Autor: Cosme Nunes dos Santos Junior. Bacharel em Direito pela Faculdade Evolução Alto Oeste Potiguar (18/02/2022). Pós-graduando em Direito Tributário e em Direito previdenciário pela Faculdade Descomplica.
Orientador (a): Camila Vanessa de Queiroz Vidal. Mestra em Ciências Sociais e Humanas. Pós-graduada em Direito Administrativo pela Universidade Cândido Mendes e em Direito Tributário, Trabalhista e Previdenciário pela Faculdade Ateneu – FATE (CE). Bacharel em Direito pela Universidade Potiguar – Natal/RN (2013).
Resumo: A Lei Geral de Proteção de Dados (LGPD) nasceu com uma omissão legislativa, pois não identificou a modalidade de responsabilidade civil aplicável aos agentes de tratamento de dados pessoais. Por isso, esta pesquisa questiona sobre qual é o sistema de responsabilidade adotado pela LGPD brasileira em relação a esses agentes de tratamento. Assim, servindo-se do método indutivo e de abordagem qualitativa, a pesquisa dedicou-se a revelar diversos ângulos sobre a responsabilidade civil na lei. Por meio de revisão bibliográfica foi possível verificar a existência de correntes doutrinárias que entendem que a LGPD adota a teoria subjetiva. Já outros doutrinadores entendem que a teoria é objetiva. Por fim, outros argumentam ser dualista e outros são avessos às três anteriores. A partir do exame dos argumentos utilizados, concluiu-se que aqueles que defendem a teoria subjetiva se fundam em argumentos mais sólidos, já que a lógica da responsabilidade objetiva não é a criação de obrigações.
Palavras-chave: Culpa. LGPD. Teoria subjetiva. Teoria objetiva.
ABSTRACT: The General Data Protection Law (LGPD) was born with a legislative omission, as it did not identify the type of civil liability applicable to agents processing personal data. Therefore, this research questions what is the responsibility system adopted by the Brazilian LGPD in relation to these treatment agents. Thus, using the inductive method and qualitative approach, the research was dedicated to revealing different angles on civil liability in law. Through a literature review, it was possible to verify the existence of doctrinal currents that understand that the LGPD adopts the subjective theory. Other scholars, on the other hand, understand that theory is objective. Finally, others argue that it is dualist and others are averse to the three above. From the examination of the arguments used, it was concluded that those who defend the subjective theory are based on more solid arguments, since the logic of objective responsibility is not the creation of obligations.
Keywords: Fault. LGPD. Subjective theory. Objective theory.
Sumário: Introdução. 1. Responsabilidade civil no direito brasileiro. 1.1 Aspectos gerais sobre a responsabilidade civil. 1.2 Culpa como elemento diferenciador das responsabilidades subjetiva e objetiva. 2. Noções gerais sobre responsabilidade civil no tratamento dos dados pessoais. 2.1 Arcabouço Normativo Anterior à LGPD em Matéria de Responsabilidade Civil. 2.2 Da Responsabilidade e do Ressarcimento de Danos na LGPD. 3. Interpretação doutrinária da responsabilidade civil no âmbito do tratamento dos dados pessoais. 3.1 Corrente Subjetivista. 3.2 Corrente Objetivista. 3.3 Outras Correntes. Conclusão. Referências.
INTRODUÇÃO
Os constantes avanços tecnológicos propiciam um desenfreado aumento no tratamento de dados pessoais por parte das pessoas jurídicas, o que vem acompanhado por uma série de problemas e incertezas sobre como tutelar, de modo mais eficiente, o direito à privacidade.
Diante dessas incertezas, o legislador nacional editou a lei n.º 13.709/2018, conhecida como Lei Geral de Proteção de Dados (LGPD), que trouxe uma série de princípios e regras que norteiam as atividades de tratamento de dados no Brasil.
Ocorre que, em matéria de responsabilidade civil, a lei não dispõe claramente se é subjetiva ou objetiva a responsabilização do agente de tratamento de dados no caso de inobservância dos pressupostos da LGPD e consequente violação dos direitos dos titulares.
Em decorrência dessa omissão, este artigo enfrentará um relevante debate, propondo a seguinte indagação: qual sistema de responsabilidade civil foi adotado pela Lei Geral de Proteção de Dados brasileira em relação aos agentes de tratamento de dados pessoais?
A pesquisa tem como objetivo central analisar a influência do elemento culpa na responsabilidade civil dos agentes de tratamento de dados. Para esse fim, o trabalho propõe-se a descrever o instituto da responsabilidade civil no Brasil; identificar os dispositivos legais que versam sobre responsabilidade na LGPD; e analisar a divergência doutrinária quanto à interpretação da modalidade de responsabilidade civil aplicável aos agentes de tratamento.
Visando atender aos objetivos propostos, o percurso metodológico adotado se pautou no método indutivo e abordagem qualitativa. Para tanto, utilizou-se a técnica de pesquisa bibliográfica e documental na legislação vigente e na doutrina sobre o tema.
O trabalho desenvolvido possui três seções. A primeira aborda aspectos gerais da responsabilidade civil. Na segunda realizou-se um estudo sobre como o ordenamento jurídico pátrio aplicava o instituto da responsabilidade antes do advento da LGPD, além da abordagem que a lei deu ao tema. A terceira seção trata das correntes doutrinárias de interpretação da responsabilidade civil no âmbito da LGPD. Ao fim, tem-se as conclusões e o referencial.
- RESPONSABILIDADE CIVIL NO DIREITO BRASILEIRO
A matéria de responsabilização civil possui especial relevância no mundo fenomênico, já que ela se constitui na aplicação de medidas que obriguem uma pessoa a reparar danos causados a terceiros, em razão de algum ato por ele praticado (DINIZ, 2002).
Assim, tendo em vista a importância desse tema, se mostra salutar apresentar suas características, de tal forma que a seção seguinte se predispõe a trabalhar os aspectos gerais sobre responsabilidade, bem como elementos que o compõem.
1.1 Aspectos Gerais Sobre a Responsabilidade Civil
Dispõe o art. 186 do Código Civil que “aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que exclusivamente moral, comete ato ilícito” (BRASIL, 2002). Esse dispositivo, junto com o artigo 927, forma a base da responsabilização civil no Brasil. Da leitura, é possível indicar a existência de quatro elementos que o compõe: conduta, dano, nexo de causalidade e culpa em sentido amplo.
Inicialmente, com relação à conduta, é importante destacar que a ação ou omissão voluntária e antijurídica é pressuposto necessário para a configuração da responsabilidade civil (GAGLIANO; PAMPLONA FILHO, 2012). Tal conduta deve gerar efetivamente um dano, que pode ser definido como a lesão de um interesse jurídico tutelado, causado por ação ou omissão de alguém. Nesse sentido, Dias (1995) definiu o dano como sendo uma lesão a um direito. Logo, não há que se falar em reparação se não houver efetivamente um dano suportado.
É importante salientar, outrossim, que não basta que a conduta antijurídica tenha sido praticada, tampouco que alguém tenha sofrido um dano: é necessário que exista nexo de causalidade conexão entre ambos, de modo que o dano seja originado da conduta humana.
Por fim, em decorrência das características axiomáticas do instituto da responsabilização, a culpa (quarto elemento), será abordado no tópico seguinte, no contexto de diferenciação das responsabilidades objetivas e subjetivas.
1.2 Culpa Como Elemento Diferenciador das Responsabilidades Subjetiva e Objetiva
Superados os aspectos gerais sobre a responsabilidade, chega-se as duas principais teorias sobre o tema no Brasil, qual sejam, a teoria subjetiva e a teoria objetiva: enquanto na modalidade subjetiva o elemento culpa é discutido, na objetiva esse elemento é irrelevante. Desse modo, o cerne da questão é: o que vem ser a culpa?
Na ausência de definição própria no direito privado, a conceituação de culpa se ampara no direito penal, através da teoria normativa da culpabilidade. Assim, por analogia, o direito civil trará culpa em duas vertentes: o dolo e a culpa strictu sensu (SANTOS, 2019).
O dolo, segundo Alvin (1972), é a vontade consciente de violar algum direito ou qualquer meio utilizado intencionalmente para induzir ou manter alguém em erro na prática de um ato jurídico. Já a culpa em sentido estrito é um comportamento antijurídico que não ocorre de modo intencional, mas que viola um direito (ALVIM, 1972). Por isso, a culpa aqui se origina de uma ação ou omissão, a partir de um ato imprudente, negligente ou imperito.
Vejam que a explanação acima coaduna com o que dispõe o artigo 186 do CC/2002, o qual aduz que aquele que agir com dolo, imprudência, negligência ou imperícia cometerá ato ilícito (BRASIL, 2002). Por seu turno, a reparação dos ilícitos civis encontra amparo legal no artigo 927 do CC/2002, o qual determina que aquele que por ato ilícito causar dano a outrem, fica obrigado a repará-lo, devendo a reparação acontecer, inclusive sem existência de culpa, se a lei especial assim definir ou se a atividade desenvolvida, por natureza própria, gerar risco aos direitos de outrem (BRASIL, 2002). Nesse último, estar-se-á analisando a responsabilidade objetiva, que independerá da existência de culpa do agente.
Observa-se, portanto, que somente na responsabilidade subjetiva o elemento culpa é analisado, de modo que a objetiva se funda em uma equação ternária, bastando a existência do fato, nexo e dano para que o agente tenha o dever de indenizar.
Assim, elencada a diferença entre as responsabilidades subjetiva e objetiva, urge a necessidade de entender como o arcabouço normativo brasileiro tratava a matéria de responsabilização antes do advento da LGPD. Por isso, na seção seguinte, predispõe-se a entender os normativos anteriores à LGPD em matéria de responsabilidade, além de analisar a própria lei no que concerne a esse tema.
- NOÇÕES GERAIS SOBRE RESPONSABILIDADE CIVIL NO TRATAMENTO DOS DADOS PESSOAIS
No âmbito da tutela dos direitos à privacidade, a Lei Geral de Proteção de Dados surge para normatizar a (im)possibilidade do tratamento de dados, bem como ratificar a necessidade de reparar os danos causados aos titulares caso haja violações dos seus direitos.
Todavia, a responsabilidade civil no âmbito da privacidade dos dados ainda é um tema que gera debate por parte da doutrina. Assim, para entender de fato como a LGPD se refere ao tema de responsabilização, se mostra conveniente abordar como o arcabouço normativo nacional tratava o tema em momento pretérito a sua publicação.
2.1 Arcabouço Normativo Anterior à LGPD em Matéria de Responsabilidade Civil
Os constantes escândalos de vazamento de dados no mundo evidenciam a necessidade de que cada país possua seu normativo de proteção de dados. O Brasil, verificando essa necessidade, elaborou o que se chama de LGPD. Ocorre que, muito embora o referido normativo tenha inserido, no ordenamento jurídico, um conjunto de regras que legitimam as atividades de tratamento, outras legislações, ainda que de modo indireto, já tratavam sobre o tema.
No plano constitucional, o direito à privacidade dos dados não é tratado diretamente, mas a sua proteção pode ser extraída do artigo 5º, incisos X e XII, da Constituição (BIONI, 2019), que tratam sobre o direito à intimidade e o sigilo das comunicações (BRASIL, 1988).
Infraconstitucionamente, o Código de Defesa do Consumidor (CDC) é a lei que contém as primeiras disposições sobre a regulação da formação dos bancos de dados no Brasil (CARDOSO, 2020), estabelecendo inclusive direitos e garantias para o consumidor em relação às suas informações pessoais presentes em “bancos de dados e cadastros” (BRASIL, 1990).
No tocante aos direitos de proteção de dados, dispõe o código que a informação adequada e clara é um dos direitos básicos dos consumidores, de modo que o eles possuem o direito de saber todas as peculiaridades sobre como seus dados pessoais são tratados (CARDOSO, 2020).
Já no que concerne especificamente ao tema de responsabilidade, é importante consignar que o CDC adota a teoria do risco da atividade, de modo que a responsabilização do fornecedor não depende da comprovação de culpa (BRASIL, 1990).
O Marco Civil (MC) da Internet é outra lei que, estabelecendo princípios, garantias, direitos e deveres para o uso da internet no Brasil (BRASIL, 2014), trouxe alguns dispositivos voltados para a proteção dos dados pessoais, ao dispor que a disciplina do uso da internet no Brasil possui, como um de seus princípios, a sua proteção (BRASIL, 2014). Previu, ainda, a inviolabilidade da vida privada e da intimidade do usuário da internet; a observância do sigilo das comunicações e dos dados pessoais; o não compartilhamento desses dados; e o fornecimento de informações claras e suficientes sobre como os dados pessoais são tratados.
O MC não trouxe qual o regime de responsabilização civil dos provedores, mas previu que o CDC seria aplicável às relações de consumo nas relações que se estabelecessem na internet (BRASIL, 2014), de modo que a responsabilização deles será apurada objetivamente.
A Lei de Acesso à Informação (LAI) é o último dos normativos analisados neste tópico. Aduz a lei que o tratamento de informações pessoais deve ser realizado de modo transparente, observando o respeito à intimidade, vida privada, honra e imagem das pessoas, bem como às liberdades e garantias individuais, em respeito ao que rege a Constituição (BRASIL, 2011).
Assim, apesar de tutelar o direito constitucional à informação, o legislador brasileiro cuidou de explicitar que o tratamento de dados pessoais deve observar os requisitos legais, sob pena de responsabilidade (BRASIL, 2011). Nesse mesmo sentido, determina o art. 34 da LAI, que “[…] órgãos e entidades públicas respondem diretamente pelos danos causados em decorrência da divulgação não autorizada ou utilização indevida de informações sigilosas ou informações pessoais” (BRASIL, 2011).
Sobre a modalidade de responsabilização, o estado da arte doutrinário e jurisprudencial é claro quanto à imputação da teoria objetivista ao Estado na reparação dos danos (GAGLIANO; PAMPLONA FILHO, 2012). Isso não significa que o sistema brasileiro tenha adotado a teoria da integralidade do risco, mas sim do risco administrativo, o qual admite a quebra do nexo causal pela comprovação de uma das excludentes de responsabilidade.
Verifica-se, portanto, que várias são as leis existentes no ordenamento jurídico pátrio que, de uma forma ou de outra, tratam da matéria de proteção de dados. Entretanto, nenhuma delas foi elaborada com o intuito final de tutelar o modus operandi para as atividades de tratamento, de modo que a temática de responsabilização surge de maneira indireta para esse tema. Assim, se mostra salutar abordar, no próximo tópico, a própria LGPD, com enfoque na seção de Responsabilidade e Ressarcimento dos danos.
2.2 Da Responsabilidade e do Ressarcimento de Danos na LGPD
A Lei Geral de Proteção de Dados, muito embora possua um conjunto de princípios e regras que cuidam em desenvolver ações proativas dos agentes nas atividades de tratamento, não seria efetiva se não possuísse um sistema de responsabilização civil apto a tutelar, de maneira concreta, os direitos da vítima e as reparações dos danos porventura praticados (NOVAKOSKI; NASPOLINI, 2020). Por isso, o legislador estabeleceu um conjunto de 5 artigos que visam a explicitar quando os agentes de tratamento seriam efetivamente responsabilizados.
O artigo 42, que inicia a seção da responsabilidade e do ressarcimento de danos, legisla que se em razão do exercício de tratamento de dados, o controlador ou o operador causar dano a outrem, seja patrimonial ou moral, individual ou coletivo, violando a legislação de proteção de dados, fica obrigado a repará-lo (BRASIL, 2018).
O dispositivo acima traz alguns pontos de especial atenção para o leitor. Em primeiro lugar, ao utilizar a conjunção “ou”, o legislador transporta a ideia de alternância na responsabilidade civil entre o controlador e o operador, de modo que os dois seriam responsabilizados somente se atuassem para a conduta lesiva (CAPANEMA, 2020). Logo, em regras gerais, o controlador e operador respondem de maneira individualizada, na medida de suas funções.
Espelhando-se no CDC, a lei estabeleceu a possibilidade de responsabilização solidária dos agentes de tratamento, visando a garantir a efetiva reparação ao titular de dados (BRASIL, 2018). No ponto, a solidariedade ocorrerá quando o operador de dados descumprir as obrigações legais impostas ou não seguir as instruções do controlador e quando houver mais de um controlador envolvido na situação danosa (BRASIL, 2018). Todavia, há a ressalva sobre a possibilidade de que aquele que reparar o dano ao titular tenha direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso (BRASIL, 2018).
A possibilidade de inversão do ônus probatório em favor do titular dos dados, a exemplo do que acontece no Código de Defesa do Consumidor, também é prevista na Lei Geral de Proteção de Dados. Assim, se verossímil for sua alegação da pessoa natural, ou se ele for hipossuficiente, essa inversão poderá ser autorizada (BRASIL, 2018).
Outra questão de atenção, ainda sobre o artigo 42, se refere ao fato dele trazer expressamente o termo “violação à legislação de proteção de dados pessoais”. Aqui, para Capanema (2020), o legislador reconheceu que existe um microssistema de proteção de dados, onde a LGPD se tornou sua base estrutural e outras leis se relacionariam com ela.
Ademais, previu o artigo 44 que o tratamento de dados pessoais será considerado irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes (BRASIL, 2018). Do texto, é possível observar duas hipóteses distintas para que o tratamento de dados seja apontado como ilícito: a primeira é a violação da lei de proteção de dados, ou seja, do microssistema previsto no artigo 42; a segunda seria ausência da promoção, pelos agentes de tratamento, de segurança nas técnicas que devem proteger os dados (ausência de criptografia, por exemplo).
Nesse mesmo sentido, a LGPD evidencia que “responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano” (BRASIL, 2018). É por isso que no tratamento dos dados, os agentes de tratamento devem aplicar medidas de segurança, técnicas e administrativas para proteger os dados pessoais de acessos não autorizados, cuidando ainda da integridade da informação (BRASIL, 2018).
O legislador infraconstitucional também elencou três hipóteses de exclusão de responsabilidade do agente de tratamento, presentes no artigo 43 da LGPD (BRASIL, 2018): a primeira diz respeito ao agente que não realizou o tratamento de dados pessoais que lhe é atribuído; a segunda ocorrerá se o agente, ainda que tenha realizado o tratamento, não tenha violado a legislação protetiva, além de ter observado as normas técnicas adequadas para a segurança da informação; a terceira e última ocorrerá quando se tratar de culpa exclusiva do titular dos dados ou de algum terceiro.
Finalmente, o artigo 45 da LGPD prevê que, na ocorrência de violação dos direitos dos titulares no âmbito das relações de consumo, serão aplicáveis as regras de responsabilidade previstas na legislação pertinente, de modo que a responsabilização será objetiva, por expressa previsão no CDC (BRASIL, 2018).
Mediante o que foi pesquisado e explorado até então, percebe-se que o legislador nacional atribuiu um conjunto de regras de viés reparatório, com intuito de garantir a efetiva indenização na ocorrência de danos. Não obstante a isso, a lei não atribuiu de modo claro se a responsabilidade do causador é apurada de modo objetivo ou não.
Nesse ínterim, a próxima seção cuidará em abordar, de maneira específica, a influência do elemento culpa dentro da LGPD, de modo a delimitar se a responsabilização dos agentes de tratamento será objetiva ou subjetiva com base nos artigos anteriores e naquilo que os estudiosos do ramo afirmam.
- INTERPRETAÇÃO DOUTRINÁRIA DA RESPONSABILIDADE CIVIL NO ÂMBITO DO TRATAMENTO DOS DADOS PESSOAIS
Da análise dos artigos 42 a 45 da LGPD, duas principais correntes relacionadas à natureza da responsabilização civil surgiram: parte dos estudiosos afirmam que é objetiva, outros subjetiva. Como premissa comum, ambas as correntes defendem que a lei possui grave inexatidão em sua terminologia, não sendo clara quanto ao regime de responsabilidade adotado pela norma (CAPANEMA, 2020).
Nesse sentido, tendo em vista esse hiato normativo, a última seção do presente artigo cuidará em analisar as linhas hermenêuticas utilizadas pelos doutrinadores brasileiros para explicar em qual das duas modalidades de responsabilização a LGPD fixou seu alicerce.
3.1 Corrente Subjetivista
Conforme já relatado, a LGPD instituiu uma série de princípios regras a serem observadas pelos agentes de tratamento. Como exemplo, podem ser citados: o artigo 6º, incisos VII, VIII e X da Lei Geral de Proteção de Dados, que tratam do princípio da segurança, prevenção e da Accountability, respectivamente; o capítulo VII da lei, denominado de “Da segurança e das boas práticas”, que estabelecem a necessidade de criação de regras de boas práticas e de governança corporativa que possibilitem o estabelecimento de condições de organização, funcionamento, processos e procedimentos, normas de segurança e padrões tecnológicos para o tratamento dos dados (BRASIL, 2018).
Com base na criação desses deveres, Guedes e Meireles (2019) doutrinam que o legislador adotou a teoria subjetiva na LGPD já que, se a pretensão da lei é responsabilizar os agentes objetivamente, não se mostra lógico criar as obrigações acima, ou responsabilizá-los quando tiverem cumprido perfeitamente todos esses deveres.
Nesse mesmo sentido, Tepedino, Terra e Guedes (2020) argumentam que a responsabilidade objetiva possui outra lógica, onde não cabe discutir o cumprimento de deveres, haja vista ela não decorrer do descumprimento de qualquer dever jurídico. Logo, ao se discutir o cumprimento de qualquer obrigação, o que se analisa é se o agente atuou, ou não, com culpa.
Guedes e Meireles (2019) também argumentam que o artigo 43, inciso II da LGPD, ao estabelecer que o agente de tratamento não será responsabilizado no caso em que vier a observar o standard esperado, atrai a responsabilização subjetiva. Assim, se o agente de tratamento adotar e conseguir provar todas as providências necessárias para tratar dados pessoais, nos termos do artigo 6º, inciso X, não há que se falar em violação ao microssistema de proteção de dados.
Bioni e Dias (2020), de modo semelhante ao que ministra Guedes e Meireles (2019), também advogam no sentido de que a LGPD atribui, em regra, a responsabilidade civil subjetiva aos causadores de dano. Para eles, quando o legislador elaborou o artigo 43, inciso II da lei e optou por simplesmente não reproduzir o que está presente no Código de Defesa do Consumidor, naquilo que se refere às excludentes de responsabilidade, definiu que o microssistema de proteção de dados utiliza da teoria subjetivista.
Somado a isso, a presença de outras seções na lei, que versam sobre boas práticas de governança, relatórios de impacto a proteção de dados entre outras obrigações similares, significa que existem “[…] elementos normativos que, direta ou indiretamente, convergem para que haja um juízo de valor em torno da culpa do lesante” (BIONI; DIAS, 2020, p. 9). Assim, entendem que a responsabilidade do agente de tratamento é subjetiva, ponderando apenas pela modalidade de culpa presumida, conforme leitura do artigo 43 e suas excludentes, bem como a expressa previsão de possibilidade de inversão do ônus probatório no referido diploma legal, em favor do titular dos dados (BRASIL, 2018).
Tasso (2020) também ensina que o dever de indenizar no microssistema de proteção de dados se fundamenta na culpa, ensinando que só existem duas hipóteses para que o agente de tratamento seja responsabilizado objetivamente: a primeira diz respeito às relações de consumo e a segunda hipótese diz respeito à violação da lei por entes públicos.
Para além dos argumentos acima, Tasso (2020) entende que a criação de diversos deveres de cuidado pelos agentes de tratamento são pontos de relevância ao atribuir como subjetiva a responsabilidade civil. Ademais, caso fosse o contrário, o legislador expressamente teria incluída essa menção na lei, conforme fez com o Código de Defesa do Consumidor (Art. 12 e 14) e o próprio Código Civil (Art. 927).
Um último fundamento, comum a todos os doutrinadores acima, diz respeito ao trâmite legislativo da LGPD. Argumentam que a supressão, pelo legislativo, do artigo 35 do Projeto de Lei 5276/2016, que determinava expressamente que os agentes respondiam objetivamente, foi um indicativo de que o legislador optou pela modalidade subjetiva de responsabilidade civil já que nos projetos de lei subsequentes, o termo não foi novamente incluído.
Analisados os argumentos dos que defendem a teoria da responsabilidade subjetiva como teoria aplicável à LGPD, passa-se a verificação daqueles que defendem que a lei possui viés objetivista.
3.2 Corrente Objetivista
A segunda corrente utilizada para explicar a responsabilidade civil dos agentes de tratamento na LGPD é a objetiva. Aqui, os autores defendem que o tratamento de dados, por si só, é uma atividade que gera risco aos direitos do indivíduo, incidindo sobre a hipótese prevista no parágrafo único do artigo 927 do Código Civil.
Inicialmente, Capanema (2020) ensina que o legislador reconhece, em diversos pontos da lei, a hipossuficiência do titular dos dados, possibilitando, inclusive, a inversão do ônus probatório em seu favor. Tal hipossuficiência decorreria do fato da LGPD ser de modalidade objetiva, sendo que a inversão de tal ônus ocorreria devido às dificuldades que o titular de dados teria em produzir provas em um processo reparatório.
Divino e Lima (2020, p. 15) afirmam que “a própria legislação delimitou as hipóteses excludentes de responsabilidade para os atos ilícitos cometidos pelos agentes”, de modo a culpa não é levada em consideração na análise da reparação dos danos. Além disso, defendem que a responsabilidade é objetiva pelo fato de o direito à proteção de dados ser do tipo fundamental, ligado aos direitos de privacidade. Mulholland (2020) também é um doutrinador que utiliza esse último argumento para justificar que a LGPD adota a teoria objetiva de responsabilização.
Mendes e Doneda (2018) defendem que a responsabilidade na LGPD é objetiva pelo fato de entenderem que a atividade de tratamento de dados, por si só, traz um risco aos titulares dos dados.
Por fim, Ferreira e Freitas (2020) aduzem que o titular de dados é a parte mais frágil da relação de tratamento, devendo o controlador e o operador responderem objetivamente pelos dados causados. Além disso, aduzem que o legislador, ao não definir expressamente qual modelo de responsabilidade civil adotado pela LGPD, apenas resolveu fugir da literalidade do texto. Assim, considerando que a lei foi construída a partir da verificação da necessidade de melhor tutelar os direitos dos titulares, em decorrência principalmente dos avanços tecnológicos, e o direito está evoluindo da responsabilidade subjetiva para a teoria do risco, ficaria justificada a opção pelo legislador da aplicação objetiva do instituto de responsabilização civil.
Com isso, é importante mencionar alguns doutrinadores que não se filiam a nenhuma das duas correntes acima mencionada ou que, de alguma forma, trazem a possibilidade de aplicação da teoria subjetiva ou objetiva ao mesmo tempo.
4.3 Outras Correntes
Nesta subseção serão analisados os argumentos de doutrinadores que entendem que a LGPD adotou, simultaneamente, o risco da atividade e a responsabilização subjetiva, e outro que inaugura um novo regime de responsabilidade civil.
Bruno (2019) e Ferreira (2019) ensinam que, no direito brasileiro, a regra de responsabilização civil é a subjetiva, conforme dispõe o caput do artigo 927 do Código Civil. A responsabilidade objetiva só pode ser aplicável por expressa previsão legal, não podendo ser presumida. Nesse ínterim, constatada a omissão legislativa, restaria claro que a opção do Congresso Nacional foi pela opção subjetiva de responsabilização. Todavia, realizam a ressalva de que, no tratamento de dados sensíveis e de crianças e adolescentes, a responsabilização do agente tende a ser apurada de maneira objetiva, haja vista a natureza do tratamento por si só apresentar graves riscos aos titulares.
Schreiber (2020) também adota a concepção dualista de responsabilidade na LGPD, afirmando que não é fácil identificar qual foi o regime de reponsabilidade adotado pela LGPD, uma vez que o artigo 42 não alude, em sua literalidade, a culpa, mas também não fala que a responsabilidade será analisada independentemente dela, como faz o Código de Defesa do Consumidor. Nessa esteira, entende que em um primeiro momento o legislador optou pela responsabilização subjetiva como regra geral. Todavia, no caso de o agente não fornecer a segurança que o titular dos dados espera no tratamento deles, responderá objetivamente pelos danos que vier a causar (SCHREIBER, 2020).
Em síntese, os autores acima mencionados entendem que, apesar da confusão trazida pela redação da LGPD, convivem na mesma dois regimes distintos de responsabilização: a subjetiva e a objetiva, tal qual ocorre com o Código Civil pátrio. Assim, o caso concreto definirá qual o regime de responsabilização a ser observado para o dever de indenizar.
Por fim, em posição avessa, existe quem defenda que a LGPD não teria adotado a subjetividade, tampouco a objetividade. Nesse sentido, Moraes (2019) assevera que a LGPD inaugurou uma nova forma de responsabilização: a proativa. Fundamentando sua tese, explica que o legislador, apesar de ter caminhado para responsabilização subjetiva, optou por ir mais além, estabelecendo regras que obrigam o agente a não causar danos.
Assim, superados os fundamentos doutrinários que cada corrente utiliza para explicar a responsabilidade civil na LGPD, o presente trabalho encontra-se apto a ser concluído, de modo que a próxima seção trata de mostrar como os objetivos de pesquisa foram cumpridos no intuito de responder à pergunta de partida.
CONCLUSÃO
Com o advento da LGPD, o ordenamento jurídico pátrio passou a ter uma série de princípios e regras que devem ser observados nas atividades de tratamento de dados pessoais, que se mostram importantes no atual mundo de big data, em que continuamente se veem notícias de vazamento de dados das pessoas. Necessária, portanto, a reparação dos danos causados pelos agentes de tratamento no caso da violação dos seus direitos. Todavia, o legislador foi omisso, pois não definiu se tais agentes seriam responsabilizados se objetivamente ou subjetivamente, no caso de violação das prerrogativas dos titulares.
Com efeito, o presente trabalho se origina na necessidade de contribuir com o debate que visa a sanar tal omissão legislativa. Para a efetiva delimitação da resposta, foi realizada, em um primeiro momento, a conceituação do que seria responsabilidade civil. A construção do primeiro ponto foi de suma importância, pois através dele foi possível enxergar todos os elementos que se fazem necessários para que uma conduta gere o dever de indenizar. Para além disso, foi realizada a diferenciação das responsabilidades objetivas e subjetivas, o que também se mostra indispensável, já que a divergência doutrinária quanto ao regime de responsabilização na LGPD gira em torno dessas duas teorias.
Sequencialmente, foram abordados dois aspectos essenciais para entender a responsabilidade civil no âmbito do microssistema de proteção de dados: primeiramente, foi traçado um panorama das legislações anteriores à LGPD e como elas se comportavam em matéria de responsabilidade civil. Tal análise se mostra importante pois, ainda que a LGPD tenha sido um marco na legislação brasileira, outras leis já tratava sobre privacidade, de modo que se faz necessário entender a responsabilização em momento pretérito a promulgação da lei 13.709/2018. Posteriormente, foi traçado uma linha de estudo acerca do capítulo de responsabilização civil na LGPD, de modo que cada artigo foi explicado para que se possa ter uma maior compreensão do que o legislador disse.
Por fim, apresentou-se as linhas argumentativas de diversos doutrinadores no que tange ao fundamento de responsabilização da LGPD. Através de uma análise minuciosa dos fundamentos trazidos, verifica-se que a LGPD adota a responsabilização subjetiva, ou seja, a culpa deverá ser observada. Por meio de uma hermenêutica sistêmica e do diálogo das fontes, esse elemento somente deixaria de ser observado nas relações de consumo, por expressa previsão da própria LGPD e do Código de Defesa do Consumidor, além dos casos que envolvem a Administração Pública, conforme exposto na Constituição.
Em todo caso, com o aprofundamento da temática pela doutrina e jurisprudência, muitos embates doutrinários deverão existir, de modo que somente no futuro essa questão será pacificada, ou pelo menos terá uma corrente majoritária.
REFERÊNCIAS
ALVIM, Agostinho. Da inexecução das obrigações e suas consequências. 4. ed. São Paulo: Saraiva, 1972. p. 256.
BIONI, Bruno. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro: Forense, 2019.
BIONI, Bruno; DIAS, Daniel. Responsabilidade civil na proteção de dados pessoais: construindo pontes entre a Lei Geral de Proteção de Dados Pessoais e o Código de Defesa do Consumidor. civilistica.com, v. 9, n. 3, p. 1-23, 22 dez. 2020. Disponível em: <https://civilistica.emnuvens.com.br/redc/article/view/662>. Acesso em: 25 out. 2021.
BRASIL. Constituição da República Federativa do Brasil. Brasília, 1988. Disponível em: < http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm>. Acesso em: 08 set. 2021.
BRASIL. Lei n° 8.078, de 11 de setembro de 1990. Código de Defesa do Consumidor. Dispõe sobre a proteção do consumidor e dá outras providências. Brasília. Disponível em: <http://www.planalto.gov.br/ccivil_03/leis/l8078compilado.htm>. Acesso em: 22 set. 2021.
BRASIL. Lei n° 10.406, de 10 de janeiro de 2002. Institui o Código Civil. Brasília. Disponível em: <http://www.planalto.gov.br/ccivil_03/leis/2002/l10406.htm>. Acesso em: 19 set. 2021.
BRASIL. Lei nº 12.527, de 18 de novembro de 2011. Lei de Acesso a Informação. Disponível em: < http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm> Acesso em: 21 set. 2021.
BRASIL. Lei nº 12.965, de 23 de abril de 2014. Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. Disponível em: [http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm]. Acesso em: 21 set. 2021.
BRASIL. Lei n° 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm >. Acesso em: 05 set. 2021.
BRUNO, Marcos Gomes da Silva. Da responsabilidade e do ressarcimento de danos. In: MALDONADO, Viviane Nóbrega; BLUM, Renato Opice (coord.). LGPD: Lei Geral de Proteção de dados comentada. 2. ed. São Paulo: Thomson Reuters Brasil, 2019. p. 322-331.
CAPANEMA, Walter Aranha. A responsabilidade civil na Lei Geral de Proteção de Dados. Cadernos Jurídicos: Direito Digital e proteção de dados pessoais. São Paulo, ano 21, n. 53, p. 163-170, jan./mar. 2020. Disponível em <https://core.ac.uk/reader/322682320>. Acesso em: 16 set. 2021.
CARDOSO, Oscar Valente. Lei Geral de Proteção de Dados e Diálogo das Fontes – 2) Código de Defesa do Consumidor. Jus.com.br, [s. l.], 2020. Disponível em: https://jus.com.br/artigos/84448/lei-geral-de-protecao-de-dados-e-dialogo-das-fontes-2-codigo-de-defesa-do-consumidor. Acesso em: 16 set. 2021.
DIAS, Jose de Aguiar. Da responsabilidade civil. Rio de Janeiro: Forense, 1995. p. 737.
DINIZ, Maria Helena. Curso de Direito Civil brasileiro. 16. ed. São Paulo: Saraiva, 2002. v. 7.
DIVINO, Sthéfano Bruno Santos; LIMA, Taisa Maria Macena de. RESPONSABILIDADE CIVIL NA LEI GERAL DE PROTEÇÃO DE DADOS BRASILEIRA. Revista Em Tempo, [S.l.], v. 20, n. 1, nov. 2020. ISSN 1984-7858. Disponível em: < https://revista.univem.edu.br/emtempo/article/view/3229>. Acesso em: 24 out. 2021.
FERREIRA, Diogo Ramos. Responsabilidade civil dos agentes de tratamento de dados: subjetiva ou objetiva? Disponível em: <https://www.jota.info/opiniao-e-analise/artigos/responsabilidade-civil-dos-agentesde-tratamento-de-dados-subjetiva-ou-objetiva-20112019>. Acesso em: 22 out. 2021.
FERREIRA, Raissa Cristina de Moura. FREITAS, Raphael Moraes Amaral de. Responsabilidade civil na LGPD: subjetiva ou objetiva? In: PALHARES, Felipe. Temas atuais de proteção de dados. São Paulo: Thomson Reuters Brasil, 2020. p. 321-344.
GAGLIANO; PAMPLONA FILHO. Novo curso de direito civil, volume 3: Responsabilidade Civil. 10. ed. rev., atual. e ampl. São Paulo: Saraiva, 2012.
GUEDES, Gisela Sampaio da Cruz; MEIRELES, Rose Melo Venceslau. Término do Tratamento de Dados. In: FRAZÃO, Ana; TEPEDINO, Gustavo; OLIVA, Milena Donato. Lei Geral de Proteção de Dados Pessoais e suas repercussões no Direito Brasileiro. São Paulo: Thomson Reuters Brasil, 2019. p. 219-241.
MENDES, Laura Schertel; DONEDA, Danilo. Reflexões iniciais sobre a nova Lei Geral de Proteção de Dados. Revista de Direito do Consumidor. São Paulo, v. 120, p. 469-483, nov./dez. 2018. Disponível em < https://www.academia.edu/42741127/Reflex%C3%B5es_iniciais_sobre_a_nova_lei_geral_de_prote%C3%A7%C3%A3o_de_dados>. Acesso em: 01 out. 2021.
MORAES, Maria Celina Bodin de. LGPD: um novo regime de responsabilização civil dito “proativo”. civilistica.com. Rio de Janeiro: ano 8, n. 3, p. 1-6, 2019. Disponível em < https://civilistica.emnuvens.com.br/redc/article/view/448/377>. Acesso em: 25 out. 2021.
MULHOLLAND, Caitlin. A LGPD e o fundamento da responsabilidade civil dos agentes de tratamento de dados pessoais: culpa ou risco? Revista Migalhas, 2020. Disponível em: <https://www.migalhas.com.br/coluna/migalhas-de-responsabilidade-civil/329909/a-lgpd-e-o-fundamento-da-responsabilidade-civil-dos-agentes-de-tratamento-de-dados-pessoais–culpa-ou-risco>. Acesso em: 16 set. 2021.
NOVAKOSKI, André Luis Mota; NASPOLINI, Samyra Haydêe Dal Farra. Responsabilidade Civil na LGPD: Problemas e Soluções. Conpedi Law Review, [s. l.], 2020. Disponível em: https://www.indexlaw.org/index.php/conpedireview/article/view/7024/pdf. Acesso em: 19 set. 2021.
SANTOS. Marcelo Henrique Gonçalves Rivera Moreira Santos. A responsabilidade civil objetiva às operadoras de planos de saúde por erro médico: mitigação da teoria objetiva. 2019. Dissertação (Mestrado em Direto) – Universidade de Brasília, Brasília, 2019. Disponível em: <https://repositorio.unb.br/bitstream/10482/38138/1/2019_MarceloHenriqueGon%c3%a7alvesRiveraMoreiraSantos.pdf>. Acesso em: 18 set. 2021.
SCHREIBER, Anderson. Responsabilidade Civil na Lei Geral de Proteção de Dados. In: BIONI, Bruno et al. Tratado de Proteção de Dados Pessoais. Rio de Janeiro: Forense, 2020. p. 321-338.
TASSO, Fernando Antônio. A responsabilidade civil na Lei Geral de Proteção de Dados e sua interface com o Código Civil e o Código de Defesa do Consumidor. Cadernos Jurídicos, São Paulo, ano 21, n. 53, p. 97-115, jan./mar, 2020. Disponível em: < https://www.tjsp.jus.br/download/EPM/Publicacoes/CadernosJuridicos/ii_1_interface_entre_a_lgpd.pdf?d=637250344175953621>. Acesso em 12 out. 2021.
TEPEDINO, Gustavo; TERRA, Aline de Miranda Valverde; GUEDES, Gisela Sampaio da Cruz. Fundamentos do Direito Civil. Forense, 2020. Edição do Kindle.