A evolução tecnológica tem aceleração em verdadeira progressão geométrica e isso tem reflexo na quantidade e na velocidade que os dados, inclusive pessoais, transitam digitalmente. É nesse cenário de disseminação massiva de dados que surge um importante ativo econômico no compartilhamento de dados, na medida em que a compilação, organização e análise de dados de acordo com determinados algoritmos permite estabelecer, por exemplo, o comportamento de consumo de uma pessoa ou de um grupo de pessoas e, a partir dessa informação, dirigir propagandas específicas de produtos e serviços.
A exploração dos dados pessoais é realizada desde pelas ferramentas mais populares como Instagram e Facebook, como por empresas especializadas na venda desses dados. É até mesmo intuitivo que os dados pessoais não devam ser explorados indiscriminadamente, sendo necessário que se resguarde o direito fundamental à proteção de dados. É nesse contexto fático-histórico que nascem as legislações reconhecendo o direito à autodeterminação informativa.
Um exemplo internacional que se pode referir é o Regulamento Geral de Proteção de Dados Pessoais da União Europeia, no Brasil, até a promulgação da Lei Geral de Proteção de Dados (Lei Federal n. 13.709/18), a proteção de dados pessoais se efetivava a partir do Marco Civil da Internet, da Lei do Cadastro Positivo e do Código de Defesa do Consumidor.
A Lei Geral de Proteção de Dados (Lei Federal n. 13.709/18) vem promover a proteção da autodeterminação informativa, conferindo maior proteção às informações pessoais, dispondo sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Essa lei trata ainda de uma realidade inescapável, na medida em que nenhum sistema é 100% indevassável, todos possuem algum grau de vulnerabilidade: o vazamento de dados. Ataques hackers contra empresas ocorrem diariamente, e por mais que se invista em cibersegurança, invasões podem ocorrer. É assente na doutrina especializada que não existe segurança absoluta em sistemas informáticos, até mesmo porque a tecnologia de invasões evolui mais rápido que a tecnologia para defesa desses incidentes, sendo inúmeros os exemplos dessa realidade.
A LGPD revolucionou o tratamento de dados no Brasil, forçando empresas, escritórios, condomínios etc. a adotarem diversas medidas de adequação à nova legislação, o que incluiu, dentre outros atos, mapeamento das bases jurídicas consideradas para o tratamento de dados pessoais, elaboração de normas e políticas adequadas à Lei Geral de Proteção de Dados Pessoais, revisão e adaptação de contratos, formulários, procedimentos. Mais do que isso, a LGPD impulsionou melhorias de mecanismos internos de supervisão e de mitigação de riscos pelos agentes de tratamento de dados.
Todavia, o legislador não foi insensível a realidade da inexistência de segurança absoluta de sistemas, excluindo a responsabilidade civil dos responsáveis pelo tratamento dos dados quando estes adotam medidas tecnológicas, proporcionais ao estado da tecnologia, que minimizem os riscos de acesso não autorizado ou de perda dos dados dos titulares ou quando o vazamento for resultado de ato exclusivo de terceiro. O que, em alguma medida dialoga com o que já havia disposto no Código de Defesa do Consumidor, na parte que, ao conceituar o que seria um serviço é defeituoso, dispõe que devem ser consideras circunstâncias como o modo de seu fornecimento, o resultado e os riscos que razoavelmente dele se esperam e a época em que foi fornecido, além de trazer a figura da culpa de terceiro.
Inobstante seja a LGPD um marco revolucionário na proteção dos titulares de dados pessoais, ou, nas palavras do Superior Tribunal de Justiça , “marco histórico na regulamentação sobre o tratamento de dados pessoais no Brasil”, não é incomum o Poder Judiciário socorrer-se do Código de Defesa do Consumidor para questões versando sobre tratamento e vazamento de dados, ainda que faça referência nas decisões aos artigos da LGPD que disciplinam a responsabilidade e o ressarcimento de danos pelo controlador ou pelo operador que, em razão do exercício de atividade de tratamento de dados pessoais, causa a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais.
Isso pode ser explicado, em parte, pela diferença de tempo de vigência entre a LGPD, que iniciou sua vigência recentemente, em setembro de 2020, e o Código de Defesa do Consumidor, que completou este mês 32 anos de vigência.
Entretanto, a aplicação da LGPD e do CDC não deve ser simultânea naquilo em que há colidência, de forma que a escolha da legislação aplicável – LGPD – deve ser resolvida à luz dos princípios da especialidade e da anterioridade. Nessa ordem de ideias, é de se consignar que a LGPD regula especificamente os casos em que o agente de tratamento de dados, em razão do exercício de atividade de tratamento de dados pessoais, causar dano material ou moral, e é a LGPD específica também ao disciplinar as excludentes de responsabilidade.
O Código de Defesa do Consumidor contém no §1º do seu art. 14 as circunstâncias relevantes para se considerar se um serviço é ou não defeituoso, entretanto, é a LGPD que contém normatização específica para a verificação da responsabilidade do agente de tratamento de dados por vazamento ocorrido deve ser ela a legislação aplicável a essas hipóteses de vazamento de dados, trazendo qual a conduta esperada na relação das empresas com os titulares de dados: a adoção, pelo fornecedor, da tecnologia disponível no mercado que seja apta (proporcional ao estado da tecnologia) a minimizar os riscos de incidentes de segurança e a observância da regulamentação existente.
É de se esclarecer que não se trata de negar a aplicação do CDC a diversas questões que possam surgir do tratamento dos dados, entretanto, especificamente em relação à análise da responsabilidade por incidente de vazamento de dados, a verificação se o vazamento terá ou não constituído um defeito na prestação do serviço deve ser realizada à luz da LGPD, aferindo-se, nos termos dos incisos do art. 44 da LGPD, (a) a adoção, pelo fornecedor, da tecnologia disponível no mercado apta a evitar incidentes de segurança, e (b) a observância da regulamentação existente.
Portanto, conclui-se que a aplicação da LGPD e do CDC não deve ser simultânea naquilo em que há colidência, de forma que a escolha da legislação aplicável deve ser resolvida à luz dos princípios da especialidade e da anterioridade, e, nesse passo, inegável que as questões envolvendo vazamento de dados pessoais deve ser solucionada à luz da LGPD.
Autor: Alexandre Wider é sócio da SiqueiraCastro Advogados. Graduou-se pela Universidade Santa Úrsula, Pós-Graduação em Direito Empresarial pelo IBMEC e Mestrado em Ciências Jurídicas Empresariais pela Faculdade de Direito da Universidade de Lisboa. Experiência de mais de 20 anos na advocacia contenciosa empresarial.