Por uma escalonada responsabilidade civil dos agentes de tratamento de dados
quinta-feira, 27 de junho de 2024
Atualizado em 26 de junho de 2024 12:03
A questão atinente ao sistema de responsabilidade civil decorrente da LGPD ainda não está clara no ordenamento jurídico brasileiro, motivo de grande divergência doutrinária. A incerteza sobre o sistema de responsabilização, por sua vez, não pode ensejar prejuízos aos titulares de dados, como também não pode ensejar a inviabilidade do exercício profissional de quem exerce suas atividades de forma autônoma.
Neste cenário, a proposta de adoção de um sistema escalonado de responsabilidades, coerente com a realidade brasileira e sustentável frente a disciplina jurídica da responsabilidade civil parece um caminho adequado.
A LGPD ao estabelecer que a proteção de dados pessoais se aplica tanto às pessoas físicas, quanto às jurídicas, não faz distinção em relação à responsabilidade de cada uma delas.
Seja na redação do caput do art. 42, no qual "o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo." Seja no segundo critério de imputação trazido pela LGPD, no parágrafo único do art. 44, quando estabelece que "responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta lei, der causa ao dano". Em nenhum dos dispositivos há referência à modalidade de responsabilidade adotada, muitas interpretações são sustentáveis por esta razão.
De forma objetiva, entende-se que há um novo regime de responsabilidade civil trazido pela LGPD. Isso porque, a noção de responsabilidade não deve se limitar à reparação dos danos, uma vez que a referência legislativa diz respeito a boas práticas e a um dever geral de segurança. Observa-se, assim, a opção legislativa de fomentar a prevenção dos danos a partir de determinados tipos de comportamentos, o que pode ser observado pelos diversos dispositivos que estabelecem condutas para os agentes de tratamento, balizando de forma ética comportamentos e níveis de segurança.
No entanto, o entendimento aqui proposto traz, de forma específica, novas balizas para esta compreensão da responsabilidade civil e delimita sua incidência, distinguindo agentes de grande e pequeno porte.1
Nesta breve e importante consideração sobre o mote legislativo e os rumos pretendidos, de não engessar a responsabilidade civil em sua função reparatória/compensatória, cumpre, ainda assim, enfrentar a polêmica relacionada à natureza jurídica da responsabilidade civil com mais detalhes.
Tal enfrentamento, revela-se imprescindível, haja vista que, quando há violação da norma, exsurge o dever de reparar e, nesse momento, será necessário definir se a responsabilização se fundamentará na culpa ou se ela poderá ser desconsiderada, nos casos em que ocorrer danos aos titulares de dados, em virtude do tratamento. Em uma hipótese ou outra, o desafio persiste, uma vez que a construção dos pressupostos também não se afigura pacífica.
Propõe-se, assim, um sistema escalonado de responsabilidades, que leva em consideração a natureza do agente de tratamento de dados, bem como os diferentes critérios de imputação trazidos pela LGPD, capazes de deflagrar a responsabilidade civil.
Dessa forma, parece desarrazoado defender que a responsabilização de um profissional liberal, por exemplo, ocorra nos mesmos moldes de responsabilização de um grande grupo econômico, ou que as exigências de governança, investimento em tecnologia e segurança da informação para proteção de dados possam ser pensadas nos mesmos parâmetros. Ao menos não é essa a lógica que se extrai do sistema de responsabilidades previsto no ordenamento jurídico brasileiro.
Para apresentar os contornos dessa responsabilidade especial aqui defendida, foram adotados os seguintes critérios de escalonamento:
- Se a hipótese for de violação de norma, nos termos dos arts. 422 e 443 da LGDP, será necessário verificar a natureza jurídica do agente de tratamento de dados, se de grande ou de pequeno porte, para determinar o sistema de responsabilidade civil aplicado a cada um.
- Se, no entanto, o nexo de imputação for a violação do dever geral de segurança, arts. 444e 465 da LGPD, será outro o sistema de responsabilidade. Para alcançar a racionalização dos critérios pretendidos, passa-se à análise de cada um dos sistemas de responsabilidade a partir do escalonamento sugerido.
1.1 Responsabilidade Civil do Agente de Tratamento por Violação da Norma
1.1.1 Quando o Agente de Tratamento é de Grande Porte
A ANPD - Autoridade Nacional de Proteção de Dados, ao estabelecer diretrizes para os agentes de tratamento, define que, quando se trata de uma pessoa jurídica, a organização é o controlador para os fins da LGPD. De modo que esta assume a responsabilidade pelos atos praticados em seu nome, por ser quem estabelece as regras para o tratamento de dados pessoais a serem executadas por seus representantes ou prepostos.6
Indo além, a ANPD publicou a resolução CD/ANPD 02, aprovando o regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte.7 Tal regulamento, de forma bastante objetiva, estabelece critérios para diferenciar agentes de pequeno e grande porte e, consequentemente, a aplicação diferenciada da lei nestas hipóteses.
Muito embora a regulamentação não tenha feito referência expressa à responsabilização civil, entende-se que o tratamento diferenciado proposto pela ANPD para o cumprimento das normas afeta a compreensão e imputação de responsabilidade. De tal sorte que a responsabilidade escalonada, a partir desses critérios, condiz com o escopo normativo trazido pela ANPD e é condizente com as várias funções que a responsabilidade pode e deve assumir.
Assim, para atingir este escopo, entende-se que quando o agente de tratamento de dados é de grande porte8 e comete um dano ao titular dos dados, sua responsabilidade se encontra no âmbito da teoria objetiva, fundada no risco da atividade e, portanto, prescinde de culpa.
A atividade de tratamento de dados é, por excelência, uma atividade que traz riscos de danos para seus titulares, seja em razão de incidente de segurança ou "situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito". 9
A imputação da obrigação objetiva, portanto, decorrerá do risco no tratamento de dados pessoais e servirá como substrato de densidade normativa a ser alcançado pela LGPD, especialmente o art. 42. Assim, poderá justificar a obrigação de indenizar do agente de tratamento, independentemente de culpa.
Essa perspectiva de imputação objetiva com lastro no risco deve considerar, portanto, não apenas a natureza ou o volume das operações, mas o grau de risco10 e a própria qualificação do agente de tratamento.
1.1.2 Quando o Agente de Tratamento é de Pequeno Porte
Noutro giro, há que se verificar a tormentosa situação do profissional liberal quando atua como agente de tratamento.
Assim, quando há violação da norma por parte de um profissional liberal que atua como controlador, causando dano ao seu cliente, a responsabilização deve ser lastreada na culpa e, portanto, em sua configuração subjetiva.
O raciocínio aqui empregado se pauta no fundamento de que, se até quando incide o CDC (que tem como regra a teoria objetiva) os danos causados por profissionais liberais enquadram-se no sistema de responsabilidade subjetiva, com mais razão de ser, demanda-se culpa quando se está fora do CDC. Assim, os profissionais liberais, ainda que não estejam em uma relação de consumo respondem subjetivamente.
Ademais, ainda que o intérprete não se convença da necessidade de demonstrar culpa para responsabilizar o profissional liberal, utilizando a lógica do CDC, a interpretação dada em recente regulamento sobre a flexibilização das normas de proteção de dados para agentes de tratamento de pequeno porte, indica a necessidade de aplicação de um sistema diferenciado de responsabilidade civil.
A insistência pela manutenção do elemento culpa visa a minimizar uma desproporcional medida de responsabilização para o agente de tratamento de pequeno porte, que faz o tratamento de dados de forma artesanal, que não manipula muitos dados, que não tem capacidade econômica para fazer todos os investimentos de segurança trazidos pela legislação e que também não teria condições de arcar com indenização oriunda de imputação objetiva, na maior parte dos casos.
A conformação da responsabilidade civil subjetiva, nos termos apresentados, revela-se condizente com a proteção dos dados pessoais de titulares e, ao mesmo tempo, não inviabiliza a atuação dos profissionais liberais.
1.2 Responsabilidade Civil do Agente de Tratamento por Descumprimento do Dever Geral de Segurança
O último espectro do escalonamento de responsabilidade civil advém da política adotada pela LGPD, que, de forma bastante incisiva, elenca inúmeras medidas a serem seguidas pelos agentes de tratamento na tentativa de inibir práticas que tragam riscos aos titulares de dados.11
Assim, verifica-se que a inobservância de tais práticas acarreta responsabilidade. De tal forma que responderá pelos danos decorrentes da violação da segurança dos dados o agente de tratamento que, ao deixar de adotar as medidas de segurança previstas no art. 46 da LGPD, der causa ao dano.12
Dessa forma, entende-se que a tentativa de coibir condutas que comprometam a segurança dos dados denota uma preocupação do legislador com os riscos potenciais do tratamento de dados, elucidando a função precaucional há muito defendida por Nelson Rosenvald13, que na LGPD pode ser identificada pelo fomento às boas práticas.
Dentro da seara da responsabilidade escalonada proposta, a imputação de responsabilidade, por este último critério, não faz distinção entre agente de tratamento enquanto de grande ou de pequeno porte em relação ao nexo de imputação, que será vinculado ao dever de segurança. Há, todavia, diferença em relação ao nível de segurança a ser perseguido.
Isso porque, os requisitos e exigências de segurança serão mais brandos para os agentes de tratamento de pequeno porte, que poderão estabelecer uma política simplificada de segurança da informação. Tal política deve levar em consideração os custos de implementação, bem como a estrutura, a escala e o volume das operações do agente de tratamento de pequeno porte.14
Portanto, o que se observa é que o regulamento estabelece uma nítida diferença de tratamento e exigências quando se trata de agentes de pequeno porte, até porque não seria razoável tratar de forma igual realidades tão distintas.15
Assim, desapegando do sistema clássico de responsabilidades e acatando a perspectiva de um novo regime trazido por relevante doutrina16, a proposta de responsabilidade escalonada, racionalizada na presente investigação, sugere a imputação objetiva para agentes de tratamento de grande porte, com fundamento na teoria do risco; defende a responsabilidade subjetiva para os agentes de tratamento de pequeno porte, com o aproveitamento das definições trazidas pelo regulamento publicado pela ANPD e, por fim, reforça o entendimento de uma imputação objetiva oriunda da quebra do dever geral de segurança, com as especificações e ressalvas trazidas ao longo do texto.
_________
1 Art. 2º Para efeitos deste regulamento são adotadas as seguintes definições:
I - agentes de tratamento de pequeno porte: microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador. BRASIL. RESOLUÇÃO CD/ANPD Nº 2, DE 27 DE JANEIRO DE 2022. Aprova o Regulamento de aplicação da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de pequeno porte. Disponível em: https://in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-2-de-27-de-janeiro-de-2022-376562019..
2 Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
3 Art. 44. O tratamento de dados pessoais será irregular quando deixar de observar a legislação (...)
4 Art. 44. O tratamento de dados pessoais será irregular quando (...) não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:
I - o modo pelo qual é realizado;
II - o resultado e os riscos que razoavelmente dele se esperam;
III - as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.
Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano.
5 Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
6 AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Brasil, 2022. Versão 2.0. Disponível aqui.
7 BRASIL. RESOLUÇÃO CD/ANPD Nº 2, DE 27 DE JANEIRO DE 2022. Aprova o Regulamento de aplicação da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de pequeno porte. Disponível aqui. Acesso em: 20 jul. 2022.
8 A definição de agentes de grande porte não é feita pelo regulamento, motivo pelo qual sua definição é elaborada por exclusão, a partir da definição do que são agentes de pequeno porte.
9 Artigo 46, LGPD.
10 Art. 4º Para fins deste regulamento, e sem prejuízo do disposto no art. 16, será considerado de alto risco o tratamento de dados pessoais que atender cumulativamente a pelo menos um critério geral e um critério específico, dentre os a seguir indicados:
I - critérios gerais:
a) tratamento de dados pessoais em larga escala; ou
b) tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares;
II - critérios específicos:
a) uso de tecnologias emergentes ou inovadoras;
b) vigilância ou controle de zonas acessíveis ao público;
c) decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou
d) utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.
§ 1º O tratamento de dados pessoais em larga escala será caracterizado quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado.
§ 2º O tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais será caracterizado, dentre outras situações, naquelas em que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade. BRASIL. RESOLUÇÃO CD/ANPD Nº 2, DE 27 DE JANEIRO DE 2022. Aprova o Regulamento de aplicação da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de pequeno porte. Disponível em: https://in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-2-de-27-de-janeiro-de-2022-376562019. Acesso em: 20 jul. 2022.
11 "Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares." Artigo 49 da LGPD.
12 Artigo 44, parágrafo único, da LGPD.
13 ROSENVALD, Nelson. As funções da Responsabilidade Civil: a reparação e a pena civil. 3. ed. São Paulo: Saraiva, 2017.
14 Art. 13. Os agentes de tratamento de pequeno porte podem estabelecer política simplificada de segurança da informação, que contemple requisitos essenciais e necessários para o tratamento de dados pessoais, com o objetivo de protegê-los de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
§ 1º A política simplificada de segurança da informação deve levar em consideração os custos de implementação, bem como a estrutura, a escala e o volume das operações do agente de tratamento de pequeno porte.
15 Art. 12. Os agentes de tratamento de pequeno porte devem adotar medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais, considerando, ainda, o nível de risco à privacidade dos titulares de dados e a realidade do agente de tratamento. BRASIL. RESOLUÇÃO CD/ANPD Nº 2, DE 27 DE JANEIRO DE 2022. Aprova o Regulamento de aplicação da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de pequeno porte.
16 DRESCH, Rafael de Freitas Valle; FALEIROS JÚNIOR, José Luiz de Moura. Reflexões sobre a responsabilidade civil na Lei Geral de Proteção de Dados (Lei nº 13.709/2018). In: ROSENVALD, Nelson; DRESCH, Rafael de Freitas Valle; WESENDONCK, Tula. (Org.). Responsabilidade civil: novos riscos. 1ed.Indaiatuba: Foco, 2019.
