COLUNAS

  1. Home >
  2. Colunas >
  3. Migalhas de IA e Proteção de Dados >
  4. Direito fundamental à proteção de dados e responsabilidade civil

Direito fundamental à proteção de dados e responsabilidade civil

sexta-feira, 27 de novembro de 2020

Atualizado às 07:53

"Camaradas, disse, tenho certeza de que cada animal compreende o sacrifício
que o Camarada Napoleão faz ao tomar sobre seus ombros mais esse trabalho.
Não penseis, camaradas, que a liderança seja um prazer.
Pelo contrário, é uma enorme e pesada responsabilidade. Ninguém mais que
o Camarada Napoleão crê firmemente que todos os bichos são iguais. Feliz seria ele
se pudesse deixar-vos tomar decisões por vossa própria vontade; mas, às vezes,
poderíeis tomar decisões erradas, camaradas; então, onde iríamos parar?"
Orwell, George. A Revolução dos Bichos1

Foi junto à evolução histórica e ao surgimento de demandas da vida em sociedade que emergiu a necessidade de se reconhecer e assegurar novos direitos fundamentais. O cenário atual, da consolidada era da informação, definida por Castells2 como sociedade em rede, convida a um importante debate acerca da imprescindibilidade de se resguardar dados pessoais, seja frente ao Estado, seja frente a outros particulares. Enquanto se entende que tal proteção de dados tem sido recepcionada inclusive pelo Supremo Tribunal Federal como um direito fundamental autônomo, há que se refletir, também, sobre o papel da responsabilidade civil como fonte de incentivos a que esse direito seja efetivamente resguardado.

Não se pode deixar de sublinhar, ainda que de maneira bastante breve, que os direitos fundamentais denominados de primeira geração apontam para a ideia de liberdade negativa clássica, tendo surgido ainda ao final do século XVIII, frente ao Estado absolutista. Dizem respeito, por exemplo, ao direito à vida, à propriedade, à inviolabilidade de domicílio, à liberdade de expressão e à participação política e religiosa. A primeira geração evidencia, portanto, uma ideia de abstenção (ou não prestação) do Estado em relação ao indivíduo, dando início "à fase inaugural do constitucionalismo do Ocidente"3.

Se em relação a esses direitos, de liberdade, são impostos limites à força estatal, a segunda geração, de direitos sociais (ou de igualdade), impõe, já a partir do século XX, a necessidade de que o Estado intervenha de modo a assegurar garantias individuais, especialmente em relação à educação, saúde, alimentação, trabalho, moradia, lazer, segurança etc.4 A terceira geração, consolidada após a Segunda Guerra Mundial, lançou luz sobre a importância direitos transindividuais e direcionados à globalização, ligados a valores de fraternidade e solidariedade, e voltados ao desenvolvimento, progresso, autodeterminação dos povos, meio ambiente e comunicação.

O direito fundamental à proteção de dados, por sua vez, estaria inserido em uma nova geração de direitos fundamentais. Vale dizer, aliás, que a quarta e até mesmo quinta gerações ainda são objeto de discussão pela doutrina. Nas palavras do saudoso Paulo Bonavides5, ao mencionar a quarta geração, "Deles depende a concretização da sociedade aberta ao futuro, em sua dimensão de máxima universalidade, para a qual parece o mundo inclinar-se no plano de todas as relações de convivência. (...) Tão-somente com eles será legítima e possível a globalização política". A quarta geração tem origem, então, nos direitos à democracia, à informação e ao pluralismo. É justamente nesse cenário, de novos direitos, especialmente frente a uma sociedade globalizada, dinâmica e volátil, que parece repousar o direito fundamental à proteção de dados pessoais.   

Importante notar que os direitos fundamentais contavam, originalmente e em essência, com eficácia vertical, eis que oponíveis pelo indivíduo em face do Estado. Preocupação e necessidade similares, entretanto, surgiram também em relação a arbítrios eventualmente cometidos por particulares, dando espaço à chamada horizontalização dos direitos fundamentais - e vinculando a esses direitos, portanto, não apenas o Estado, mas também os particulares, em suas relações privadas. Esse movimento, diga-se, surgiu ao se perceber que o poder já não era de exclusividade do Estado. Impôs-se aos poderes públicos, então, "a tarefa de preservar a sociedade civil dos perigos de deterioração que ela própria fermentava"6. O risco à proteção dos dados pessoais, a propósito, evidencia-se nessas duas direções, tendo em vista poder partir tanto do Estado, quanto de entes privados, especialmente em relação às grandes corporações que atuam na economia globalizada dos dados.

Diante desse cenário, notabiliza-se a importância de compreender se o direito à proteção de dados efetivamente se configuraria como um direito fundamental autônomo. Entende-se que sim. A proteção de dados, afinal, não se restringe à privacidade e à intimidade, como incialmente se poderia pensar. Isso porque há vários outros valores vinculados, como autodeterminação, não discriminação, livre iniciativa, livre concorrência, além da proteção do consumidor.

Marco importante desta discussão se revelou o julgamento de Medida Cautelar na Ação Direta de Inconstitucionalidade 6.387/DF, proposta pelo Conselho Federal da Ordem dos Advogados do Brasil - CFOAB contra a Medida Provisória 954, de 17 de abril de 2020, que dispunha sobre "o compartilhamento de dados por empresas de telecomunicações prestadoras de Serviço Telefônico Fixo Comutado e de Serviço Móvel Pessoal com a Fundação Instituto Brasileiro de Geografia e Estatística, para fins de suporte à produção estatística oficial durante a situação de emergência de saúde pública de importância internacional decorrente do coronavírus (covid19), de que trata a lei 13.979, de 6 de fevereiro de 2020". A lista de informações que se pretendia fossem disponibilizadas envolvia nomes, números de telefone e endereço dos consumidores (pessoas físicas e jurídicas).

A liminar que suspendeu a MP foi concedida em razão da ausência de indicação expressa de sua finalidade e de demonstração do interesse público que se visava a alcançar, além de não explicitar como e para que fim seriam utilizados os dados coletados. Ainda conforme o entendimento da relatora, Ministra Rosa Weber, permitir a liberação, ao IBGE, de dados de pessoas naturais e jurídicas por empresas de telefonia poderia causar "danos irreparáveis à intimidade e ao sigilo da vida privada de mais de uma centena de milhão de usuários". O voto ainda faz referência ao art. 5º, inciso XII da Constituição Federal, que assegura a inviolabilidade do sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, para referir expressamente a necessidade de tutela do direito fundamental autônomo à proteção de dados pessoais.

Chama-se a atenção, portanto, para o fato de que o entendimento adotado pelo STF no referido caso IBGE aponta para a existência de um direito fundamental autônomo à proteção de dados, que se desprende pura e simplesmente do direito à privacidade. É justamente daí que passam a merecer ainda mais destaque comprometidas discussões a respeito da responsabilidade civil na condição de ferramenta a não apenas resguardar, mas a promover e difundir o direito fundamental à proteção de dados. Mostra-se imprescindível, então, refletir sobre qual seria a mais adequada interpretação do art. 42 e seguintes da Lei Geral de Proteção de Dados (LGPD), que tratam, justamente, da responsabilidade do controlador ou operador de dados pessoais.

Haveria, nesse sentido, três possíveis cenários, conforme inclusive abordado pelo autor Rafael Dresc7: parte da doutrina entende estar-se a tratar de responsabilidade subjetiva, que demandaria análise da culpa dos agentes de tratamento em casos de danos aos titulares de dados pessoais8; outra parcela defende que a LGPD apontaria para a responsabilidade objetiva, ante o risco proveito ou da atividade9; e, ainda, a responsabilidade objetiva especial - que, para fins do debate aqui proposto, merece destaque.  

É prudente afirmar que a forma de responsabilidade civil adotada pela LGPD, em verdade, enquadra-se em uma categoria especial de responsabilidade objetiva10, que se dará ante o cometimento de um ilícito: o não cumprimento de deveres impostos pela legislação de proteção de dados, especial o dever de segurança por parte do agente de tratamento. É o que se extrai, inclusive, da análise do dever geral de segurança do qual esse se incumbe, conforme disposição do art. 44 da LGPD, e cuja violação é que acaba por ensejar sua responsabilização civil. Em outras palavras, faz-se fundamental observar eventual cumprimento ou não dos deveres decorrentes da tutela dos dados pessoais, especialmente, do dever geral de segurança ante a legítima expectativa quanto à possível conduta do agente, o que se faz por meio de standards de conduta - critérios que, não atendidos, apontam para o não cumprimento do dever de segurança.

Essencial à responsabilização civil dos agentes de tratamento, portanto, é a existência de um ilícito. Contudo, o ilícito previsto nos artigos 42 e 44 não está centrado na culpa do agente, como ocorre no artigo 187 do Código Civil, mas no ilícito objetivo, pois não se indaga sobre dolo ou culpa em sentido estrito. Não há a necessidade da análise subjetiva - interna ao sujeito - com base na sua intenção ou falta de cuidado, caracterizada pela negligência, imprudência ou imperícia. O ilícito objetivo previsto na LGPD, assim como o do artigo 188 do Código Civil, demanda apenas a análise externa das práticas do agente de tratamento, de sua conduta de forma objetiva, para verificar se tal conduta está em conformidade (compliance) ou não com o padrão de conduta que se pode exigir de um agente de tratamento com base em standards técnicos de mercado e regulatórios.

Ademais, transbordando a análise deontológica, a partir de uma análise funcionalista, essa parece ser a alternativa mais adequada com vistas a atender à finalidade de resguardar o indivíduo no campo da proteção de dados. Isso porque a responsabilidade objetiva pelo risco proveito ou pelo risco da atividade, ainda que defendida por muitos respeitados estudiosos do tema, não parece criar os corretos incentivos à proteção de dados da pessoa humana, especialmente porque toma iguais o agente que busca garantir a segurança no tratamento de dados (e que, para isso, se vale das adequadas ferramentas de tecnologia e corretas políticas de privacidade, de certificações e governança) e o agente que nada faz a esse respeito. O critério de imputação pelo risco (seja risco proveito, da atividade ou integral) trata indistintamente "bons e maus" agentes - e, nesse caso, pela ausência de distinção, acaba por não incentivar comportamentos cooperativos de proteção de dados da pessoa humana e incentivar comportamentos estratégicos omissivos em relação à segurança.

Ao se adotar a teoria objetiva especial centrada no ilícito objetivo, por outro lado, dispensa-se, para fins de responsabilização civil, a análise da culpa para se proceder, de maneira objetiva, a verificação quanto à ocorrência ou não de uma falta aos deveres, em especial ao dever geral de segurança com base em padrões técnicos. Tal distinção acaba por se mostrar uma importante ferramenta a estimular os agentes de tratamento a investirem na proteção de dados pessoais. No fim do dia, é preciso refletir sobre o que se está a buscar: uma distopia coletivista, que trata a todos agentes de tratamento de forma indistinta, ou o fortalecimento dos indivíduos através do incentivo às boas práticas de segurança e proteção de dados?

*Rafael Dresch é mestre pela UFRGS em Direito Privado. Doutor em Direito na PUC/RS, com estágio doutoral na University of Edinburgh/UK, Pós-doutor na University of Illinois/US e professor da UFRGS. Sócio-fundador do Coulon, Dresch e Masina Advogados.

**Lílian Brandt Stein é mestranda em Direito na UFRGS e cursa especialização em Direito dos Contratos e Responsabilidade Civil na Unisinos. Bacharel em Direito e em Jornalismo pela Unisinos. Advogada no Neubarth Trindade Advogados.

__________

1 ORWELL, George. A Revolução dos Bichos / George Orwell - Cornélio Procópio, PR: UENP, 2015, 86p. p. 36.

2 CASTELLS, Manuel. A sociedade em rede. 6. ed. São Paulo: Paz e Terra, 2012.

3 BONAVIDES, Paulo. Curso de Direito Constitucional. 15. ed. São Paulo: Malheiros, 2004. p. 563.

4 BOBBIO, Norberto. A era dos direitos. Trad. de Carlos Nelson Coutinho. Rio de Janeiro: Elsevier, 2004. p. 09.

5 BONAVIDES, Paulo. Curso de Direito Constitucional. 15. ed. São Paulo: Malheiros, 2004. p. 571-572.

6 BRANCO, Paulo Gustavo Gonet; COELHO, Inocêncio Mártires; MENDES, Gilmar Ferreira. Curso de direito constitucional. 3. ed. São Paulo: Saraiva, 2008.

7 Vide: DRESCH, Rafael de Freitas Valle. A especial responsabilidade civil na Lei Geral de Proteção de Dados. Migalhas, Ribeirão Preto, 02 jul. 2020. Disponível aqui. Acesso em: 16 nov. 2020.

8 BODIN DE MORAES, Maria Celina. QUEIROZ, João Quinelato de. Autodeterminação informativa e responsabilização proativa: novos instrumentos de tutela da pessoa humana na LGPD. In: Cadernos Adenauer - Proteção de dados pessoais: privacidade versus avanço tecnológico. Rio de Janeiro: Fundação Konrad Adenauer, 2019, ano XX, n. 3, p. 113-135 e; CRUZ, Gisela Sampaio da; MEIRELES, Rose Melo Venceslau. Término do tratamento de dados. In: Lei Geral de Proteção de Dados e suas repercussões no Direito Brasileiro. FRAZÃO, Ana; TEPEDINO, Gustavo; OLIVA, Milena Donato (coord.). São Paulo: Thomson Reuters Brasil, 2019, p. 219-241.

9 DONEDA, Danilo; MENDES, Laura Schertel. Reflexões iniciais sobre a nova Lei Geral de Proteção de Dados. Revista de Direito do Consumidor, v. 120, nov.-dez., 2018, p. 469-483.

10 Vide análise mais detalhada por Rafael Dresch e José Faleiros em: DRESCH, Rafael de Freitas Valle; FALEIROS JUNIOR, José Luiz de Moura. Reflexões sobre a responsabilidade civil na Lei Geral de Proteção de Dados (lei 13.709/2018. In: ROSENVALD, Nelson; WESENDONCK, Tula; DRESCH, Rafael. (Org.). Responsabilidade civil: novos riscos. Indaiatuba: Editora Foco Jurídico Ltda., 2019. p. 65-90.