As excludentes de responsabilidade dos agentes de tratamento de dados

Migalhas de IA e Proteção de Dados

"Se cada um de nós varresse a frente do nosso lugar, o mundo todo seria limpo."
Johann Wolfgang von Goethe

O presente artigo busca analisar as excludentes de responsabilização dos agentes de tratamento de dados pessoais na Lei Geral de Proteção de Dados. Nesse contexto, cabe destacar que tais excludentes estão previstas no artigo 43 da Lei Geral de Proteção de Dados¹, dividindo-se em três incisos.

O inciso I estabelece a excludente da não realização do tratamento e, por consequência, diz respeito ao dever de registro das operações de tratamento, tanto do operador, quanto do controlador, nos termos do artigo 37 dessa lei², especialmente quando fundamentado com base no legítimo interesse. Pela inversão do ônus da prova, na maior parte dos casos, este dever de registro explicitará facilmente a hipótese descrita para os fins de se afastar eventual responsabilização.³

O inciso II define a excludente da ausência de ilicitude no tratamento e, assim, designa, também, situações de "exercício regular de direito" de forma similar ao artigo 188, inciso I, do Código Civil. Este inciso deve ser lido levando em consideração os parâmetros estabelecidos pela Lei Geral de Proteção de Dados, tais como o dever de registro, nos termos do artigo 37, o dever geral de segurança, previsto no artigo 46, e os deveres de boas práticas e de governança descritas no artigo 50.

Diante da situação em que não ocorre ato ilícito - ou seja, inexiste violação à legislação de proteção de dados -, com o operador e o controlador respeitando o dever geral de segurança, não há responsabilização dos agentes de tratamento. Por exemplo, se uma decisão automatizada, baseada em critérios transparentes, sem nenhum viés, e devidamente fundamentada, negar um empréstimo a alguém, não haveria nenhuma responsabilização aos agentes de tratamento, já que não ocorreu violação à legislação de proteção de dados.⁴

Por fim, o inciso III incorpora o fato da vítima (titular de dados) e o fato de terceiros como excludentes de responsabilização - excludentes, aliás, clássicas da responsabilidade civil e já, previstas, por exemplo, na legislação consumerista (artigo 12, § 3º, inciso III, do CDC, que prevê a excludente de responsabilização do fornecedor em caso de culpa exclusiva do consumidor ou de terceiro). Diante deste contexto, conceitua-se o fato exclusivo da vítima como o evento que se identifica como causa necessária de um dano sofrido por ela, e cuja realização só possa ser a ela imputável.⁵

Destacam-se situações em que, mesmo com a diligência dos agentes para garantir a maior segurança possível no tratamento de dados, o titular dos dados, na sua pessoa, incorra ao dano - como, a título exemplificativo, ao disponibilizar seus dados, mesmo não sendo hipossuficiente, a sítios eletrônicos que claramente não são confiáveis, ou ao não atualizarem periodicamente os seus aplicativos nos seus celulares. Aliás, a esse respeito, há o entendimento de ocorrer fato exclusivo do usuário quando este, sem o devido cuidado, e havendo o cumprimento do dever de segurança daquele que prestou o serviço, contribui para o dano.⁶

Quanto ao fato de terceiro, há uma interrupção do nexo causal, na medida em que não é a conduta do agente a causa necessária à produção de danos.⁷ No presente ponto, pode-se, por exemplo, questionar a responsabilidade do encarregado, responsável por passar instruções ao controlador e a seus controladores quanto à proteção de dados, em caso de fato exclusivo deste. Causa estranheza que a responsabilização desta figura central para o controle de eventos danosos esteja omissa no artigo 42 dessa lei, que versa apenas sobre a responsabilidade civil do controlador e do operador.

Igualmente, questionável se uma invasão cibernética a um sistema que armazena dados pessoais poderia ser imputada como fato de terceiro. Considerando que o sistema de responsabilidade da Lei Geral de Proteção de Dados é centrado num dever geral de segurança⁸, entende-se que, se o controlador ou o operador demonstrarem que, à época do ataque hacker, trataram os dados com a melhor técnica de segurança da época, pode incidir essa excludente de ilicitude pela ocorrência de fato de terceiro.

Aliás, o entendimento de uma responsabilidade centrada num dever de segurança não é novidade no ordenamento jurídico brasileiro: no Código de Defesa do Consumidor, a responsabilidade pelo fato do produto e fato do serviço é fundada no defeito, em que há a possibilidade do fornecedor de afastar a sua responsabilidade quando comprovar que não faltou com a segurança e informações devidas acessíveis através da melhor técnica existente.⁹ Este é, também, o entendimento do Superior Tribunal de Justiça.¹⁰ Inclusive, as excludentes de responsabilidade civil do fabricante, construtor, produtor ou importador, disciplinadas no artigo 12, § 3º, incisos I, II e III, do Código de Defesas do Consumidor¹¹, são bastante similares às excludentes consagradas no artigo 43 da Lei Geral de Proteção de Dados.

Nesse mesmo sentido, a jurisprudência dos Tribunais brasileiros entende que, demonstrado o cumprimento do dever de segurança na colocação do produto pelo fornecedor, pode-se alegar o fato de terceiro.¹² Assim, é possível aplicar esse entendimento também ao inciso III do artigo 43 da Lei Geral de Proteção de Dados. Por se tratar de uma problemática recente, faz-se necessário cuidado especial na aplicação das excludentes de responsabilidade em processos judiciais que certamente irão interpretar o melhor formato de responsabilização dos agentes de tratamento de dados pessoais. A devida aplicação exige a consideração dos aspectos especiais da disciplina da proteção de dados pessoais e de seu regime especial de responsabilidade civil.

__________

1 Art. 43. Os agentes de tratamento só não serão responsabilizados quando provarem:

I - que não realizaram o tratamento de dados pessoais que lhes é atribuído;

II - que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou

III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.

2 Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.

3 DRESCH, Rafael de Freitas Valle; FALEIROS JÚNIOR, José Luiz de Moura. Reflexões sobre a responsabilidade civil na Lei Geral de Proteção de Dados (lei 13.709/2018). In: ROSENVALD, Nelson; DRESCH, Rafael de Freitas Valle; WESENDONCK, Tula (Coords.). Responsabilidade civil: novos riscos. Indaiatuba: Foco, 2019, p. 81.

4 CAPANEMA, Walter Aranha. A responsabilidade civil na Lei Geral de Proteção de Dados. Cadernos Jurídicos, São Paulo, ano 21, nº 53, p. 163-170, jan.-mar. 2020, p. 167.

5 MIRAGEM, Bruno Nubens Barbosa. Direito civil: responsabilidade civil. São Paulo: Saraiva, 2015, p. 241.

6 TJRS, 12^a. Câmara Cível, Apelação Cível n. 70083485789, Rel. Des. Ana Lúcia Carvalho Pinto Vieira Rebout, j. 10/06/2020.

7 ROSENVALD, Nelson; FARIAS, Cristiano Chaves de; BRAGA NETTO, Felipe Peixoto. Curso de direito civil: responsabilidade civil. Salvador: Juspodvm, 2017, v. 3, p. 431.

8 DRESCH, Rafael de Freitas Valle; FALEIROS JÚNIOR, José Luiz de Moura. Reflexões sobre a responsabilidade civil na Lei Geral de Proteção de Dados (lei 13.709/2018). In: ROSENVALD, Nelson; DRESCH, Rafael de Freitas Valle; WESENDONCK, Tula (Coords.). Responsabilidade civil: novos riscos. Indaiatuba: Foco, 2019, p. 82.

9 DRESCH, Rafael de Freitas Valle. Fundamentos da responsabilidade civil pelo fato do produto e do serviço: um debate jurídico-filosófico entre o formalismo e o funcionalismo no Direito Privado. Porto Alegre: Livraria do Advogado Editora, 2009, p. 126.

10 STJ, REsp. 1.095.271/RS, T4, Rel. Min. Felipe Salomão, j. 07/02/2013, DJe 05/03/2013.

11 Art. 12. O fabricante, o produtor, o construtor, nacional ou estrangeiro, e o importador respondem, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos decorrentes de projeto, fabricação, construção, montagem, fórmulas, manipulação, apresentação ou acondicionamento de seus produtos, bem como por informações insuficientes ou inadequadas sobre sua utilização e riscos.

(...)

§ 3° O fabricante, o construtor, o produtor ou importador só não será responsabilizado quando provar:

I - que não colocou o produto no mercado;

II - que, embora haja colocado o produto no mercado, o defeito inexiste;

III - a culpa exclusiva do consumidor ou de terceiro.

12 TJPR, 9ª Câmara Cível, Apelação Cível n. 1727103-5, Rel. Des. Domingos José Perfetto, j. 30/11/2017, DJ 23/01/2018.

COORDENAÇÃO

Cintia Rosa Pereira de Lima , professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto - FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Ottawa University (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pó-doutora em Direito Civil na Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Presidente do Instituto Avançado de Proteção de Dados - IAPD - www.iapd.org.br. Associada Titular do IBERC - Instituto Brasileiro de Responsabilidade Civil. Membro fundador do IBDCONT - Instituto Brasileiro de Direito Contratual. Advogada.

Cristina Godoy Bernardo de Oliveira , professora doutora da Faculdade de Direito de Ribeirão Preto - Universidade de São Paulo desde 2011. Academic Visitor da Faculty of Law of the University of Oxford (2015-2016). Pós-doutora pela Université Paris I Panthéon-Sorbonne (2014-2015). Doutora em Filosofia do Direito pela Faculdade de Direito da USP (2011). Graduada pela Faculdade de Direito da USP (2006). Líder do Grupo de Pesquisa Direito, Ética e Inteligência Artificial da USP - CNPq. Coordenadora do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados - IAPD.

Evandro Eduardo Seron Ruiz , professor Associado do Departamento de Computação e Matemática, FFCLRP - USP, onde é docente em dedicação exclusiva. Atua também como orientador no Programa de Pós-graduação em Computação Aplicada do DCM-USP. Bacharel em Ciências de Computação pela USP, mestre pela Faculdade de Engenharia Elétrica da UNICAMP, Ph.D. em Electronic Engineering pela University of Kent at Canterbury, Grã-Bretanha, professor lLivre-docente pela USP e pós-Doc pela Columbia University, NYC. Coordenador do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados - IAPD.

Nelson Rosenvald é advogado e parecerista. Professor do corpo permanente do Doutorado e Mestrado do IDP/DF. Pós-Doutor em Direito Civil na Università Roma Tre. Pós-Doutor em Direito Societário na Universidade de Coimbra. Visiting Academic na Oxford University. Professor Visitante na Universidade Carlos III, Madrid. Doutor e Mestre em Direito Civil pela Pontifícia Universidade Católica de São Paulo - PUC/SP. Presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil - IBERC. Foi Procurador de Justiça do Ministério Público de Minas Gerais.

Newton De Lucca , professor Titular da Faculdade de Direito da USP. Desembargador Federal, presidente do Tribunal Regional Federal da 3ª Região (biênio 2012/2014). Membro da Academia Paulista de Direito. Membro da Academia Paulista de Letras Jurídicas. Membro da Academia Paulista dos Magistrados. Vice-presidente do Instituto Avançado de Proteção de Dados.

outras edições

APOIADORES

FOMENTADORES