Migalhas de Peso

O regime de responsabilidade civil do controlador

A LGPD, ao tratar de relações em que o titular for também consumidor, deve ser analisada conjuntamente com o CDC, no âmbito do consumo, assim como, no âmbito das relações jurídicas privadas, em conjunto com o Código Civil.

9/9/2021

(Imagem: Arte Migalhas)

Muito se tem discutido a respeito do regime da responsabilidade civil do controlador na Lei Geral de Proteção de Dados (LGPD) e o tema está longe de encontrar uma posição pacificada.

Decorrido aproximadamente um ano desde o início da vigência da lei e em virtude da grande judicialização processual envolvendo a proteção de dados, é possível nos depararmos com decisões com entendimentos divergentes acerca da natureza da responsabilidade civil, se objetiva ou subjetiva.

Há uma corrente que defende que a mera exposição do fato ilícito acarretaria o dever de indenizar o titular, o chamado dano moral "in re ipsa", aquele que independe de prova, bastando ao titular que prove a prática do ato ilícito e não necessitando comprovar a violação dos direitos da personalidade para fazer jus à indenização por dano moral.

Em contraponto, há outra corrente que entende que a mera exposição do fato gerador de suposto dano moral prescinde da obrigatoriedade de vinculação ao dano sofrido, sem a qual não seria passível de condenação.

Algumas reflexões se fazem necessárias à luz da teoria do diálogo das fontes1, idealizada na Alemanha pelo jurista Erik Jayme e trazida ao Brasil por Cláudia Lima Marques, segundo a qual as leis não devem ser aplicadas e interpretadas isoladamente, devendo as normas se complementarem, em consonância com os preceitos constitucionais.

Nessa ótica, a Lei Geral de Proteção de Dados2, ao tratar de relações em que o titular for também consumidor, deve ser analisada conjuntamente com o Código de Defesa do Consumidor3 (CDC), no âmbito do consumo, assim como, no âmbito das relações jurídicas privadas, em conjunto com o Código Civil4.

Tendo em vista que na maioria das vezes o tratamento de dados pessoais ocorre dentro do ambiente de consumo, o objetivo é tecer algumas ponderações entre os estes dois diplomas legais. O Código de Defesa do Consumidor estabelece o regime de responsabilidade objetiva em seu artigo 145, preceituando que o fornecedor de produtos ou serviços responde objetivamente por prejuízos causados a terceiros independentemente da existência de culpa.

O artigo 45 da LGPD6 dispõe que as hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente, remetendo assim, a responsabilidade objetiva que trata o artigo 14 do CDC7.

Imperativo registrar que o mencionado dispositivo legal trata da falha e defeito do serviço cabendo ao consumidor e titular dos dados demonstrar a sua ocorrência. E, nesse sentido, a comprovação do defeito se torna um elemento chave para fins de constatação se, efetivamente, a responsabilidade objetiva se aplica aos agentes de tratamento. Para isso, é necessário interpretarmos conjuntamente com os dispositivos legais da Lei Geral de Proteção de Dados.

O artigo 428 estabelece a obrigação dos agentes de tratamento em reparar o dano patrimonial e moral, tanto individual como coletivo. O artigo 439 elenca as hipóteses de exclusão da responsabilidade, com especial atenção aos incisos II e III, os quais preveem a ocorrência do tratamento sem que tenha se caracterizado a violação à lei e quando o dano decorrer de culpa exclusiva do titular ou de terceiro.

Nesse sentido, corrobora o artigo 4410, o qual estabelece que um tratamento será irregular quando o mesmo deixar de observar a legislação ou quando não fornecer a segurança que o titular deve esperar, ressalvadas as circunstâncias relevantes do caso concreto, entre elas, as técnicas de tratamento de dados pessoais disponíveis à época em que o tratamento de dados foi realizado.

O parágrafo único do mencionado dispositivo especifica ainda que o controlador responderá por danos decorrentes de violação da segurança dos dados se a causa do dano se der por inobservância na adoção das medidas de segurança previstas no artigo 46 da lei11.

E, por fim, o referido artigo 4612 estabelece que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas à proteção dos dados pessoais. Entretanto, para a devida caracterização de um incidente de segurança como um defeito, se faz imprescindível perpassar os dispositivos legais ora citados, da lei 13.709/1813, para que seja factível a verificação do preenchimento ou não dos requisitos necessários como condição essencial para atrairmos a imputação da responsabilidade objetiva do artigo 14 do CDC14.

A existência do suposto dano do titular, na condição de consumidor, requer a caracterização do defeito do serviço.

Na prática, estaremos diante do diálogo das fontes, através do reenvio útil de normas e aplicação complementar entre a Lei Geral de Proteção de Dados para fins de enquadramento do incidente de segurança como um defeito de serviço ou não, hipótese em que, se configurada, é possível concluirmos se tratar do regime de responsabilidade civil objetiva previsto no Código de Defesa do Consumidor15.

----------

1 TARTUCE, Flávio. Em que consiste a teoria do diálogo das fontes? JusBrasil, 2011. Acesso em: 21 ago. 2021.

2 BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela lei 13.853, de 2019. Acesso em: 21 ago. 2021.

3 BRASIL. Casa Civil. Lei 8.078 de 11 de setembro de 1990. Dispõe sobre a proteção do consumidor e dá outras providências. Brasília: Casa Civil, 1990. Acesso em: 20 ago. 2021.

4 BRASIL. Casa Civil. Lei 10.406 de 10 de janeiro de 2002. Institui o código civil. Brasília: Casa Civil, 2002. Acesso em: 20 ago. 2021.

5 BRASIL, op. cit., 1990.

6 BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela lei 13.853, de 2019. Acesso em: 21 ago. 2021.

7 BRASIL, op. cit., 1990

8 BRASIL, op. cit., 2018.

9 Ibidem.

10 BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela lei 13.853, de 2019. Acesso em: 21 ago. 2021.

11 Ibidem.

12 Ibidem.

13 Ibidem.

14 BRASIL. Casa Civil. Lei 8.078 de 11 de setembro de 1990. Dispõe sobre a proteção do consumidor e dá outras providências. Brasília: Casa Civil, 1990. Acesso em: 20 ago. 2021.

15 Ibidem.

----------

BRASIL. Casa Civil. Lei 10.406 de 10 de janeiro de 2002. Institui o código civil. Brasília: Casa Civil, 2002. Acesso em: 20 ago. 2021.

BRASIL. Casa Civil. Lei 8.078 de 11 de setembro de 1990. Dispõe sobre a proteção do consumidor e dá outras providências. Brasília: Casa Civil, 1990. Acesso em: 20 ago. 2021.

BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela lei 13.853, de 2019. Acesso em: 21 ago. 2021.

TARTUCE, Flávio. Em que consiste a teoria do diálogo das fontes? JusBrasil, 2011. Acesso em: 21 ago. 2021.

Martha Leal
Advogada. Especialista em Privacidade e Proteção de Dados, Data Protection Expert pela Universidade de Maastricht e Fellow do Instituto Nacional de Proteção de Dados (INPD).

Veja mais no portal
cadastre-se, comente, saiba mais

Artigos Mais Lidos

Coisa julgada, obiter dictum e boa-fé: Um diálogo indispensável

23/12/2024

Macunaíma, ministro do Brasil

23/12/2024

Inteligência artificial e direitos autorais: O que diz o PL 2.338/23 aprovado pelo Senado?

23/12/2024

"Se não têm pão, que comam brioche!"

23/12/2024

(Não) incidência de PIS/Cofins sobre reembolso de despesas

23/12/2024