Vinícius Bechtlufft Rezende*
Quando se trata da análise do regime da responsabilidade civil, recentes decisões dos tribunais têm pendido a “balança” do Poder Judiciário para o lado da responsabilidade subjetiva. Como a ementa a seguir citada a título ilustrativo:
“Ementa. Apelação. Responsabilidade civil. Prestação de serviços. Energia elétrica. Vazamento de dados do sistema da prestadora do serviço. Ação de reparação por danos morais. Sentença de improcedência. Invasão de sistema da concessionária. Responsabilidade objetiva da empresa no tratamento de dados (art. 42 da LGPD). Falha na prestação de serviços (art. 14 do CDC). Dados que não se relacionam à intimidade e não envolve dado pessoal sensível (art. 5º, II, da LGPD). Dados básicos informados com frequência em diversas situações, muitos constantes em simples folha de cheque. Ausente utilização dos dados vazados e efetivo dano. Impossibilidade de indenizar expectativa de dano. Sentença mantida. Honorários majorados. RECURSO DESPROVIDO.” (TJSP; Apelação Cível 1024481-61.2020.8.26.0405; Relator (a): L. G. Costa Wagner; Órgão Julgador: 34ª Câmara de Direito Privado; Foro de Osasco – 8ª Vara Cível; Data do Julgamento: 23/08/2021; Data de Registro: 29/08/2021)
Entretanto, dentre as decisões sobre a matéria, destacou-se o ineditismo do acórdão a seguir por adotar uma tese mais técnica e específica aos casos envolvendo proteção de dados pessoais, fazendo, inclusive, a distinção entre os regimes de acordo com a natureza das informações vazadas (sensíveis ou não sensíveis).
Responsabilidade civil por incidente de vazamento
Referimo-nos ao Acórdão da 27ª Câmara de Direito Privado do TJ/SP, que apreciou a Apelação Cível nº 1008308-35.2020.8.26.0704, que trouxe à baila um novo entendimento doutrinário sobre a questão envolvendo a responsabilidade civil por incidente de vazamento de dados pessoais.
O Autor (titular de dados) ingressou em Juízo para reclamar quanto à exposição de seus dados (nome completo, números de RG, CPF, e-mail e telefone), decorrente de incidente de segurança e, a partir daí, o recebimento de mensagens de propaganda via celular e e-mail, bem como a violação de sua intimidade.
O Autor sustentou que, em razão do incidente, seus dados foram “compartilhados” indevidamente com terceiros, provocando constrangimentos, o que justificaria a condenação em danos morais, nos termos do artigo 42, da Lei nº 13.709/18 (LGPD).
Responsabilidade ativa ou proativa
O relator reconheceu que o incidente ocorreu e foi, inclusive, amplamente noticiado pela imprensa, mas afirmou que o regime de responsabilidade civil previsto na LGPD, conforme a doutrina mais moderna, não se trata da simples aplicação das regras da responsabilidade subjetiva ou objetiva, mas sim da responsabilidade ativa ou proativa, hipótese em que não é suficiente o cumprimento dos dispositivos legais, mas é necessário a demonstração da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, a eficácia dessas medidas.
Essa obrigação de comprovar a adoção de medidas eficazes está prevista nos artigos 46 e no §1º, do artigo 48, da LGPD, para os casos de incidentes de cibersegurança e também no artigo 50, que trata das boas práticas e governança.
“Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.”
A Câmara entendeu que a LGPD estabeleceu um “regime especialíssimo”, em que o legislador foi além de simplesmente punir o responsável pela exposição dos dados pessoais, mas também imputou o dever de prevenir e evitar a ocorrência desses prejuízos (inciso VII, do artigo 6º).
A doutrina denomina de responsabilidade ativa ou proativa, a prevista no inciso X, do artigo 6º, que traz, além dos elementos comuns, a obrigação de prestação de contas:
✓ violação à LGPD;
✓ dano;
✓ nexo causal;
✓ prestação de contas (X, do artigo 6º, da LGPD).
Adoção de medidas eficazes de proteção
Em linhas gerais, prevê que o dano seja resultante de violação da LGPD e que tenha sido causado por um agente de tratamento dos dados, bem como demonstra a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, a eficácia dessas medidas, para então surgir a obrigação de ressarcir a parte lesada.
“Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
(…)
X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.“
Incidentes envolvendo dados sensíveis
Com relação aos incidentes envolvendo dados sensíveis, o entendimento é que nestes casos, a responsabilidade será objetiva (dano moral in re ipsa), em virtude da sua natureza e do seu maior potencial ofensivo.
A sentença foi parcialmente reformada apenas para condenar a empresa a apresentar a lista de entidades públicas e privadas com as quais compartilhou os dados pessoais, conforme o art. 18, VII, da LGPD, devendo ainda fornecer declaração completa que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, assim como a cópia exata de todos os dados referentes ao titular constantes em seus bancos de dados, conforme o art. 19, II, da LGPD, no prazo de 30 dias, sob pena de multa diária de R$500,00, inicialmente limitada em R$5.000,00.
Finalmente, o Acórdão esclarece que o artigo 45, da Lei nº 13.709/18, determina que a responsabilidade civil do controlador ou operador de dados pessoais no âmbito das relações de consumo será objetivo, quando violada qualquer disposição da própria LGPD ou de quaisquer garantias de proteção de dados pessoais nas relações de consumo contidas nos artigos 43 a 44 do CDC.
Existem outros regimes de responsabilidade aplicáveis à LGPD?
Sim, mas esse é um assunto que gera muita discussão e divergência a respeito da proteção de dados pessoais entre os especialistas.
A seguir, destacamos outros entendimentos aceitos pela doutrina acerca do regime de responsabilidade civil.
1º entendimento
A LGPD não dispõe expressamente, mas diversos professores entendem que o regime de responsabilidade é objetiva (Caitlin, Danilo Doneda, Rodrigo Gomes).
É dentro dessa linha de raciocínio, que surgiu a responsabilidade civil ativa ou proativa, na qual se exige dos agentes de tratamento de dados a adoção de uma postura que tutele a prevenção de danos, sendo a obrigação de indenizar medida excepcional a ser tomada. A coleta e o processamento das informações devem ser precedidas de medidas rigorosas e eficazes de proteção, especialmente em relação aos dados sensíveis, núcleo duro da dignidade humana (PEC nº 17/2019).
Outro argumento que contribui para a interpretação de que o regime de responsabilidade da LGPD é objetivo é o parecer final da Comissão Especial ao Projeto de Lei nº 4060/2012 (PL da LGPD), aprovado pelo Congresso Nacional, que expressamente se manifestou no sentido de “A atividade de tratamento de dados pessoais constitui atividade de risco, que atrai a incidência da responsabilidade objetiva ao agente de tratamento de dados…”
2º entendimento
Outra corrente defende que a responsabilidade é subjetiva (2º entendimento).
3º entendimento
Viviane Nóbrega Maldonado e Renato Opice Blum, no livro “Lei Geral de Proteção de Dados Comentada” defendem uma posição intermediária “… é possível sustentar que a regra geral da LGPD é a responsabilidade civil subjetiva, na qual o elemento da culpa deverá ser demonstrado, admitida, em algumas hipóteses específicas, a responsabilidade civil objetiva, de acordo com a natureza da atividade de tratamento de dados pessoais, que realmente possa se enquadrar como atividade de risco.”
Conclusão:
Conforme os casos forem sendo julgados pelos Tribunais, teremos um posicionamento mais preciso sobre o entendimento que será o predominante em nossa jurisprudência.
Ainda é muito cedo para saber se a jurisprudência seguirá essa linha ao tratar da matéria de proteção de dados pessoais ou se ficará com as tradicionais já conhecidas.
Entretanto, essa nova modalidade de regime de responsabilização é um meio termo interessante ao adotar critérios mais específicos (tecnológicos) com base na LGPD, ao mesmo tempo em que limita possíveis condenações em danos morais por incidentes envolvendo cibersegurança (previne o surgimento da indústria do dano moral “digital”).
Por outro lado, reforça a importância de as empresas adotarem as medidas necessárias para a adequação à lei, como forma de prevenção de sofrerem sanções, não só administrativas, por parte da ANPD, mas também evitarem condenações no âmbito do Poder Judiciário.
Referências
- MORAES, Maria Celina Bodin de; QUEIROZ, João Quinelato de. “Autodeterminação informativa e responsabilização proativa: novos instrumentos de tutela da pessoa humana na LGDP”. IN: Cadernos Adenauer, volume 3, Ano XX, 2019. Proteção de dados pessoais: privacidade versus avanço tecnológico. Rio de Janeiro, Fundação Konrad Adenauer, outubro de 2019, pp. 113-136;
- MALDONADO, Viviane Nóbrega e BLUM, Renato Opice. “LGPD – Lei Geral de Proteção de Dados Pessoais Comentada 4º Edição”. Rio de Janeiro: Revista dos Tribunais.
Leia outros artigos do autor:
A Regulamentação dos “Dados Públicos”, segundo a LGPD
A Coleta de Dados “Online” e Uso de Dados de Saúde
Vinícius Bechtlufft Rezende: Advogado especializado em Direito Digital e Encarregado de Dados Pessoais com certificação CDPO/BR (LGPD + CIPM) pelo IAPP, GDPR pela University of Groningen; Cibersegurança pela CISCO Networking Academy, Compliance pela FGV e docente convidado na área de proteção de dados pessoais pela UNIFEI/MG.
