Muito se tem discutido a respeito do regime da responsabilidade civil do controlador na Lei Geral de Proteção de Dados (LGPD) e o tema está longe de encontrar uma posição pacificada.
Decorrido aproximadamente um ano desde o início da vigência da Lei e em virtude da grande judicialização processual envolvendo a proteção de dados, é possível nos depararmos com decisões com entendimentos divergentes acerca da natureza da responsabilidade civil, se objetiva ou subjetiva.
Há uma corrente que defende que a mera exposição do fato ilícito acarretaria o dever de indenizar o titular, o chamado dano moral “in re ipsa”, aquele que independe de prova, bastando ao titular que prove a prática do ato ilícito e não necessitando comprovar a violação dos direitos da personalidade para fazer jus à indenização por dano moral.
Em contraponto, há outra corrente que entende que a mera exposição do fato gerador de suposto dano moral prescinde da obrigatoriedade de vinculação ao dano sofrido, sem a qual não seria passível de condenação.
Algumas reflexões se fazem necessárias à luz da teoria do diálogo das fontes 1, idealizada na Alemanha pelo jurista Erik Jayme e trazida ao Brasil por Cláudia Lima Marques, segundo a qual as leis não devem ser aplicadas e interpretadas isoladamente, devendo as normas se complementarem, em consonância com os preceitos constitucionais.
Nessa ótica, a Lei Geral de Proteção de Dados 2, ao tratar de relações em que o titular for também consumidor, deve ser analisada conjuntamente com o Código de Defesa do Consumidor 3 (CDC), no âmbito do consumo, assim como, no âmbito das relações jurídicas privadas, em conjunto com o Código Civil 4.
Tendo em vista que na maioria das vezes o tratamento de dados pessoais ocorre dentro do ambiente de consumo, o objetivo é tecer algumas ponderações entre os estes dois diplomas legais. O Código de Defesa do Consumidor estabelece o regime de responsabilidade objetiva em seu artigo 14 5, preceituando que o fornecedor de produtos ou serviços responde objetivamente por prejuízos causados a terceiros independentemente da existência de culpa.
O artigo 45 da LGPD 6 dispõe que as hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente, remetendo assim, a responsabilidade objetiva que trata o artigo 14 do CDC 7.
Imperativo registrar que o mencionado dispositivo legal trata da falha e defeito do serviço cabendo ao consumidor e titular dos dados demonstrar a sua ocorrência. E, nesse sentido, a comprovação do defeito se torna um elemento chave para fins de constatação se, efetivamente, a responsabilidade objetiva se aplica aos agentes de tratamento. Para isso, é necessário interpretarmos conjuntamente com os dispositivos legais da Lei Geral de Proteção de Dados.
O artigo 42 8 estabelece a obrigação dos agentes de tratamento em reparar o dano patrimonial e moral, tanto individual como coletivo. O artigo 43 9 elenca as hipóteses de exclusão da responsabilidade, com especial atenção aos incisos II e III, os quais preveem a ocorrência do tratamento sem que tenha se caracterizado a violação à lei e quando o dano decorrer de culpa exclusiva do titular ou de terceiro.
Nesse sentido, corrobora o artigo 44 10, o qual estabelece que um tratamento será irregular quando o mesmo deixar de observar a legislação ou quando não fornecer a segurança que o titular deve esperar, ressalvadas as circunstâncias relevantes do caso concreto, entre elas, as técnicas de tratamento de dados pessoais disponíveis à época em que o tratamento de dados foi realizado.
O parágrafo único do mencionado dispositivo especifica ainda que o controlador responderá por danos decorrentes de violação da segurança dos dados se a causa do dano se der por inobservância na adoção das medidas de segurança previstas no artigo 46 da lei 11.
E, por fim, o referido artigo 46 12 estabelece que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas à proteção dos dados pessoais. Entretanto, para a devida caracterização de um incidente de segurança como um defeito, se faz imprescindível perpassar os dispositivos legais ora citados, da Lei nº 13.709/18 13, para que seja factível a verificação do preenchimento ou não dos requisitos necessários como condição essencial para atrairmos a imputação da responsabilidade objetiva do artigo 14 do CDC 14.
A existência do suposto dano do titular, na condição de consumidor, requer a caracterização do defeito do serviço.
Na prática, estaremos diante do diálogo das fontes, através do reenvio útil de normas e aplicação complementar entre a Lei Geral de Proteção de Dados para fins de enquadramento do incidente de segurança como um defeito de serviço ou não, hipótese em que, se configurada, é possível concluirmos se tratar do regime de responsabilidade civil objetiva previsto no Código de Defesa do Consumidor 15.
*Martha Leal, advogada especialista em Privacidade e Proteção de Dados, Data Protection Expert pela Universidade de Maastricht e Fellow do Instituto Nacional de Proteção de Dados (INPD)
1 TARTUCE, Flávio. Em que consiste a teoria do diálogo das fontes? JusBrasil, 2011. Acesso em: 21 ago. 2021.
2 BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela lei 13.853, de 2019. Acesso em: 21 ago. 2021.
3 BRASIL. Casa Civil. Lei 8.078 de 11 de setembro de 1990. Dispõe sobre a proteção do consumidor e dá outras providências. Brasília: Casa Civil, 1990. Acesso em: 20 ago. 2021.
4 BRASIL. Casa Civil. Lei 10.406 de 10 de janeiro de 2002. Institui o código civil. Brasília: Casa Civil, 2002. Acesso em: 20 ago. 2021.
5 BRASIL, op. cit., 1990.
6 BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela lei 13.853, de 2019. Acesso em: 21 ago. 2021.
7 BRASIL, op. cit., 1990
8 BRASIL, op. cit., 2018.
9 Ibidem.
10 BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela lei 13.853, de 2019. Acesso em: 21 ago. 2021.
11 Ibidem.
12 Ibidem.
13 Ibidem.
14 BRASIL. Casa Civil. Lei 8.078 de 11 de setembro de 1990. Dispõe sobre a proteção do consumidor e dá outras providências. Brasília: Casa Civil, 1990. Acesso em: 20 ago. 2021.
15 Ibidem.
———-
Referências
BRASIL. Casa Civil. Lei 10.406 de 10 de janeiro de 2002. Institui o código civil. Brasília: Casa Civil, 2002. Acesso em: 20 ago. 2021.
BRASIL. Casa Civil. Lei 8.078 de 11 de setembro de 1990. Dispõe sobre a proteção do consumidor e dá outras providências. Brasília: Casa Civil, 1990. Acesso em: 20 ago. 2021.
BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela lei 13.853, de 2019. Acesso em: 21 ago. 2021.
TARTUCE, Flávio. Em que consiste a teoria do diálogo das fontes? JusBrasil, 2011. Acesso em: 21 ago. 2021.
