-á melhor (i) se a invasão é resultado, ou não, de táticas inovadoras, (ii) a capacidade dos provedores de hospedagem para proteger os dados, (iii) a adoção de medidas de segurança eficientes e razoáveis pelos agentes, a constatar se a causa atribuída aos agentes de tratamento de dados não e' interrompida ou excluída pela interferência dos hackers.
Destaca-se, nesse sentido, o conceito de privacy by design, segundo o qual todas as fases do tratamento de dados devem ser realizadas com segurança e sigilo3, já que cabe aos agentes de tratamento de dados antecipar os riscos à privacidade, de modo a preveni-los, fomentando a visibilidade e a transparência. É justamente a adoção dessas medidas profiláticas que poderá resguardar aqueles que cumprem satisfatoriamente os deveres de confidencialidade, integridade e disponibilidade estipulados pela LGPD ao fazer o tratamento de dados.
Para os casos em que as medidas de segurança cabíveis são devidamente adotadas, o regime de responsabilidade subjetiva permite uma visão equilibrada entre o quanto se exige dos agentes de tratamento – no que se refere à segurança e ao sigilo – e o quanto os próprios agentes irão se esforçar para implementar medidas para coibir a invasão danosa pelos hackers. Em suma, a responsabilização subjetiva em caso de vazamento de dados por hackers mostra-se como incentivo positivo ao incremento dos investimentos empresariais aos parâmetros de segurança e de compliance, em realização às normas da LGPD.
A proteção real do titular de dados perfaz um duplo atendimento, tanto do aspecto subjetivo (tutela da personalidade por meio do controle do tratamento de dados) como sob o viés objetivo (proteção dos riscos inerentes ao tratamento de dados por meio da garantia da efetiva reparação dos danos). Entende-se que a alteração do regime de responsabilidade, na hipótese de vazamento de dados, melhor compatibiliza a inovação com a proteção, pois se parte da premissa que o potencial digital deve ser utilizado para a promoção de direitos.
De fato, não se trata de um desafio simples. Tendo em vista o grande impacto que o tratamento de dados tem em diversos setores da sociedade contemporânea, infere-se que a presente discussão ainda será objeto de profundas análises no que tange à aplicação da LGPD. Assim, caberá a atuação diligente da Autoridade Nacional de Proteção de Dados para preencher as lacunas legais e editar instruções necessárias à preservação dos direitos individuais e garantia da confiança dos indivíduos na coleta de dados, bem como um esforço dos Tribunais pátrios para estabelecer as balizas interpretativas da Lei.
__________
1 DONEDA, Danilo. MENDES, Laura Schertel. Reflexões iniciais sobre a nova Lei Geral de Proteção de Dados. Revista de Direito do Consumidor, vol. 120/2018, 2018.
2 A LGPD, por meio do standard de condutas e de seu arcabouço principiológico, delineia limites mais rígidos ao tratamento de dados ao exigir o emprego de seguranças técnicas para proteger os dados de acessos não autorizados ou qualquer outra forma de tratamento inadequado ou ilícito. Assim, não estabelece apenas um plano para a tomada de medidas no âmbito da Tecnologia da Informação em caráter técnico – mecanismos de segurança em softwares e hardwares, recursos de criptografia, etc – mas também estipula a execução de medidas administrativas para guiar o gestor e a equipe de manipulação com dados, tais como a adoção de contratos de confidencialidade e de políticas de privacidade de sites e aplicativos. Sobre o tema, confira: BLUM, Renato Opice. MALDONADO, Viviane Nóbrega. LGPD: Lei Geral de Proteção de Dados comentada. São Paulo: Thomson Reuters Brasil, 2019.
3 SOUZA, Carlos Affonso Pereira de. Segurança e Sigilo dos Dados Pessoais: primeiras impressões à luz da Lei 13.709/2018. In: FRAZÃO, ANA. TEPEDINO, Gustavo. OLIVA, Milena Donato. (org.). Lei Geral de Proteção de Dados Pessoais e suas repercussões no Direito Brasileiro. São Paulo: Revista dos Tribunais, 2019, p. 427).
__________
BLUM, Renato Opice. MALDONADO, Viviane Nóbrega. LGPD: Lei Geral de Proteção de Dados comentada. São Paulo: Thomson Reuters Brasil, 2019.
COTS, Márcio; OLIVEIRA, Ricardo. Lei Geral de Proteção de Dados Pessoais Comentada. São Paulo: Ed. Thomson Reuters Brasil, 2018.
DONEDA, Danilo. MENDES, Laura Schertel. Reflexões iniciais sobre a nova Lei Geral de Proteção de Dados. Revista de Direito do Consumidor, vol. 120/2018, 2018.
_______. O Direito Fundamental à Proteção de Dados Pessoais, in: Direito Privado e Internet. Coordenador: MARTINS, Guilherme Magalhães. São Paulo: Ed. Atlas, 2014.
FEIGELSON, Bruno. SIQUEIRA, Antonio Henrique Albani. Comentários à Lei Geral de Proteção de Dados. 1. Ed. São Paulo: Revista dos Tribunais, 2019.
FRAZÃO, ANA. TEPEDINO, Gustavo. OLIVA, Milena Donato. Lei Geral de Proteção de Dados Pessoais e suas repercussões no Direito Brasileiro. São Paulo: Revista dos Tribunais, 2019.
GHISI, Silvano. Responsabilidade civil em matéria de proteção a dados pessoais no ordenamento jurídico brasileiro. Revista Jurídica, [S.l.], v. 2, n. 3, p. 273-288, set. 2018. ISSN 2595-945X. Disponível em: <https://revistajuridica.fadep.br/index.php/revistajuridica/article/view/80>. Acesso em: 10 dez. 2019.
MENDES, Laura Schertel. O direito básico do consumidor à proteção de dados pessoais. Revista de Direito do Consumidor, vol. 95/2014, 2014, p. 53 - 75.
_______. Privacidade, proteção de dados e defesa do consumidor - Linhas gerais de um novo direito fundamental. São Paulo: Saraiva, 2014.
MIRAGEM, Bruno Nubens Barbosa. Responsabilidade por danos na sociedade de informação e proteção do consumidor: desafios atuais da regulação jurídica da internet. Doutrinas Essenciais de Responsabilidade Civil, vol. 8, 2011, p. 843 - 892
RODRIGUES, Yuri Gonçalves dos Santos. FERREIRA, Keila Pacheco. A privacidade no ambiente virtual: avanços e insuficiências da Lei Geral de Proteção de Dados no Brasil (Lei 13.709/18). São Paulo: Revista de Direito do Consumidor, 2019. Vol. 122/2019, pp. 181 - 202.
SANTOS, Fabíola Meira de Almeida. TALIBA, Rita. Lei Geral de Proteção de Dados no Brasil e os possíveis impactos. Revista dos Tribunais, vol. 998/2018, 2018, p. 225 - 239
__________
*Elisa Guimarães Morais é graduanda em Direito na Universidade de Brasília. Estagiária do STF. Editora-Chefe da Revista dos Estudantes de Direito da Universidade de Brasília (RED|UnB) em 2019.
*Janielle Magalhães Silva é graduanda em Direito na Universidade de Brasília. Estagiária do escritório Gustavo Tepedino Advogados. Editora-Chefe da Revista dos Estudantes de Direito da Universidade de Brasília (RED|UnB) em 2019.