Danos causados a dados pessoais: novos contornos
sexta-feira, 28 de agosto de 2020
Atualizado às 08:33
Uma das vantagens de compreendermos os direitos da personalidade em um enfoque de cláusula geral de tutela da pessoa humana é o de percebermos a sua permeabilidade, a vagueza do conteúdo semântico e a aptidão evolutiva das situações existenciais conforme a sociedade e a cultura que lhe conferem substrato. Não há numerus clausus em matéria de direitos da personalidade, pois o ser humano se exibe em inesgotáveis manifestações1. Destarte, para além de um direito geral da personalidade - globalmente considerado - há um direito especial da personalidade composto por bens intrínsecos já mapeados (só para ficarmos nos limites do Código Civil direito ao corpo, imagem, nome, honra e intimidade), sem que isso impeça a progressiva decantação de novas zonas de relevância ainda não proclamadas de um conceito elástico, em permanente expansão2.
Na sociedade tecnológica, defende-se abertamente a existência de um direito da personalidade à proteção de dados pessoais com autonomia perante o direito à privacidade3. Em todas as suas derivações, a privacidade revela aquilo que a pessoa tem ou faz em um contexto espacial delimitado. Todavia, em matéria de dados pessoais a informação extrapola o âmbito da pessoa. Ela ainda é um bem em si, mas capaz de ser objetivado e tratado longe e a despeito dela. Em um cenário de despersonalização, no qual a premissa antropocêntrica do ordenamento é subvertida pela coisificação do ser humano em um conjunto de algoritmos passíveis de transação no mercado, a consolidação de um direito da personalidade à tutela dos dados - voltada aos poderes público e privado - converte-se em pré-condição de cidadania na era eletrônica. O conceito dinâmico de autodeterminação informativa demanda mesmo um estatuto jurídico de dados, afinal, eles definem autonomia, identidade e liberdade da pessoa4.
Paradoxalmente, a IA e outras tecnologias digitais emergentes não desafiam a gama já existente de danos reparáveis. Em países que seguem a tradição francesa, o dano como pré-requisito para a obrigação de indenizar é um conceito flexível e qualquer lesão a um interesse lícito pode ser o ponto de partida para a responsabilidade extracontratual5, cujo controle se dará pela verificação do nexo causal entre o dano e o comportamento culposo ou o risco de uma atividade. Por conseguinte, o interesse em jogo pode ser mais ou menos significativo e a extensão do dano a esse interesse também pode variar, com impacto na avaliação quanto à justificação da indenização em um caso concreto6.
Nada obstante, algumas incipientes categorias de danos podem ser mais relevantes em casos futuros do que em cenários tradicionais de responsabilidade civil7-8. Os danos causados ??aos dados pessoais podem resultar em responsabilidade civil quando a responsabilidade surge do contrato9; ou quando a responsabilidade decorra da interferência de terceiro no ambiente em que os dados foram armazenados10; ou ainda, naquilo que nos interessa de maneira mais próxima, o dano foi causado por conduta antijurídica (violadora do dever geral de não lesar)11.
Não é universalmente aceito que destruição de dados seja equiparada à perda de propriedade, uma vez que em alguns sistemas jurídicos a noção de propriedade é limitada a objetos corporais e exclui bens intangíveis, todavia12 o surgimento de tecnologias digitais enfatizou a importância dos danos aos dados, por meio de sua subtração, deterioração, contaminação, criptografia, alteração ou supressão13. Com grande parte de nossas vidas e nossas propriedades sendo "digitalizadas", é inviável, por óbvio, limitar a responsabilidade civil ao mundo tangível14.
Referimo-nos à categoria dos digital assets, digital property ou bens digitais, como aqueles ativos incorpóreos, progressivamente inseridos na internet, que consistem em informações intangíveis fisicamente, de caráter pessoal - conteúdos postados ou compartilhados no ambiente virtual -, que trazem em si utilidade, tenham ou não conteúdo econômico15.
No terreno da responsabilidade extracontratual, uma adaptação recorrente é a de traduzir os danos aos dados como danos ao meio físico no qual os dados foram armazenados. Assim, se A armazena os seus arquivos na unidade de disco rígido de seu computador pessoal em casa e um colega de faculdade negligentemente danifica o computador, tornando os arquivos ilegíveis. Independentemente da qualificação dos danos aos dados, em qualquer caso, a ilicitude se dirigiu à propriedade tangível de A (a unidade de disco rígido) e, apenas por esse motivo, B já seria responsável. Contudo, não é adequado simplesmente equiparar o tratamento normativo entre ambos objetos. Basta uma pequena modificação no exemplo, para o caso em que o proprietário do computador não coincida com a pessoa que tem um interesse digno de tutela nos dados. Seria o caso de classificar esse interesse merecedor de proteção semelhante à propriedade como propriedade intelectual ou um segredo comercial, ou a necessidade de tutelar o progresso intelectual em nada se relaciona com o resguardo de um "hard disk" inserido em computador?
Seja como for, da lesão a dados pessoais podem decorrer danos patrimoniais ou extrapatrimoniais, nas mais variadas correntes de qualificação da responsabilidade, de seus fundamentos e de sua justificação. Caberá aos juristas, estudiosos do direito de danos e das novas tecnologias, a árdua tarefa de construir um sistema de responsabilidade civil adequado que, ao mesmo tempo que possibilite a efetiva prevenção e a reparação dos danos residualmente sofridos, permita o pleno desenvolvimento das tecnologias emergentes que tanto beneficiarão a sociedade.
*Carlos Edison do Rêgo Monteiro Filho é professor titular e ex-coordenador do programa de pós-graduação em Direito da Faculdade de Direito da UERJ. Doutor em Direito Civil e mestre em Direito da Cidade pela UERJ. Procurador do Estado do Rio de Janeiro. Presidente do Fórum Permanente de Direito Civil da Escola Superior de Advocacia Pública da PGE-RJ (ESAP). Vice-presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil (IBERC). Associado Fundador do Instituto Avançado de Proteção de Dados (IAPD). Advogado, pareceirista em temas de Direito Privado.
**Nelson Rosenvald é professor do corpo permanente do doutorado e mestrado do IDP/DF. Procurador de Justiça do Ministério Público de Minas Gerais. Pós-doutor em Direito Civil na Università Roma Tre (IT-2011). Pós-doutor em Direito Societário na Universidade de Coimbra (PO-2017). Visiting Academic Oxford University (UK-2016/17). Professor Visitante na Universidade Carlos III (ES-2018). Doutor e mestre em Direito Civil pela PUC/SP. Presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil (IBERC) e Associado Fundador do Instituto Avançado de Proteção de Dados (IAPD)
__________
1 Talvez Saramago tenha explicado o conceito de personalidade de forma mais clara do que qualquer jurista: "Dentro de nós há uma coisa que não tem nome, essa coisa é o que somos". SARAMAGO, José. Ensaio sobre a cegueira. Lisboa: Editorial Caminho, 1995.
2 "O que está em causa nos direitos da personalidade não é apenas a tutela de um aspecto particular da pessoa humana, mas sim a tutela da pessoa humana globalmente considerada, podendo abranger novas zonas de relevância. Trata-se da pessoa não apenas perspectivada estaticamente, como ser humano, mas também em devir, em desenvolvimento" PINTO, Paulo Mota. Direitos da personalidade e direitos fundamentais. Coimbra: Gestlegal, 2018, p. 334.
3 "O esforço a ser empreendido pela doutrina e pela jurisprudência seria emo nosso ponto de vista uma interpretação dos incisos X e XII do art. 5. que seja mais fiel ao nosso tempo, reconhecendo a intima ligação que passam a ostentar os direitos relacionados à privacidade e à comunicação de dados. Dessa forma, a garantia da proteção dos dados pessoais, em si próprios considerados, com caráter de direito fundamental representa o passo necessário à integração da personalidade em sua acepção mais ampla e adequada à sociedade de informação" DONEDA, Danilo. O Direito fundamental à proteção de dados pessoais. In: MARTINS, Guilherme Magalhães; LONGHI, João Victor Rozatti. Direito digital, 3. Ed, Indaituba: Foco, 2020, p. 52.
4 Neste conceito dinâmico do direito à proteção dos dados pessoais já se insere o direito à portabilidade dos dados: "trata-se de uma ferramenta posta à disposição dos titulares para incrementar o controle dos mesmos sobre os seus dados pessoais de uma forma ativa, concorrendo dessa maneira para o exercício da autodeterminação informativa, ou seja, o controle das informações que lhe digam respeito, evitando que os ados se tornem mero objeto de transação". CRAVO, Daniella Copetti; KESSLER, Daniela Seadi e DRESCH, Rafael de Freitas Valle. Responsabilidade civil na portabilidade de dados. In: MARTINS, Guilherme Magalhães; ROSENVALD, Nelson. (orgs.) Responsabilidade civil e novas tecnologias. 1ed. Indaiatuba: Foco, 2020, p. 187.
5 Art. 927 CC/2002: "Aquele que, por ato ilícito (arts. 186 e 187), causar dano a outrem, fica obrigado a repará-lo. Parágrafo único. Haverá obrigação de reparar o dano, independentemente de culpa, nos casos especificados em lei, ou quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem".
6 Neste sentido, o artigo 2:102 parágrafo 1, do PETL (Principles of European Tort Law): "O alcance da proteção de um interesse depende de sua natureza; sua proteção será mais ampla, quanto maior seja o seu valor, a precisão de sua definição e sua obviedade".
7 Exemplos sugeridos no Report from the expert group on liability and new technologies-New technologies formation-European Union 2019. Texto disponível aqui.
8 A utilização de dados pessoais para alimentar os novos sistemas de inteligência artificial e a sua utilização para tomar decisões proporcionam uma acurácia bastante significativa para um número crescentes de aplicações. Isto abre espaço para, ao menos, dois temas centrais para os debates sobre autonomia e direitos fundamentais nos próximos anos: os efeitos que a utilização desses sistemas causará para a pessoa e sua autonomia pessoal, bem como a necessidade de qualificar a natureza desses instrumentos e sistemas de inteligência artificial. (DONEDA, Danilo Cesar Maganhoto; MENDES, Laura Schertel; SOUZA, Carlos Affonso Pereira de; ANDRADE, Norberto Nuno Gomes de. Considerações iniciais sobre inteligência artificial, ética e autonomia pessoal. In: Pensar: Revista de Ciências Jurídicas, v. 23, n. 4, p. 1-17, out./dez. 2018, p. 3).
9 Ilustrativamente, A armazena os seus arquivos no espaço em nuvem fornecido pelo provedor B com base contratual. B não protege adequadamente o espaço na nuvem, e, aproveitando-se disso, um hacker exclui todas as fotos de A. B será responsável perante A pela violação contratual, com fundamento em danos patrimoniais consubstanciados nos custos que A assumiu para restaurar os arquivos. Porém, pode-se acrescer os danos extrapatrimoniais pela perda de memórias familiares.
10 Exemplificando, os arquivos de A estão armazenados no espaço em nuvem fornecida por C. Sem nenhuma negligência da parte de C, B danifica negligentemente os seus servidores e todos os arquivos de A são excluídos. Não está claro por que deveria fazer diferença na responsabilidade de B se os arquivos continham texto ou fotos sobre os quais A detinha os direitos autorais; os arquivos continham texto ou fotos sobre as quais terceiros detinham os direitos autorais, ou, por fim, os arquivos continham "machine data" de grande valor econômico, sobre os quais ninguém ainda titularizava direito autoral ou outro direito de propriedade intelectual. Trata-se da necessidade do ordenamento assegurar a tutela dos referidos interesses legais protegidos com eficácia contra terceiros. Um ponto de partida para a incidência da responsabilidade pelo ato ilícito é a semelhança dos danos aos dados com a ofensa à propriedade.
11 "Em havendo grandes fluxos de dados, grandes preocupações passam a permear a sociedade da informação, não apenas com os riscos de eventual uso discriminatório dos acervos de dados, mas também com o surgimento de potencial dependência em relação a eles e às práticas de coleta massiva e mineração (data mining). Nesse espírito, o intuito do legislador brasileiro, ao promulgar a Lei Geral de Proteção de Dados Pessoais está adequadamente alinhado ao propósito de assegurar direitos e promover o titular de dados - aqui visto como vulnerável". (MARTINS, Guilherme Magalhães; FALEIROS JÚNIOR, José Luiz de Moura. Compliance digital e responsabilidade civil na lei geral de proteção de dados. In: MARTINS, Guilherme Magalhães; ROSENVALD, Nelson. (orgs.) Responsabilidade civil e novas tecnologias. 1ed.Indaiatuba: Foco, 2020, p. 271).
12 Ilustrativamente, enuncia o §90 do Código Civil da Alemanha - BGB: "conceito de coisa: apenas objetos corpóreos são coisas, como definido por lei".
13 "Le tecnologie dell'informazione non solo si impadroniscono della nostra vita, ma costruiscono un corpo elettronico, l'insieme delle nostre informazioni personali custodite in infinite banche dati, che vive accanto al corpo físico". (RODOTÀ, Stefano. Persona, libertà, tecnologia. Note per una discussione. In: Diritto e questioni pubbliche, v. 5, 2005).
14 Quando B ingressa no espaço na nuvem e exclui os arquivos de A, para além da esfera cível, o comportamento doloso se qualifica como ilícito criminal. Na União Europeia o art. 82 do Regulamento Geral de Proteção de Dados (RGPD) explicita que há responsabilidade quando os danos foram causados pela intencional violação dos seus requisitos. Ao definir tais regras o legislador assume a relevância dos dados como ativo e a sua ubiquidade. Se em tese é possível introduzir uma regra declarando amplamente a proibição de acesso ou modificação de quaisquer dados controlados por outra pessoa, atribuindo responsabilidade se esse padrão for violado, isso pode resultar em um desbalanceamento, na medida em que todos nós, constantemente acessamos e modificamos dados controlados por outras pessoas.
15 LACERDA, Bruno Torquato Zampier. A responsabilidade civil no universo dos bens digitais. In: MARTINS, Guilherme Magalhães; ROSENVALD, Nelson. (orgs.) Responsabilidade civil e novas tecnologias. 1ed.Indaiatuba: Foco, 2020, p. 95. O autor se serve de quatro categorias para retratar as possibilidades de lesões a bens digitais: "a) Lesões oriundas de conduta de outro particular; b) lesões oriundas da conduta do próprio provedor; c) lesões oriundas da conduta do estado; d) lesões oriundas da conduta de familiares do titular".Op.cit, p. 97.