Responsabilidade civil por tratamento inadequado de dados pessoais

Migalhas de Responsabilidade Civil

A Lei Geral de Proteção de Dados Pessoais trouxe dispositivos próprios acerca da responsabilidade civil e muito se tem pesquisado sobre o tema, notadamente quanto ao regime ou regimes adotado(s) na LGPD.

Entre as previsões de responsabilidade civil na Lei Geral está a do parágrafo único do artigo 44 que estabelece a responsabilidade por violação de segurança que cause danos, "ao deixar de adotar as medidas de segurança" contidas no artigo 46 da mesma lei.

Por sua vez, a previsão do artigo 46, que está na seção seguinte à da responsabilidade civil e trata de segurança e sigilo de dados, inaugura o capítulo da Lei sobre segurança e boas práticas com o comando aos agentes de tratamento de dados para agirem adotando medidas capazes de evitar "qualquer forma de tratamento inadequado ou ilícito".

Portanto, um assunto que ainda merece ser enfrentado é a figura da responsabilidade civil por tratamento inadequado. Seria uma espécie de responsabilidade civil por ato lícito? No caso de vislumbrada a figura por abuso de direito, há possibilidade de já se inserir no tratamento ilícito, dada previsão do artigo 187 do Código Civil.

Importante se rememorar que a seção da Responsabilidade Civil engloba os artigos 42 a 45, sendo que o parágrafo único do artigo 44 assim estabelece: "Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta lei, der causa ao dano".

Nota-se a responsabilização por danos decorrentes da violação de segurança por não adoção de medidas estipuladas no artigo 46 impõe que devem ser realizadas medidas aptas a evitar qualquer forma de "tratamento inadequado ou ilícito", sendo que a não adoção dessa medidas pode acarretar responsabilização. Há, na lei, a determinação para evitar qualquer forma de tratamento ilícito. O que está claro! Todavia, também há - ligada por conjunção alternativa ou - a mesma previsão tocante a tratamentos que, mesmo não sendo ilícitos, sejam inadequados.

Ao separar inadequado de ilícito pela conjunção alternativa, a LGPD teria estabelecido que responde por danos decorrentes da violação de segurança dos dados o agente de tratamento de dados que deixar de adotar medidas de segurança aptas a evitarem tratamento inadequado.

Isto é, do tratamento inadequado que advierem danos, o agente será responsabilizado ao ressarcimento. Oportuno destacar desde já que a referida normativa não diz o que seria tratamento adequado tampouco inadequado. A bem da verdade, tratamento inadequado é somente mencionado na lei em uma única ocasião: exatamente, a aqui tratada.

Para melhor compreensão, é prudente o exame da responsabilidade civil na LGPD como um todo para se particularizar a aqui examinada.

A LGPD constitui um diploma legal inspirado (além do Regulamento Geral de Proteção de Dados) no Código de Defesa do Consumidor. E, tal qual o CDC, a Lei Geral cria uma teia interconectada de dispositivos, ligando um princípio a um direito do titular, um fundamento a um conceito e, assim sucessivamente. Nada obstante essa intraconexão normativa, referidos diplomas legais expressamente abrem-se para outros ao estabelecerem que suas previsões não excluem diferentes disposições legais (artigos 7º do CDC e 64 da LGPD), com consequências também na seara da responsabilidade civil.

Nesse sentido, o próprio artigo 45 da LGPD faz remissão para o CDC quando estatui a aplicabilidade de normas atinentes à defesa do consumidor em caso de violações de direitos de titulares de dados ocorrem em relações de consumo. Merece anotação que não apenas em relações de consumo poderá haver incidência conjunta da LGPD e do CDC, mas também nas situações jurídicas de consumo, como pode ser o caso de eventual vazamento de dados representando, ao mesmo tempo, um acidente de consumo. O que atrai a incidência do CDC, por força do artigo 17 do Código do Consumidor.

Já nos artigos 42 a 44, a LGPD trata especificamente da responsabilidade civil, sem esquecer de outros dispositivos da própria Lei Geral que envolvem a responsabilidade civil, como o princípio da responsabilização e prestação de contas (artigo 6º, X), associando a não observância de adoção e realização de deveres de cuidado e transparência com as consequências danosas e os deveres de ressarcimento.

E é destes dispositivos que nascem as teorias sobre os regimes estabelecidos, como é o caso da denominada responsabilidade civil proativa¹, da responsabilidade civil objetiva pelo risco², objetiva por falha nos deveres de segurança³ e, ainda, da responsabilidade subjetiva⁴, bem como de posicionamentos que compreendem pela coexistência dos regimes subjetivo e objetivo na LGPD⁵. Ou, ainda, uma responsabilidade civil objetiva por violação dos deveres de segurança agregada⁶ a um dever de proatividade e, pois de prevenção de danos.

No tocante à responsabilidade civil por tratamento inadequado, não há⁷ exames pela doutrina ou jurisprudência. De toda forma, nota-se a previsão de responsabilidade civil por não adoção de medidas capazes de prevenir tratamento inadequado⁸. Acrescente-se que a LGPD igualmente impõe responsabilização para tratamento irregular que cause danos (caput do artigo 44).

Assim, haveria as figuras de tratamento ilícito, tratamento irregular e tratamento inadequado. O primeiro acontece quando há tratamento em violação à legislação de proteção de dados, já o irregular "quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar", nos termos do mencionado artigo 44.

Examina-se, então, o tratamento inadequado, sendo que não há previsão expressa sobre tratamento adequado⁹ (tampouco inadequado). Estaria a LGPD, ao distinguir tratamento inadequado de ilícito, dispondo sobre responsabilidade civil por ato lícito?

Ou, ainda, seria, tal qual o CDC, um diverso regime de responsabilidade civil para além dos especificamente estabelecidos? Isso porque o CDC disciplina a responsabilidade civil pelo fato do produto ou do serviço, como também pelo vício. Além destes, há o direito básico do consumidor de prevenção e reparação de danos, sendo considerado como um terceiro regime de responsabilidade civil, qual seja, uma cláusula geral de responsabilidade civil no CDC¹⁰.

Seria, assim, uma cláusula geral de responsabilidade civil na LGPD a responsabilidade civil por tratamento inadequado? O que poderia estar em consonância com os princípios expressos no referido diploma legal, notadamente com os princípios da prevenção e da responsabilização e prestação de contas.

Nesse caso, na presença de danos injustos e ressarcíveis decorrentes de situações que envolvam tratamento de dados pessoais, sem que ocorra específica incidência de um dos artigos da LGPD, se poderia estar diante do dever de ressarcimento por tratamento inadequado de dados pessoais, ainda que não haja ilicitude.

Com efeito, a Lei Geral traz campo fértil aos estudos sobre responsabilidade civil. De forma que o presente texto compartilha dúvidas para, quem sabe, lançar novas sementes para investigações ainda necessárias.

____________

1 BODIN DE MORAES, Maria Celina; QUEIROZ, João Quinelato de. Autodeterminação informativa e responsabilização proativa: novos instrumentos de tutela da pessoa humana na LGPD. Cadernos Adenauer xx (2019), nº 3. Proteção de dados pessoais: privacidade versus avanço tecnológico. Rio de Janeiro: Fundação Konrad Adenauer, outubro 2019.

2 MARTINS, Guilherme Magalhães; FALEIROS JÚNIOR, José Luiz de Moura. Compliance digital e responsabilidade civil na Lei Geral de Proteção de Dados. In: MARTINS, Guilherme Magalhães; ROSENVALD, Nelson (coord.). Responsabilidade civil e novas tecnologias. Indaiatuba, SP: Editora Foco, 2020. p. 263-297.

3 CRAVO, Daniela Copetti; KESSLER, Daniela Seadi; DRESCH, Rafael de Freitas Valle. Responsabilidade Civil na portabilidade de dados. In: MARTINS, Guilherme Magalhães; ROSENVALD, Nelson (coord.). Responsabilidade civil e novas tecnologias. Indaiatuba, SP: Editora Foco, 2020. p. 185-201. Nesse sentido: "Logo, sejam os "vazamentos" considerados espécie do gênero "incidente de segurança" - como sugere a ANPD - ou uma categoria sui generis de ilícito relativo a dados pessoais, fato é que sua ocorrência será determinada pela concretude danosa de natureza patrimonial, moral, individual ou coletiva (art. 42), catalisada pela irregularidade da atividade de tratamento, cuja aferição não deverá se pautar por qualquer espécie de culpa, mas pela identificação casuística das situações acidentais ou ilícitas (art. 46) que permitam concluir, a partir de circunstâncias objetivas (art. 44, I a III), que o tratamento realizado, em qualquer de suas etapas, até mesmo após o término (art. 47), não oferece a segurança esperada pelo titular (arts. 44, caput, e 49), e desde que o nexo causal não seja excepcionalmente afastado (art. 43)." FALEIROS JÚNIOR, José Luiz de Moura. https://www.migalhas.com.br/coluna/migalhas-de-protecao-de-dados/351388/o-que-e-afinal-um-vazamento-de-dados

4 GUEDES, Gisela Sampaio da Cruz; MEIRELES, Rose Melo Vencelau. Término do Tratamento de Dados. In: FRAZÃO, Ana; TEPEDINO, Gustavo; OLIVA, Milena Donato coord. Lei geral de proteção de dados pessoais e suas repercussões no direito brasileiro [livro eletrônico] / 2. ed. São Paulo: Thomson Reuters Brasil, 2020.

5 SCHREIBER, Anderson. Responsabilidade Civil na Lei Geral de Proteção de Dados Pessoais. In: DONEDA, Danilo et al. Tratado de proteção de dados pessoais. Rio de Janeiro: Forense, 2021. p. 330-349.

6 MAIMONE, Flávio Henrique Caetano de Paula. Responsabilidade civil na LGPD: Efetividade na proteção de dados pessoais. 1ª ed. Indaiatuba, SP: Editora Foco, 2022.

7 Ao menos, não foi encontrada fonte em sentido diverso.

8 Ou de tratamento ilícito, fazendo uma distinção entre esses dois tratamentos que podem ensejar responsabilização: inadequado ou ilícito.

9 A Lei Geral refere-se ao termo (in)adequado noutros dispositivos, cujas menções não parecem guardar relação com o "tratamento inadequado". Destacamos, ainda, que a LGPD impõe o cumprimento do princípio da adequação (artigo 6º, II), pelo qual deve haver, simultaneamente, compatibilidade entre as atividades de tratamento de dados e o princípio da finalidade e, ainda, conformidade destas atividades com o contexto do tratamento. Se pensarmos que tratamento inadequado seria um tratamento que viole referido princípio, ao que parece, estaremos declarando que uma violação a esse princípio seria diferente de tratamentos que violem os demais princípios da Lei, sendo que violação a princípio em si (que causar danos) enseja responsabilidade por tratamento ilícito. Reforçamos, assim, não enxergar uma específica responsabilidade civil por violação a um específico princípio, como seria uma violação ao princípio da adequação. Apenas destacamos referido princípio pela nomenclatura utilizada no diploma legal, todavia não entendemos que seja essa a resposta para o exame aqui iniciado.

10 BESSA, Leonardo Roscoe. Código de Defesa do Consumidor Comentado. 2ª ed. Rio de Janeiro: Forense, 2022.

COORDENAÇÃO

Carlos Edison do Rêgo Monteiro Filho é professor titular e ex-coordenador do programa de pós-graduação em Direito da Faculdade de Direito da UERJ (mestrado e doutorado). Doutor em Direito Civil e mestre em Direito da Cidade pela UERJ. Presidente do Fórum Permanente de Direito Civil da Escola Superior de Advocacia Pública da Procuradoria-Geral do Estado do Rio de Janeiro (ESAP/PGE). Vice-presidente do IBERC (Instituto Brasileiro de Estudos da Responsabilidade Civil). Autor de livros e artigos científicos. Advogado, parecerista e consultor em temas de Direito Privado.

Fernanda Schaefer é pós-doutora pelo Programa de pós-graduação Stricto Sensu em Bioética da PUC-PR. Doutora em Direito das Relações Sociais pela Universidade Federal do Paraná, curso em que realizou Doutorado Sanduíche nas Universidades do País Basco e Universidade de Deusto (Espanha). Professora do UniCuritiba. Coordenadora do Curso de Pós-Graduação em Direito Médico e da Saúde da PUC-PR. Assessora Jurídica do CAOP Saúde MPPR.

Igor de Lucena Mascarenhas é advogado e professor universitário nos cursos de Direito e Medicina (UFPB / UNIFIP). Doutorando em Direito pela UFBA e doutorando em Direito pela UFPR. Mestre em Ciências Jurídicas pela UFPB. Especialista em Direito da Medicina pelo Centro de Direito Biomédico vinculado à Faculdade de Direito da Universidade de Coimbra.

Nelson Rosenvald é advogado e parecerista. Professor do corpo permanente do Doutorado e Mestrado do IDP/DF. Pós-Doutor em Direito Civil na Università Roma Tre. Pós-Doutor em Direito Societário na Universidade de Coimbra. Visiting Academic na Oxford University. Professor Visitante na Universidade Carlos III, Madrid. Doutor e Mestre em Direito Civil pela Pontifícia Universidade Católica de São Paulo - PUC/SP. Presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil - IBERC. Foi Procurador de Justiça do Ministério Público de Minas Gerais.

Paulo Roque Khouri é doutorando em Direito Constitucional pelo Instituto Brasiliense de Direito Público - IDP. Graduado em Direito pelo Centro Universitário de Brasília - UNICEUB (1992) e em Jornalismo pela Universidade Federal de Juiz de Fora (UFJF) (1987); mestrado em Direito Privado pela Universidade de Lisboa (2006). Atualmente é professor do Instituto Brasiliense de Direito Público (IDP), sócio do escritório de advocacia Roque Khouri & Pinheiro Advogados Associados S/C.

outras edições

APOIADORES

FOMENTADORES