Texto de autoria de Rafael Dresch
– Oh, maravilha! – dizia ele, e seus olhos luziam, a fisionomia estava iluminada por um rubor vivo.
– Como há aqui seres encantadores! Como é bela a humanidade! (…) “Oh, admirável mundo novo!” – repetiu – “Oh, admirável mundo novo, que encerra criaturas tais!”
Partamos em seguida1
No admirável mundo novo dos dados e da tecnologia, surgem novos fenômenos que demandam novos conceitos. Mesmo sem a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), se estabeleceu nos meios jurídicos um debate sobre o regime da responsabilidade civil adotado na novel disciplina protetiva dos dados pessoais. Alguns juristas afirmam que a responsabilidade civil nesse contexto é subjetiva, vez que atrelada à análise da culpa dos agentes de tratamento (controlador e operador) por eventuais danos causados aos titulares dos dados pessoais2. Contudo, outros entendem que a responsabilidade civil na LGPD adotou uma forma objetiva destinada à distribuição dos riscos inerentes à atividade de tratamento de dados3.
A LGPD, entretanto, não adota o risco como critério de imputação da responsabilidade civil e, tampouco, a culpa pode ser compreendida como elemento adequado de imputação na LGPD. Critério novo, diverso e especial é determinado4.
O art. 42 da LGPD estabelece que o agente de tratamento que, na realização do tratamento de dados pessoais, causar dano a outrem, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. Não basta, por conseguinte, o desenvolvimento da atividade de tratamento causadora de um dano para se configurar a responsabilidade civil dos agentes de tratamento, pois essa responsabilidade pode ser atribuída tão-somente quando o tratamento for considerado violador da legislação de proteção aos dados pessoais, ou seja, quando for ilícito. Frente à exigência do ilícito, também resta descartada uma responsabilidade civil objetiva centrada no risco como critério de imputação, seja qual risco for, da atividade, proveito, criado ou profissional.
Qual seria, então, a forma da responsabilidade civil na LGPD?
Para alcançar a resposta é preciso voltar ao primeiro passo no caminho da interpretação e analisar o enunciado normativo interpretado. O texto do artigo 42 apresenta os seguintes elementos necessários para a responsabilização civil dos agentes de tratamento: i) realização do tratamento; ii) violação à legislação de proteção de dados pessoais; iii) nexo de causalidade e; iv) dano a outrem. O art. 43 da LGPD, ainda, define que não haverá responsabilidade civil dos agentes de tratamento quando demonstrado que: i) não foi realizado o tratamento; ii) não houve ilícito ou; iii) o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros.
Ademais, a fundamentação da responsabilidade civil na LGPD tem como enunciado normativo chave o do seu artigo 44 que define um dever geral de segurança aos agentes de tratamento, cuja violação geradora de danos a outrem ensejará a responsabilização civil.
Nesse contexto, a violação à legislação de proteção de dados pessoais (elemento essencial para a imputação da responsabilidade civil dos agentes de tratamento) pode ocorrer através de ilícitos específicos, caracterizados pela contrariedade a deveres expressamente estabelecidos em lei para o tratamento de dados, mas também por uma forma de ilícito geral, própria desse sistema protetivo.
O ilícito geral na LGPD pode ser compreendido pela falta ao dever de segurança em termos similares aos da disciplina jurídica do Código de Defesa do Consumidor (CDC) para a responsabilidade civil pelo fato do serviço. No direito do consumidor o dever geral de segurança está fundado no elemento defeito, pois o produto ou serviço é considerado defeituoso e, assim, ensejador da responsabilidade civil do fornecedor, quando não oferece a segurança que legitimamente se pode esperar. Do mesmo modo, mantendo a coerência sistemática, o tratamento irregular previsto no art. 44 da LGPD ocorre quando da quebra de legítimas expectativas quanto à segurança dos processos de tratamento de dados. Poderia se falar, por conseguinte, de um defeito no tratamento de dados pessoais ou, caso se queira manter a nomenclatura da própria LGPD, de um tratamento irregular. O mais relevante é perceber que além dos ilícitos específicos, o sistema estabeleceu uma forma de ilícito geral própria do sistema de proteção de dados pessoais, fundamentada na responsabilidade civil do agente que realizar um tratamento irregular (ilícito), seja por violar algum dever específico imposto pela legislação, seja por violar o dever geral de segurança no tratamento de dados pessoais.
Assim, ainda que se reconheça que a falta ao dever de segurança se aproxima da análise da culpa em sentido estrito – entendida como falta ao dever de cuidado5 – é necessário concluir que o regime de responsabilidade civil centrado no ilícito geral decorrente de um tratamento irregular define uma responsabilidade objetiva especial. A avaliação do cumprimento ao dever geral de segurança conforme o que legitimamente é possível esperar do agente na realização do tratamento dos dados pessoais, acaba por exigir uma análise objetiva que parta de padrões – standards – de conduta como critério para se avaliar objetivamente se o tratamento forneceu a segurança esperada ou foi irregular (defeituoso) pela falta ao dever de segurança. Também a análise da boa-fé objetiva, nessa linha, se mostra relevante na comparação objetiva dos padrões de segurança com as condutas de tratamento realizadas por controlador e operador.
Pela existência desse dever geral de segurança imposto no art. 44 citado, as medidas de compliance, a comprovação de boas práticas e as certificações são, igualmente, elementos relevantes no âmbito da análise da responsabilidade civil na LGPD. A Autoridade Nacional de Proteção de Dados terá, portanto, um papel destacado ao fixar os níveis de segurança, seja diretamente, através do poder normativo do agente regulador ou, indiretamente, através da possibilidade de delegar essa determinação dos padrões de segurança à autorregulação dos diversos setores do mercado.
Frente às breves considerações acima traçadas, buscando evitar a distopia de sociedades coletivistas como a da ficção de Huxley e preservar a correlação entre autodeterminação e responsabilidade, cumpre encerrar essa breve incursão no mundo novo dos dados e da tecnologia com as seguintes conclusões: i) havendo tratamento de dados pessoais, apenas quando o tratamento for ilícito (específico ou geral pela falta na segurança) e causar dano a outrem (titular dos dados ou terceiro), surge a responsabilidade civil do agente de tratamento e; ii) a responsabilidade civil, nesses termos, não adota a forma da responsabilidade civil subjetiva centrada na culpa, nem a forma da responsabilidade civil objetiva centrada no risco, mas uma nova e especial forma de responsabilidade civil objetiva, centrada na garantia da segurança no tratamento de dados pessoais.
*Rafael Dresch é mestre pela UFRGS em Direito Privado. Doutor em Direito na PUC/RS, com estágio doutoral na University of Edinburgh/UK e professor Adjunto na UFRGS.
__________
1 HUXLEY, Aldous (2001). Admirável Mundo Novo. Trad. Lino Vallandro e Vidal Serrano. São Paulo: Ed. Globo, p. 178.
2 Vide: BODIN DE MORAES, Maria Celina. QUEIROZ, João Quinelato de. Autodeterminação informativa e responsabilização proativa: novos instrumentos de tutela da pessoa humana na LGPD. In: Cadernos Adenauer – Proteção de dados pessoais: privacidade versus avanço tecnológico. Rio de Janeiro: Fundação Konrad Adenauer, 2019, ano XX, n. 3, p. 113-135 e; CRUZ, Gisela Sampaio da; MEIRELES, Rose Melo Venceslau. Término do tratamento de dados. In: Lei Geral de Proteção de Dados e suas repercussões no Direito Brasileiro. FRAZÃO, Ana; TEPEDINO, Gustavo; OLIVA, Milena Donato (coord.). São Paulo: Thomson Reuters Brasil, 2019, p. 219-241.
3 Nesse sentido: DONEDA, Danilo; MENDES, Laura Schertel. Reflexões iniciais sobre a nova Lei Geral de Proteção de Dados. Revista de Direito do Consumidor, v. 120, nov.-dez., 2018, p. 469-483.
4 Vide análise mais detalhada por Rafael Dresch e José Faleiros no seguinte artigo: DRESCH, R. F. V.; FALEIROS JUNIOR, J. L. M. REFLEXÕES SOBRE A RESPONSABILIDADE CIVIL NA LEI GERAL DE PROTEÇÃO DE DADOS (LEI Nº 13.709/2018). In: ROSENVALD, Nelson; WESENDONCK, Tula; DRESCH, Rafael. (Org.). RESPONSABILIDADE CIVIL NOVOS RISCOS. 1ed.Indaiatuba – SP: Editora Foco Jurídico Ltda., 2019, v. 1, p. 65-90.
5 “A culpa consiste na ligação, no nexo causal, psicofísico, entre o fato externo, contrário a direito, ou não e o sujeito. Supõe-se, como essencial a voluntas, o ter-se querido, ou o ter-se procedido sem o cuidado necessário, para que o fato não se desse”. (PONTES DE MIRANDA. Tratado de direito privado. 3. ed. Rio de Janeiro, 1972. v. 53: Parte Especial. P. 48).
__________
Esta coluna é exclusivamente produzida pelos associados do IBERC (Instituto Brasileiro de Estudos de Responsabilidade Civil).