Responsabilidade civil no âmbito do Marco Civil da Internet e da LGPD

Migalhas de IA e Proteção de Dados

A internet permite o exercício de direitos básicos pelos usuários. É inegável que suas ferramentas possibilitam o acesso rápido e prático por qualquer público de conteúdos disponibilizados virtualmente. Ela é uma grande fonte de informações e tecnologia, podendo acarretar em vantagens e riscos aos seus usuários.

Entretanto, embora seus avanços sejam comumente exaltados, por vezes, revela-se um mecanismo que possibilita a prática de ilícitos, decorrendo, principalmente, do seu mau uso associado à capacidade difusora de informações e ilícitos.

Com o advento da lei 12.965/14 (Marco Civil da Internet), diversas mudanças ocorreram no cerne da responsabilização civil dos provedores de internet, sendo que a responsabilidade dos provedores de aplicações de internet sofreu as mudanças mais significativas. Tal espécie de provedor é definida como "qualquer pessoa jurídica que, através de um terminal conectado à internet, fornece um conjunto de funcionalidades que podem ser acessadas pelos usuários"¹.

No cenário anterior a promulgação do Marco Civil da Internet em 2014, o Superior Tribunal de Justiça consolidou o sistema do notice and take down, que mencionava a necessidade de notificação extrajudicial do provedor de aplicação para retirada de qualquer conteúdo que entendesse ilícito, a qual deveria ser atendida no prazo de 24 horas, sob pena de ser responsabilizado solidariamente com o autor do ilícito pelo dano causado². Neste caso, o provedor não estaria obrigado a analisar o teor da denúncia recebida no referido prazo, devendo apenas promover a suspensão preventiva das páginas, podendo checar a veracidade das alegações em momento futuro oportuno³.

Com o advento do Marco Civil da Internet, a responsabilização dos provedores passou a ser regida por novas regras. No caput do art. 19, está elencado que o provedor de aplicações de internet somente seria responsabilizado civilmente por danos advindos de conteúdo gerado por terceiros após deixar de cumprir em tempo hábil ordem judicial específica determinando sua retirada (judicial notice and take down)⁴. Esse comando contraria anterior posicionamento de que esta notificação poderia ser extrajudicial. A criação desse mecanismo de litigiosidade é duramente criticado por parte doutrina, dentre eles Anderson Schreiber⁵ e Cíntia Rosa Pereira de Lima⁶, que chegam a taxá-lo de inconstitucional⁷.

A exceção prevista no Marco Civil da Internet está no art. 21, que determina o dever de o provedor de conteúdo remover conteúdo de nudez ou atos sexuais privados, publicados sem consentimento, mediante simples notificação extrajudicial, sob pena de ser subsidiariamente responsável⁸.

Cumpre mencionar que em relação aos provedores de conexão, que são aqueles que exercem uma função intermediária entre o usuário e a internet, não há que se falar em responsabilidade civil por eventual conteúdo disponibilizado por terceiros, visto que os serviços que presta são apenas instrumentais, e não há condições técnicas de avaliar as informações nem o direito de interceptá-las⁹. No mesmo sentido, o art. 18 do Marco Civil da Internet estipula que "o provedor de conexão à internet não será responsabilizado civilmente por danos decorrentes de conteúdo gerado por terceiros".

Atenta-se que para a responsabilização e identificação de eventuais danos causados por terceiros na internet é essencial que os provedores preservem e forneçam os registros eletrônicos utilizados na prática ilícita. Neste sentido, o Marco Civil da Internet menciona que os provedores de aplicações de internet devem preservar os registros de acesso às aplicações de internet pelo prazo de 6 (seis) meses, nos termos do art. 15, enquanto que os provedores de conexão devem armazenar os registros de conexão por 1 (um) ano (art. 13).¹⁰

Tais prazos são criticados pela doutrina¹¹, que defende, no mínimo, que os registros sejam armazenados pelo prazo de 3 (três) anos, visto que este é o prazo prescricional para as ações de reparação civil, conforme preceituado pelo art. 206, §3º, V, do Código Civil¹². Perceba que tais prazos podem gerar diversos problemas práticos, visto que o sujeito muitas vezes poderá estar dentro do prazo prescricional para pleitear eventual reparação civil, mas poderá não obter informações por parte dos provedores de internet, visto que estes somente deverão armazenar registros pelos prazos de 6 (seis) meses (provedores de aplicações) ou 1 (um) ano (provedores de conexão).

Por sua vez, no âmbito da Lei Geral de Proteção de Dados (Lei n. 13.709/18), percebe-se uma clara intenção do legislador em proteger os dados pessoais dos usuários, acompanhando os avanços da sociedade e da tecnologia. Tal legislação coloca o indivíduo ("titular", conforme elencado na lei) como protagonista das relações jurídicas que envolvam o tratamento de dados¹³.

A temática da responsabilidade civil está regulamentada na Seção III do Capítulo VI da Lei Geral de Proteção de Dados, intitulada de "Da Responsabilidade e do Ressarcimento de Danos". Na coluna do dia 06/11/2020, Nelson Rosenvald alerta para o debate que decorre das múltiplas variáveis e dimensões do termo "responsabilidade". Cumpre mencionar que as normas tratadas nessa Seção não serão aplicáveis em todos os casos, podendo, a depender da relação jurídica, ceder espaço a normas específicas, tal como o Código de Defesa do Consumidor, conforme explicitado no próprio art. 45 da lei¹⁴.

Ao analisar os dispositivos legais, nota-se que o legislador optou pelo surgimento de responsabilidade do exercício da atividade de proteção de dados que viole a "legislação de proteção de dados". Ao utilizar tal expressão, o legislador acaba por reconhecer que a proteção de dados é, de fato, um microssistema, com normas previstas em diversos diplomas legais, sendo a Lei Geral de Proteção de Dados o seu sustentáculo principal.

Ressalta-se que a responsabilidade civil prevista na Lei Geral de Proteção de Dados não decorre apenas de eventual violação do microssistema de proteção de dados. É preciso interpretar o caput do art. 42¹⁵ em conjunto com o art. 44, parágrafo único da lei, que estipula:

Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano.

Por sua vez, o art. 46 da Lei Geral de Proteção de Dados estabelece que os agentes de tratamento de dados deverão adotar medidas de segurança, técnicas e administrativas visando a proteção de dados pessoais. Tais normas poderão, inclusive, ser editadas pela Agência Nacional de Proteção de Dados.

Percebe-se, então, que é possível a responsabilidade civil no âmbito da Lei Geral de Proteção de Dados sob duas situações distintas: pela violação de normas jurídicas do microssistema de proteção de dados; e pela violação de normas técnicas, voltadas à segurança e proteção de dados pessoais. Evidentemente, só haverá responsabilização civil se a violação de norma jurídica ou técnica ocasionar dano material ou moral a um titular ou a uma coletividade.

O art. 42, da Lei Geral de Proteção de Dados, restringe a responsabilidade civil ao controlador ou ao operador. Ressalta-se, entretanto, que, caso a relação jurídica do titular com o controlador e o operador tenha natureza consumerista, serão aplicadas as normas de responsabilidade civil dos arts. 12 e 18 do Código de Defesa do Consumidor, principalmente no que tange a responsabilidade solidária.

Já o §1º excepciona a regra de alternância do controlador ou operador, permitindo a solidariedade entre ambos em dois casos específicos, objetivando "assegurar a efetiva indenização ao titular dos dados". No inciso I, está exposto que o operador responderá solidariamente em duas situações: caso descumpra a legislação de proteção de dados ou se não seguir "as instruções lícitas do controlador, hipótese em que o operador se equipara ao controlador". No inciso II, há previsão de solidariedade entre os controladores que estiverem diretamente envolvidos no tratamento, ou seja, aqueles que estabelecerem, em conjunto, decisões que violem o microssistema da proteção de dados ou às nomas técnicas cabíveis. Estas hipóteses de solidariedade estarão afastadas caso presentes as hipóteses de exclusão de responsabilidade previstas no art. 43 da Lei Geral de Proteção de Dados.

De forma semelhante ao que ocorre em outros diplomas legais, o § 2º do art. 42, da Lei Geral de Proteção de dados, por sua vez, admite a inversão do ônus da prova, a critério do juiz, a favor do titular de dados, desde que verossímil a alegação, haja hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular for excessivamente onerosa.

Cumpre mencionar que o reconhecimento da hipossuficiência do titular dos dados, além da inversão do ônus probatório, também se verifica no fato de que a responsabilidade civil no âmbito da Lei Geral de Proteção de Dados deva ser modalidade de responsabilidade objetiva, ou seja, prescinde da discussão sobre a culpa do agente. Basta, portanto, que se comprove o dano e o nexo causal.

De fato, existe amplo debate na doutrina sobre a responsabilidade civil na Lei Geral de Proteção de Dados ser subjetiva ou objetiva. Nesse sentido, haveriam três cenários possíveis segundo Rafael de Freitas Valle Dresch¹⁶: parcela da doutrina entende que a responsabilidade seria subjetiva, o que demandaria análise da culpa dos agentes de tratamento em casos de danos aos titulares de dados pessoais¹⁷; outra parcela defende que a Lei Geral de Proteção de Dados, em razão do risco proveito ou da atividade, estaria apontando para a responsabilidade objetiva; e, ainda, a responsabilidade objetiva especial¹⁸, que se dará ante o cometimento de um ilícito, qual seja o descumprimento de deveres impostos pela legislação de proteção de dados, especialmente no que tange ao dever de segurança por parte do agente de tratamento.

De fato, a responsabilidade civil objetiva, sob o aspecto especial é o que parece ter sido adotado pelo legislador pátrio. Ao analisar a Lei Geral de Proteção de Dados, percebe-se em seu art. 44 um dever geral de segurança que o agente de tratamento deve observar, cuja eventual violação acarretará em sua responsabilização civil. Portanto, deve-se observar eventual cumprimento ou não dos deveres decorrentes da tutela dos dados pessoais, especialmente no que tange ao dever geral de segurança ante a legítima expectativa quanto à possível conduta do agente.

O art. 43, da Lei Geral de Proteção de Dados, por sua vez, menciona hipóteses de exclusão da responsabilidade civil dos agentes de tratamento, quando estes provarem que não realizaram o tratamento de dados pessoais que lhes é atribuído; que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído; que embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; e que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros.

Perceba, assim, que o Marco Civil da Internet, diferentemente do que previsto na Lei Geral de Proteção de Dados, adotou a responsabilidade civil subjetiva como regra em relação aos provedores de internet, modificando anterior posicionamento jurisprudencial envolvendo o tema. No âmbito da Lei Geral de Proteção de Dados, a responsabilidade civil é objetiva, decorrendo da violação dos deveres decorrentes da tutela dos dados pessoais e, portanto, não necessitando de discussão acerca da culpa do agente, o que demonstra um grande avanço acerca da responsabilidade civil no âmbito da sociedade da informação na qual estamos inseridos.

Wévertton Gabriel Gomes Flumignan é Mestre em Direito pela USP. Graduado pela PUC/SP. Membro dos grupos de pesquisa "Observatório da Lei Geral de Proteção de Dados" e "Observatório do Marco Civil da Internet no Brasil" da FDRP-USP/CNPq. Associado Fundador do Instituto Avançado de Proteção de Dados - IAPD. Professor. Advogado e sócio do escritório Advocacia Flumignan.

__________

1 FLUMIGNAN, Wévertton Gabriel Gomes. Responsabilidade civil dos provedores no Marco Civil da Internet (lei 12.965/14). Dissertação de Mestrado Faculdade de Direito, Universidade de São Paulo, 2018, p. 67.

2 Brasil, STJ, REsp 1.337.990/SP, Rel. Ministro Paulo de Tarso Sanseverino, Órgão julgador: Terceira Turma, julgado em 21/08/2014.

3 Brasil, STJ, REsp 1.323.754/RJ, Rel. Ministra Nancy Andrighi, Órgão Julgador: Terceira Turma, julgado em 19/06/2012.

4 Art. 19, lei 12.965/14. Com o intuito de assegurar a liberdade de expressão e impedir a censura, o provedor de aplicações de internet somente poderá ser responsabilizado civilmente por danos decorrentes de conteúdo gerado por terceiros se, após ordem judicial específica, não tomar as providências para, no âmbito e nos limites técnicos do seu serviço e dentro do prazo assinalado, tornar indisponível o conteúdo apontado como infringente, ressalvadas as disposições legais em contrário. (...)

5 SCHREIBER, Anderson. Marco Civil da Internet: avanço ou retrocesso? A responsabilidade civil por dano derivado do conteúdo gerado por terceiro. In: Direito & Internet III - Tomo II: Marco Civil da Internet (lei 12.965/2014). DE LUCCA, Newton; SIMÃO FILHO, Adalberto; LIMA, Cíntia Rosa Pereira de (coords.). São Paulo: Quartier Latin, 2015, pp. 293-294.

6 LIMA, Cíntia Rosa Pereira de. A responsabilidade civil dos provedores de aplicação de internet por conteúdo gerado por terceiro antes e depois do Marco Civil da Internet (Lei n. 12.965/14). Revista da Faculdade de Direito da Universidade de São Paulo, São Paulo, v. 110, p. 173, jan./dez. 2015.

7 Para aprofundar, recomenda-se a leitura: FLUMIGNAN, Wévertton Gabriel Gomes. Responsabilidade civil dos provedores no Marco Civil da Internet (Lei n. 12.965/14). Dissertação de Mestrado. Faculdade de Direito, Universidade de São Paulo, 2018.

8 Art. 21, lei 12.965/14. O provedor de aplicações de internet que disponibilize conteúdo gerado por terceiros será responsabilizado subsidiariamente pela violação da intimidade decorrente da divulgação, sem autorização de seus participantes, de imagens, de vídeos ou de outros materiais contendo cenas de nudez ou de atos sexuais de caráter privado quando, após o recebimento de notificação pelo participante ou seu representante legal, deixar de promover, de forma diligente, no âmbito e nos limites técnicos do seu serviço, a indisponibilização desse conteúdo.

Parágrafo único. A notificação prevista no caput deverá conter, sob pena de nulidade, elementos que permitam a identificação específica do material apontado como violador da intimidade do participante e a verificação da legitimidade para apresentação do pedido.

9 GONÇALVES, Carlos Roberto. Direito Civil Brasileiro, vol. 4: Responsabilidade civil, 8 ed. São Paulo: Saraiva, 2013, pp. 103-105.

10 Cf. MORAES, Amanda Melo Ditano. Da Responsabilidade Civil pelos Atos Praticados na Internet. Disponível aqui, acesso em 05 abr. 2021.

11 Para aprofundar, recomenda-se a leitura: FLUMIGNAN, Wévertton Gabriel Gomes. Responsabilidade civil dos provedores no Marco Civil da Internet (Lei n. 12.965/14). Dissertação de Mestrado. Faculdade de Direito, Universidade de São Paulo, 2018.

12 A situação fica ainda mais grave do ponto de vista do Código de Defesa do Consumidor, visto que em seu art. 27 estipula o prazo de 5 (cinco) anos para a pretensão de reparação civil quando envolver relação de consumo, sendo pacífico o entendimento de que a relação entre os usuários e os provedores de internet consiste em uma relação consumerista (Brasil, STJ, REsp 1.316.921, Rel. Ministra Nancy Andrighi, Órgão Julgador: Terceira Turma, julgado em 26/06/2012).

13 Art. 5º, lei 13.709/18. V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

14 Art. 45, lei 13.709/18. As hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente.

15 Art. 42, lei 13.709/18. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

16 DRESCH, Rafael de Freitas Valle. A especial responsabilidade civil na Lei Geral de Proteção de Dados. Migalhas, Ribeirão Preto, 02 jul. 2020. Disponível aqui. Acesso em: 01 abr. 2021.

17 BODIN DE MORAES, Maria Celina. QUEIROZ, João Quinelato de. Autodeterminação informativa e responsabilização proativa: novos instrumentos de tutela da pessoa humana na LGPD. In: Cadernos Adenauer - Proteção de dados pessoais: privacidade versus avanço tecnológico. Rio de Janeiro: Fundação Konrad Adenauer, 2019, ano XX, n. 3, pp. 113-135 e; CRUZ, Gisela Sampaio da; MEIRELES, Rose Melo Venceslau. Término do tratamento de dados. In: Lei Geral de Proteção de Dados e suas repercussões no Direito Brasileiro. FRAZÃO, Ana; TEPEDINO, Gustavo; OLIVA, Milena Donato (coord.). São Paulo: Thomson Reuters Brasil, 2019, pp. 219-241.

18 DRESCH, Rafael de Freitas Valle; FALEIROS JUNIOR, José Luiz de Moura. Reflexões sobre a responsabilidade civil na Lei Geral de Proteção de Dados (Lei 13.709/2018). In: ROSENVALD, Nelson; WESENDONCK, Tula; DRESCH, Rafael. (Org.). Responsabilidade civil: novos riscos. Indaiatuba: Editora Foco Jurídico Ltda., 2019, pp. 65-90.

COORDENAÇÃO

Cintia Rosa Pereira de Lima , professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto - FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Ottawa University (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pó-doutora em Direito Civil na Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Presidente do Instituto Avançado de Proteção de Dados - IAPD - www.iapd.org.br. Associada Titular do IBERC - Instituto Brasileiro de Responsabilidade Civil. Membro fundador do IBDCONT - Instituto Brasileiro de Direito Contratual. Advogada.

Cristina Godoy Bernardo de Oliveira , professora doutora da Faculdade de Direito de Ribeirão Preto - Universidade de São Paulo desde 2011. Academic Visitor da Faculty of Law of the University of Oxford (2015-2016). Pós-doutora pela Université Paris I Panthéon-Sorbonne (2014-2015). Doutora em Filosofia do Direito pela Faculdade de Direito da USP (2011). Graduada pela Faculdade de Direito da USP (2006). Líder do Grupo de Pesquisa Direito, Ética e Inteligência Artificial da USP - CNPq. Coordenadora do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados - IAPD.

Evandro Eduardo Seron Ruiz , professor Associado do Departamento de Computação e Matemática, FFCLRP - USP, onde é docente em dedicação exclusiva. Atua também como orientador no Programa de Pós-graduação em Computação Aplicada do DCM-USP. Bacharel em Ciências de Computação pela USP, mestre pela Faculdade de Engenharia Elétrica da UNICAMP, Ph.D. em Electronic Engineering pela University of Kent at Canterbury, Grã-Bretanha, professor lLivre-docente pela USP e pós-Doc pela Columbia University, NYC. Coordenador do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados - IAPD.

Nelson Rosenvald é advogado e parecerista. Professor do corpo permanente do Doutorado e Mestrado do IDP/DF. Pós-Doutor em Direito Civil na Università Roma Tre. Pós-Doutor em Direito Societário na Universidade de Coimbra. Visiting Academic na Oxford University. Professor Visitante na Universidade Carlos III, Madrid. Doutor e Mestre em Direito Civil pela Pontifícia Universidade Católica de São Paulo - PUC/SP. Presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil - IBERC. Foi Procurador de Justiça do Ministério Público de Minas Gerais.

Newton De Lucca , professor Titular da Faculdade de Direito da USP. Desembargador Federal, presidente do Tribunal Regional Federal da 3ª Região (biênio 2012/2014). Membro da Academia Paulista de Direito. Membro da Academia Paulista de Letras Jurídicas. Membro da Academia Paulista dos Magistrados. Vice-presidente do Instituto Avançado de Proteção de Dados.

outras edições

APOIADORES

FOMENTADORES

COLUNAS

Migalhas de IA e Proteção de Dados

Análise da responsabilidade civil no âmbito do Marco Civil da Internet e da Lei Geral de Proteção de Dados