Foto: Pexels Muito se tem discutido a respeito do regime da responsabilidade civil do controlador na Lei Geral de Proteção de Dados (LGPD) e o tema está longe de encontrar uma posição pacificada.
Decorrido aproximadamente um ano desde o início da vigência da Lei e em virtude da grande judicialização processual envolvendo a proteção de dados, é possível nos depararmos com decisões com entendimentos divergentes acerca da natureza da responsabilidade civil, se objetiva ou subjetiva.
Há uma corrente que defende que a mera exposição do fato ilícito acarretaria o dever de indenizar o titular, o chamado dano moral “in re ipsa”, aquele que independe de prova, bastando ao titular que prove a prática do ato ilícito e não necessitando comprovar a violação dos direitos da personalidade para fazer jus à indenização por dano moral.
Em contraponto, há outra corrente que entende que a mera exposição do fato gerador de suposto dano moral prescinde da obrigatoriedade de vinculação ao dano sofrido, sem a qual não seria passível de condenação.
Algumas reflexões se fazem necessárias à luz da teoria do diálogo das fontes 1, idealizada na Alemanha pelo jurista Erik Jayme e trazida ao Brasil por Cláudia Lima Marques, segundo a qual as leis não devem ser aplicadas e interpretadas isoladamente, devendo as normas se complementarem, em consonância com os preceitos constitucionais.
Nessa ótica, a Lei Geral de Proteção de Dados 2, ao tratar de relações em que o titular for também consumidor, deve ser analisada conjuntamente com o Código de Defesa do Consumidor 3 (CDC), no âmbito do consumo, assim como, no âmbito das relações jurídicas privadas, em conjunto com o Código Civil 4.
Tendo em vista que na maioria das vezes o tratamento de dados pessoais ocorre dentro do ambiente de consumo, o objetivo é tecer algumas ponderações entre os estes dois diplomas legais. O Código de Defesa do Consumidor estabelece o regime de responsabilidade objetiva em seu artigo 14 5, preceituando que o fornecedor de produtos ou serviços responde objetivamente por prejuízos causados a terceiros independentemente da existência de culpa.
O artigo 45 da LGPD 6 dispõe que as hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente, remetendo assim, a responsabilidade objetiva que trata o artigo 14 do CDC 7.
Imperativo registrar que o mencionado dispositivo legal trata da falha e defeito do serviço cabendo ao consumidor e titular dos dados demonstrar a sua ocorrência. E, nesse sentido, a comprovação do defeito se torna um elemento chave para fins de constatação se, efetivamente, a responsabilidade objetiva se aplica aos agentes de tratamento. Para isso, é necessário interpretarmos conjuntamente com os dispositivos legais da Lei Geral de Proteção de Dados.
O artigo 42 8 estabelece a obrigação dos agentes de tratamento em reparar o dano patrimonial e moral, tanto individual como coletivo. O artigo 43 9 elenca as hipóteses de exclusão da responsabilidade, com especial atenção aos incisos II e III, os quais preveem a ocorrência do tratamento sem que tenha se caracterizado a violação à lei e quando o dano decorrer de culpa exclusiva do titular ou de terceiro.
Nesse sentido, corrobora o artigo 44 10, o qual estabelece que um tratamento será irregular quando o mesmo deixar de observar a legislação ou quando não fornecer a segurança que o titular deve esperar, ressalvadas as circunstâncias relevantes do caso concreto, entre elas, as técnicas de tratamento de dados pessoais disponíveis à época em que o tratamento de dados foi realizado.
O parágrafo único do mencionado dispositivo especifica ainda que o controlador responderá por danos decorrentes de violação da segurança dos dados se a causa do dano se der por inobservância na adoção das medidas de segurança previstas no artigo 46 da lei 11.
E, por fim, o referido artigo 46 12 estabelece que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas à proteção dos dados pessoais. Entretanto, para a devida caracterização de um incidente de segurança como um defeito, se faz imprescindível perpassar os dispositivos legais ora citados, da Lei nº 13.709/18 13, para que seja factível a verificação do preenchimento ou não dos requisitos necessários como condição essencial para atrairmos a imputação da responsabilidade objetiva do artigo 14 do CDC 14.
A existência do suposto dano do titular, na condição de consumidor, requer a caracterização do defeito do serviço.
Na prática, estaremos diante do diálogo das fontes, através do reenvio útil de normas e aplicação complementar entre a Lei Geral de Proteção de Dados para fins de enquadramento do incidente de segurança como um defeito de serviço ou não, hipótese em que, se configurada, é possível concluirmos se tratar do regime de responsabilidade civil objetiva previsto no Código de Defesa do Consumidor 15.
Fonte: Martha Leal, advogada especialista em Privacidade e Proteção de Dados
