O labirinto da responsabilidade na LGPD

A LGPD chegou ao Brasil com o peso de uma promessa ambiciosa: mudar de forma definitiva a maneira como empresas tratam informações pessoais e oferecer aos cidadãos um patamar inédito de proteção e transparência. Mas, ao mesmo tempo em que elevou o debate sobre privacidade, a lei construiu um regime de responsabilidade civil tão complexo que, na prática, tem potencial para gerar mais disputas do que soluções. Entre definições vagas, sobreposições legais e zonas cinzentas, o sistema que deveria servir como bússola tornou-se um labirinto jurídico difícil de percorrer.

O primeiro ponto de tensão está nos arts. 42 a 45, que tratam da responsabilização. Embora indiquem diretrizes, eles dependem de interpretações cruzadas com o CC e o CDC. Em vez de um modelo coeso, a LGPD delega ao "diálogo de fontes" a tarefa de preencher lacunas, o que apenas amplia a incerteza. Nesse ambiente, figuras centrais como controlador e operador passam a conviver com responsabilidades cuja fronteira nem sempre é clara. O controlador assume o papel principal, mas o operador pode ser responsabilizado caso descumpra a lei ou desvie das instruções recebidas. Em um vazamento, porém, cada parte pode apontar para a outra, alegando falhas em medidas de segurança, orientações insuficientes ou decisões equivocadas. Para o titular dos dados, a inversão do ônus da prova é um avanço; para as empresas, o cenário é de exposição constante.

A situação se torna ainda mais nebulosa quando entram em cena os co-controladores. Quando duas empresas decidem conjuntamente as finalidades e os meios de tratamento, ambas dividem o comando - e, ao que tudo indica, o risco. A responsabilidade solidária protege o titular, mas internamente abre caminho para conflitos intermináveis. Quem errou? Quem deveria ter monitorado o fluxo de dados? Quem determinou a estratégia que levou ao problema? Como não existe diretriz detalhada sobre a divisão dessa responsabilidade, cada incidente pode se transformar em um litígio complexo e custoso.

Há também um ator silencioso no ecossistema da LGPD: os data brokers. Esses "corretores de dados" movimentam bases gigantescas, compiladas a partir de múltiplas fontes e revendidas em camadas sucessivas. Muitas vezes, atuam como controladores, decidindo a finalidade e os meios do tratamento sem qualquer vínculo direto com o titular. Mas a lei diz pouco - quase nada - sobre sua atuação. Se um pacote de dados vendido por um data broker tem origem irregular ou carece de consentimento válido, quem responde? O fornecedor inicial? O comprador final? O próprio intermediário? Sem parâmetros claros, rastrear responsabilidades nessa cadeia é uma tarefa hercúlea, que desafia até especialistas experientes.

Além de todos esses nós práticos, a LGPD ainda carrega ambiguidades conceituais importantes. Uma das mais relevantes é a dúvida sobre a natureza da responsabilidade: objetiva ou subjetiva? O texto sugere ambas, dependendo do trecho analisado. Enquanto o art. 42 parece indicar responsabilidade objetiva, as excludentes de responsabilidade remetem a elementos de culpa. Outro ponto crítico é a noção de "tratamento irregular", definida por expressões como "não fornecer a segurança que o titular pode esperar" - uma medida extremamente subjetiva, que abre margem para interpretações conflitantes mesmo quando empresas investem pesado em segurança.

No fim das contas, o preço dessa nebulosidade jurídica é alto. Empresas podem travar disputas internas mais longas do que o necessário, desviando recursos da prevenção e da resposta ágil a incidentes. A insegurança desestimula parcerias, freia inovação e afeta principalmente negócios menores, que não dispõem de equipes jurídicas robustas. E, ironicamente, quem pode sair mais prejudicado é justamente quem a lei pretende proteger: o titular dos dados, que pode ficar preso na espera por soluções que se arrastam no Judiciário enquanto controladores e operadores brigam para definir responsabilidades.

A LGPD é um marco histórico e necessário, mas seu regime de responsabilidade ainda precisa amadurecer. Cabe à ANPD e ao Judiciário reduzir as zonas cinzentas, estabelecer parâmetros claros e uniformizar entendimentos. Só assim a lei poderá cumprir integralmente seu propósito: garantir direitos, prevenir danos e transformar a proteção de dados em um ambiente de confiança, não em um labirinto de conflitos.