Após a vigência da Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018), o Poder Judiciário tem sido instado a se manifestar sobre questões relacionadas a incidentes de segurança, tanto na esfera individual como coletiva, o que vem despertando cada vez mais a atenção de todos no campo da proteção de dados, especialmente no que tange a responsabilidade civil dos agentes de tratamento (Controlador e Operador) em caso de vazamento de dados pessoais, seja dos seus clientes ou colaboradores internos.
Para entender melhor o tema, partimos de breve análise à luz da LGPD. Inicialmente, importante mencionar que a responsabilidade civil pode ser subjetiva, ou seja, quando há necessidade de se provar o dano, nexo causal entre a conduta e a lesão, e a culpa do agente causador do dano (se houve culpa ou dolo). Por outro lado, há a responsabilidade objetiva (essa é a regra nas relações de consumo, por exemplo), onde basta a prova do dano e do nexo causal, ou seja, nesta haverá a obrigação de reparar o dano independentemente da avaliação de culpa quando sua atividade implicar, por sua natureza e risco para os direitos de outrem.
Após entendermos as definições de responsabilidade civil, ficar mais claro na LGPD, interpretar qual a ideia do legislador com relação a essa mesma responsabilidade na ocasião de haver incidente de segurança (vazamento de dados pessoais) pelo controlador (agente responsável por tomar as principais decisões referentes ao tratamento de dados pessoais e por definir a finalidade deste tratamento), ou por meio do operador (pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador).
Nos termos do artigo 42 da LGPD (Lei 13.709/2018), tanto o controlador quanto o operador de dados pessoais, no exercício da atividade de tratamento de dados pessoais, têm a obrigação de reparação em caso de dano patrimonial, moral, individual ou coletivo.
Muito embora esta responsabilidade de reparação de danos e ressarcimento esteja expressa de forma ampla, há de se mencionar duas situações distintas para análise da responsabilidade destacada no artigo.
Não há que se confundir a aplicação das sanções de multa estabelecida na lei com os danos causados aos titulares dos dados pessoais, pois, em relação às sanções, estamos na seara do direito administrativo, e para isso, basta a própria existência do incidente de segurança, ou seja, nesse aspecto a responsabilidade do controlador é objetiva, se houve o incidente há responsabilidade e sanção, após observância do procedimento administrativo e análise de parâmetros e critérios de cálculo, de acordo com as peculiaridades do caso concreto.
No que tange, ao dever de indenizar o(s) titular(es) dos dados pessoais, muito embora haja posições doutrinárias tanto pela responsabilidade objetiva quanto à subjetiva, o Poder Judiciário vem proferindo decisões em ambos os sentidos, sendo naquela, uma das primeiras decisões envolvendo titular de dados pessoais e uma construtora, e neste, decisão entre um titular de dados pessoais e uma Cia de Energia Elétrica.
Dessa forma, não podemos afirmar que na esfera da responsabilidade civil em relação aos titulares de dados pessoais, a LGPD adotou a teoria do risco (adotada nas relações de consumo, por exemplo), porém, uma coisa é certa, que, independentemente da teoria adotada pelo Poder Judiciário em relação à responsabilidade civil entre os agentes de tratamento, ganha importância uma governança de segurança e privacidade de dados dentro das empresas, com políticas e mecanismos internos de prevenção e mitigação de riscos, independente do tipo de agente (controlador ou operador), ou formas de tratamento de dados pessoais.
Por fim, quando se tratar de relações de consumo, a conjugação de normas protetivas dos titulares de dados pessoais (LGPD e Código de Defesa do Consumidor), a análise da responsabilidade civil, bem como as definições de agentes de tratamento e fornecedor de produtos e serviços, causará ainda mais celeuma, considerando ainda que, tanto dados pessoais, como o Direito do Consumidor são constitucionalmente protegidos e, como já pontuado acima, neste caso é expresso do texto consumerista a responsabilidade objetiva (CDC art. 12 e 14).
Erick Medeiros
Especialista em Direito Digital e Proteção de Dados pela Escola Brasileira de Direito e Direito Antitruste
erickmedeiros@jbmlaw.com.br