COLUNAS

  1. Home >
  2. Colunas >
  3. Migalhas de IA e Proteção de Dados >
  4. A responsabilidade civil do estado por danos no tratamento de dados pessoais: LGPD & LAI

A responsabilidade civil do estado por danos no tratamento de dados pessoais: LGPD & LAI

sexta-feira, 13 de novembro de 2020

Atualizado às 08:32

Introdução

Poucos dias após ter sido divulgada a notícia de que hackers invadiram as bases de dados do Superior Tribunal de Justiça e de outros órgãos públicos, incluindo Ministérios1, colocando em risco concreto dados de milhões de jurisdicionados, parece mais que oportuno à presente coluna dedicar atenção ao tema da responsabilidade civil no tratamento de dados pessoais pela Administração Pública. A matéria é complexa, por dizer respeito ao chamado "sistema legal de proteção de dados"2, que abrange a Lei de Acesso à Informação (Lei 12.527/11 - "LAI") e a Lei Geral de Proteção de Dados Pessoais (Lei 13.709/18 - "LGPD"), dentre outros diplomas legais correlatos.

A tarefa do intérprete torna-se, além de árdua, delicada, diante da constatação, para alguns perturbadora, da colossal magnitude do poder que os agentes de tratamento de dados exercem sobre os mais variados aspectos das vidas de muitos - em se tratando de órgão do Estado, quiçá de todos. A potência dos recursos tecnológicos atualmente disponíveis, com seus algoritmos e inteligência artificial3, tem o efeito de difundir uma perene sensação de exposição e fragilidade. Basta alguém comentar com um amigo que está com vontade de comer um bolo de chocolate, que logo surgirão notificações publicitárias em seu celular indicando uma doçaria há poucos quarteirões de sua casa. Imagine-se o que o Estado não consegue fazer com todos os dados pessoais que controla! Nesse incômodo estado de coisas, é natural esperar-se que o poder do tratamento de dados (com a natural correspectiva vulnerabilidade do titular de dados) seja balanceado por mecanismos de controle e, sobretudo, responsabilidade.

A vida de todos está sendo registrada diariamente em indiscretos livros abertos. O "consentimento" que legitimaria o tratamento de dados pessoais é, no mais das vezes - certamente no caso das relações com o Estado - uma vazia formalidade. Não existe alternativa, é claro; pois permanecer alheio à economia digital, ou ao próprio contrato social, não é escolha viável. Resta, assim, esperar do Direito - tal qual elucidado pela Doutrina e pela jurisprudência - que cumpra a sua tarefa de impor efetiva responsabilidade a quem, exercendo o assustador poder do tratamento de dados pessoais, cause danos aos titulares indefesos.

A responsabilidade civil do Estado no tratamento de dados pessoais pode ser examinada por diversos ângulos de ataque. Nas linhas seguintes, apresentaremos um panorama da matéria tendo por mote a interação entre a LAI e a LGPD.

A Responsabilidade Civil na LAI

A LAI trata da responsabilidade pelos danos causados pelo Estado ao titular de informações pessoais no art. 31, § 2º, cuja redação é a seguinte: "[a]quele que obtiver acesso às informações de que trata este artigo [as informações pessoais] será responsabilizado por seu uso indevido". Complementando este enunciado normativo, o art. 34 da LAI estabelece:

"Art. 34. Os órgãos e entidades públicas respondem diretamente pelos danos causados em decorrência da divulgação não autorizada ou utilização indevida de informações sigilosas ou informações pessoais (...)".

O sentido da norma é satisfatoriamente elucidado pelo "estado da arte" da Doutrina e da jurisprudência acerca da responsabilidade civil do Estado.

A evolução científica neste campo conduziu a` paulatina mitigac¸a~o dos requisitos exigidos para a responsabilização do Estado. A teoria tida como dominante no estágio civilizatório em que nos encontramos, a teoria do risco administrativo, sustenta que, revertendo os benefi'cios da atividade pu'blica a todos os administrados, impo~e-se da mesma forma reverter os seus riscos, devendo eles ser suportados por toda a coletividade. Desse modo, independentemente da culpa do agente pu'blico ou mesmo do servic¸o, deve o Estado responder pelos danos que causar ao particular, o qual na~o arcara' sozinho com esse o^nus, que sera' repartido por toda a sociedade4.

Nestes moldes, confere-se sentido e extensão ao art. 37, § 6º, da Constituição. A responsabilidade estatal objetiva é atestada inclusive em casos de conduta omissiva, quando esta é específica, isto é, quando o Estado se encontra na condição de garante (ou guardião) de um bem jurídico do jurisdicionado5.

Ainda que se dispense a análise da culpa da Administrac¸a~o para a sua responsabilização, impõe-se, a este fim, a demonstração do nexo de causalidade entre a conduta estatal e o dano causado ao particular (resultado do não acolhimento de outra teoria, a do risco integral, que ignoraria até mesmo o liame causal no exame da responsabilidade civil do Estado). E' dizer: na~o se imputa ao Poder Pu'blico a reparac¸a~o de danos que na~o decorram das suas atividades, mas de fatos exclusivamente atribui'veis a terceiros, a` pro'pria vi'tima, ou mesmo derivados de caso fortuito ou forc¸a maior.

Com isto, constata-se que a responsabilidade civil do ente Estatal, conforme prevista no art. 31, §4º, e no art. 34 da LAI, é objetiva, logo, independente, da culpa do agente público; e somente se elide pela demonstração do rompimento do nexo causal, em razão de fato exclusivo da vítima ou de terceiro, ou de caso fortuito ou força maior. Frise-se que, ainda que estes dispositivos façam alusão, em sua textualidade, exclusivamente aos danos decorrentes da divulgação ou utilização indevidas das informações pessoais, a responsabilidade objetiva aplica-se, nestas mesmas bases conceituais, aos danos decorrentes de qualquer tratamento de dados pessoais, ante a inexistência de qualquer fundamento, nesta seara, para o enquadramento da responsabilidade estatal na categoria da responsabilidade subjetiva.

De mais a mais, sublinhe-se que a LAI se mostra compatível com o CDC, o que será particularmente importante para os casos de tratamento de informações pessoais vinculados à prestação de serviços públicos uti singuli. Como se sabe, o art. 22 do CDC submete os órgãos públicos à disciplina ali estabelecida, relativamente aos serviços públicos prestados em contextos que se caracterizem como relação de consumo. Esta possibilidade de aplicação conjunta da LAI com o CDC atrairia as regras de responsabilidade civil previstas na legislação consumerista para o âmbito do tratamento de informações pessoais realizadas por órgãos públicos.

A Responsabilidade Civil na LGPD

O art. 42 da LGPD estabelece que "[o] controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo". Chama atenção, em linha de partida, o fato de o dispositivo não fazer referência à culpa do agente de tratamento de dados6, o que levaria à crer que ali teria o legislador preconizado a responsabilidade objetiva pelos danos sofridos pelos titulares, em linha com a cláusula geral de responsabilidade objetiva prevista no § único do art. 927 e no art. 931 do CC7.

A questão ganha contornos duvidosos, porém, quando se leva em conta as menções, presentes no art. 42, à "violação à legislação de proteção de dados pessoais"; e o disposto no art. 43 da LGPD, que estabelece, como causa de exclusão de reponsabilidade do agente de tratamento de dados, a prova de que "não houve violação à legislação de proteção de dados". A redação conjugada desses artigos é sintaticamente criticável, pois o mesmo elemento (violação à legislação de dados) aparece na delimitação positiva do antecedente normativo (art. 42) e na sua delimitação negativa (art. 43). Se a violação à legislação de dados fosse condicionante da responsabilidade (art. 42), a sua ausência evidentemente implicaria a irresponsabilidade, figurando como redundante e inócua a referência a ela no art. 43. Apesar da imprecisão redacional, o art. 43, ao tratar da ilicitude da conduta, parece desempenhar um papel - que exclui sua inutilidade -, qual seja, a de impor ao agente de tratamento de dados o ônus da prova da ausência da violação à legislação de dados.

Daí decorrem importantes constatações. A primeira é a de que o legislador incorporou na LGPD um sistema de responsabilidade subjetiva8, baseado na culpa presumida9 do agente de tratamento de dados, que pode ser afastada pela prova do cumprimento da lei. Cuida-se, nessa instância, da designada culpa contra a legalidade, que consiste na consideração de que a infração de dever legal induz à presunção de culpa, sendo desnecessária a demonstração de qualquer imprevisão ou imprudência10. A segunda é a de que a violação à legislação de dados é, como ilícito e índice da culpa, elemento do suporte fático da responsabilidade. No entanto - esta é a terceira - a violação à lei é também presumida, bastando ao titular de dados, para formular uma pretensão ressarcitória, atribuir a um agente a realização do tratamento de dados, demonstrar o sofrimento do dano (sem prejuízo de, em certos casos, considerar-se caracterizado o dano in re ipsa), e demonstrar o nexo de causalidade entre ambos11.

Fica, a essa altura do discurso, ainda "em suspensão" a elucidação do alcance da "ausência de violação legal" enquanto excludente de responsabilidade. Sobre isso, vale assinalar que o §3º do art. 12 e o § 3º do art. 14 do CDC, em que o art. 43 claramente foi inspirado, não indicam a conformidade legal do comportamento do agente como excludente de responsabilidade pelo fato do produto ou do serviço (matéria a que se dedicam esses dispositivos). Esses dispositivos estabelecem a responsabilidade por produtos ou serviços defeituosos, entendidos os que não atendem à legitima expectativa de segurança nutrida pelo consumidor. A ausência, neles, de menção ao cumprimento da lei como excludente de responsabilidade, deve-se, em primeiro lugar, ao paradigma teórico que se encontra ali acolhido (teoria objetiva fundada no risco da atividade), o qual se deixa identificar pela explícita irrelevância atribuída à culpa para fins da responsabilidade (cf. caput dos arts. 12 e 14 do CDC). Além disso, não faria sentido que essas normas aludissem à legalidade da conduta, como excludente de responsabilidade, quando a presença do defeito seria, por si, uma ilicitude (violação do dever geral de segurança12). Por fim, o cumprimento ou descumprimento da lei (texto expresso) é tido, no plano da responsabilidade por produtos ou serviços defeituosos, como elemento estranho à aferição da responsabilidade, que decorre unicamente do nexo de causalidade entre o dano e o defeito do produto ou do serviço.

A redação da LGPD causa incerteza, todavia, ao contemplar, no art. 4413 (ou seja, depois da enumeração das excludentes de responsabilidade), a descrição do tratamento de dados "irregular": o tratamento de dados realizado com descumprimento da legislação de dados, ou que não ofereça a segurança que o titular dele pode esperar. Nesse dispositivo, a LGPD novamente se inspira no CDC (§1º do art. 12 e do §1º 14 do CDC). Ele, todavia, vem depois da regra geral (art. 42) e da exceção geral (art. 43). A ordem dos fatores pode, nesse caso, alterar o produto.

É plausível sustentar que o art. 44 teria como finalidade preceituar a responsabilidade pelo "fato do tratamento de dados"; mas não teria, como faz o CDC nos arts. 12 e 14, estabelecido a responsabilidade imediata pelo descumprimento do "dever geral de segurança14. Dir-se-ia, nessa esteira, que o agente de tratamento de dados poderia, em qualquer caso, demonstrar que cumpriu os procedimentos de governança, controle, boas práticas etc. exigidos expressamente pela legislação de dados; e que, por conta disso, ainda que se constatasse a deficiência de segurança, não haveria responsabilidade a lhe ser imputada. Nesse caso, a ilicitude, enquanto índice da culpa, seria excluída.

O caput do art. 44, ao apontar a violação à legislação de dados, e a frustração da expectativa de segurança do titular de dados, como causas alternativas de "irregularidade", não teria tratado esta última como causa de responsabilização par excellence, mas unicamente como circunstância capaz de caracterizar o "fato do tratamento de dados". Entrever-se-ia, então, a irregularidade pela qual o agente de tratamento de dados responde (com culpa presumida), e aquela pela qual ele não responde (afastada a culpa presumida). Por outras palavras, a LGPD teria traçado uma distinção entre "a segurança que o titular dele [do tratamento de dados] pode esperar" e a "segurança pela qual o agente de tratamento responde"15.

Esse debate tende a ser superado em situações que, segundo a própria LGPD, continuam sujeitas ao CDC (art. 45), ou ainda em situações envolvendo o descumprimento deliberado ou evidente da legislação de dados. Todavia, nos casos mais complexos envolvendo invasões de bancos de dados por pessoas mal intencionadas, em relações não submetidas ao estatuto consumerista, deparar-se-ia com a dúvida sobre se, uma vez tendo cumprido tudo o que a legislação exigia (expressamente), o agente de tratamento de dados poderia ser responsabilizado - ainda que o dano decorresse de um risco anormal ao tratamento de dados.

A solução afirmativa seria, sem dúvidas, mas simpática. Não nos parece, contudo, que seja a mais bem embasada. O legislador demonstrou, na LGPD, uma destacada preocupação em apontar o descumprimento da lei como pressuposto da responsabilidade do agente de tratamento de dados, e o seu cumprimento como excludente de responsabilidade. Demais disso, a suposição de que a LGPD teria contemplado um dever geral de segurança cuja violação seria suficiente para a responsabilização, como no CDC  não se compatibiliza com o texto do art. 44, que alude à infração legal como uma coisa, e à deficiência de segurança como outra ("[o] tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar (...)"). Se toda deficiência de segurança correspondesse ontologicamente ao descumprimento da legislação de dados, a estrutura proposicional do caput desse dispositivo revelar-se-ia sem sentido. Daí a conclusão de que há irregularidades pela qual se responde, e outras que - pelo afastamento da culpa presumida - não induzem o dever de reparação de danos.

Tais considerações, frise-se, não dão conta de toda a complexidade do tema. Questões outras relativas à densidade da comprovação do dano, à extensão da indenização, à caracterização de fortuitos internos no tratamento de dados, dentre outras, devem ainda ser enfrentadas - se bem que escapam ao espaço desta coluna.

LAI x LGPD16

Por tudo que foi dito, pode-se concluir que a disciplina responsabilidade civil da LAI e da LGPD, no que possuem escopos coincidentes (tratamento de dados pessoais por entes públicos), não é idêntica.

A questão que fica é a de definir qual marco normativo haveria de prevalecer. Levando-se em conta o fundamento constitucional da responsabilidade civil do Estado, parece que a disciplina da LAI é mais adequada. A bem se ver, a LGPD, no que se descola da teoria do risco administrativo, haveria de ser reputada inconstitucional.

Com isso, mais especificamente, quer-se sustentar que o Estado não deve eximir-se de responsabilidade pela simples comprovação do cumprimento da legislação de dados (texto expresso). Do ponto de vista axiológico, a assertiva mostra-se sobremaneira consistente, dado que aquela relação de poder (e contraposta vulnerabilidade) que se verifica nas relações entre o Estado e os particulares, encontra nesse contexto sua máxima intensidade.

Certamente estas linhas não têm a pretensão de encerrar a discussão. Muito pelo contrário, o que aqui se busca é tomar parte dela. Os influxos da Doutrina e da jurisprudência que já foram ofertados, e que ainda o serão, permitirão o amadurecimento dos entendimentos sobre o tema.

_____________

1 Clique aqui

2 Cf. BELIZZE OLIVEIRA, Marco Aurélio; LOPES, Isabela Maria Pereira. "Os princípios norteadores da proteção de dados pessoais no Brasil e sua otimização pela Lei nº 13.709/2018". In: Tepedino, Gustavo; Frazão, Ana; Oliva, Milena Donato. "Lei Geral de Proteção de Dados Pessoais". 2ª ed. São Paulo: RT, 2020, p.53-82.

3 ROSENVALD, Nelson; MONTEIRO FILHO, Carlos Edison do Rêgo. Danos causados a dados pessoais: novos contornos. In Migalhas de Proteção de Dados, São Paulo, 28 de agosto de 2020. Disponível em: clique aqui. Acesso em 09 de novembro de 2020.

4 DI PIETRO, Maria Sylvia Zanella. "Direito Administrativo". 25ª ed. Sa~o Paulo: Atlas, 2012, p. 701; Supremo Tribunal Federal, Recurso Extraordinário 841526, Rel. Min. Luiz Fux, j. 30/03/2016.

5 CAVALIERI FILHO, Sérgio. "Programa de Responsabilidade Civil". 14ª ed. SP: Atlas, 2020, p. 283 ss.

6 LIMA, Cíntia Rosa Pereira de. Os agentes de tratamento de dados pessoais na LGPD. In Instituto de Estudos Avançados: Artigos, Ribeirão Preto, 03 de novembro de 2019. Disponível em: clique aqui. Acesso em: 09 de novrmbro de 2020.

7 A doutrina e a jurisprudência sedimentaram o entendimento de que estes dispositivos orientam-se pela teoria do risco (em lugar da teoria da culpa), mais especificamente à variação da teoria do risco criado. Cuida-se de um avanço em direção à proteção das vítimas de danos, considerado o contexto de intensificação das atividades de risco verificada no curso das revoluções industriais e do amadurecimento do capitalismo tecnológico; e à maximização da probabilidade do ideal da reparação integral.

8 No mesmo sentido: GUEDES, Gisela Sampaio da Cruz; MEIRELES, Rose Melo Vencelau, "Término do tratamento de dados", In: Tepedino, Gustavo; Frazão, Ana; Oliva, Milena Donato. "Lei Geral de Proteção de Dados Pessoais". 2ª ed. São Paulo: RT, 2020, p.217-236. Contra: MENDES, Laura Schertel; DONEDA, D. "Comentário à nova Lei de Proteção de Dados (Lei 13.709/2018), o novo paradigma da proteção de dados no Brasil".In: Revista de Direito do Consumidor, v. 120, p. 555, 2018. Por uma terceira via (responsabilidade "pró-ativa"), cuja distinção para com a responsabilidade subjetiva não é demonstrada com clareza, porém, vide: MORAES, Maria Celina Bodin de; QUEIROZ, João Quinelato de. "Autodeterminação informativa e responsabilização proativa: novos instrumentos de tutela da pessoa humana na LGDP". IN: Cadernos Adenauer, volume 3, Ano XX, 2019.

9 Cf. MENEZES CORDEIRO, A. Barreto. "Repercussões do RGPD sobre a responsabilidade civil". In: Tepedino, Gustavo; Frazão, Ana; Oliva, Milena Donato. "Lei Geral de Proteção de Dados Pessoais". 2ª ed. São Paulo: RT, 2020, p.771-790.

10 CAVALIERI FILHO, Sérgio. "Programa de Responsabilidade Civil". 14ª ed. SP: Atlas, 2020, p.51-54.

11 A inversão do ônus da prova a que se refere o art. 42, §2º, diz respeito a esses elementos, não ao descumprimento da lei, que se presume presente diante da prova do tratamento de dados, do dano e do nexo de causalidade.

12 MIRAGEM, Bruno. "Curso de Direito do Consumidor". 7ª ed. São Paulo: RT, 2018, p.602 ss.

13 "Art. 44. O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:

I - o modo pelo qual é realizado;

II - o resultado e os riscos que razoavelmente dele se esperam;

III - as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.

Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano".

14 O art. 44 se inspira em dispositivos do CDC que seguem a teoria do risco da atividade, mas submete-se a um regime, instaurado pelos arts. 42 e 43, de responsabilidade subjetiva. A escolha legislativa é problemática, pois inclui um suporte fático próprio da responsabilidade objetiva numa moldura diretiva orientada pela responsabilidade subjetiva. No final das contas, diante da redação dos arts. 42 e 43, o art. 44 vocaciona-se a cumprir duas funções: a impositiva de um dever (que, sob certa perspectiva, é um dever "de meio"), de atender as expectativas de segurança nutridas pelos titulares de dados, ou seja, cuidar dos investimentos de confiança por estes depositados no tratamento de dados; e a de servir de parâmetro para a avaliação das instâncias de fortuito interno (para afastamento do nexo de causalidade por caso fortuito ou força maior nas hipóteses de deficiência de segurança).

15 Note-se que o art. 43 da LGPD não traz a comprovação da ausência da deficiência de segurança (que seria o paralelo da comprovação da ausência do defeito, nos termos do §3º do art. 12 e do §3º do art. 14 do CDC), como excludente de responsabilidade. A rigor, o art. 44, ao prever a responsabilidade pelo "fato do tratamento de dados", cumpre o desiderato de expandir o campo da materialidade da responsabilidade, para contemplar as relações causais entre a deficiência de segurança e o dano (indo além, pois, da responsabilidade pelo "vício do tratamento de dados"). Dessa implicação causal decorre a presunção de ilicitude, como índice da culpa. Se o agente de tratamento de dados comprova que o tratamento oferecia a segurança esperada, mas não demonstra que cumpria a lei, permanece a responsabilidade.

16 ANDRADE Jr., Luiz Carlos. Lei de Acesso à Informação e a Lei Geral de Proteção de Dados Pessoais. In Instituto Avançado de Proteção de Dados: Eventos. Ribeirão Preto, 27 de outubro de 2020. Disponível em: clique aqui. Acesso em 09 de novembro de 2020.