Pexels Desde a entrada em vigor da Lei nº. 13.709/2018[1], a questão relacionada à proteção de dados pessoais e o ambiente on-line, tornaram-se assuntos cotidianos não só nas rodas jurídicas, mas, notadamente no mundo empresarial.
As discussões são inúmeras, e, isso faz muito bem ao amadurecimento legislativo, doutrinário e jurisprudencial, afinal de contas, toda mudança, traz consigo uma carga de incertezas, mas também provoca reflexos e amadurecimento e, com a LGPD não é diferente.
Assim, diante da grandeza do tema, o artigo deste mês tem por objetivo ser direto e reto, a um ponto fulcral e que, já emana inúmeras discussões judiciais a respeito, qual seja, “ocorrendo um incidente de segurança[2] com dados pessoais tenho o dever de indenizar sempre?”.
Partindo deste questionamento, tomamos como referencial o art. 46[3] da LGPD, que traz a obrigação de os agentes de tratamento de dados, tem de proteger os dados pessoais de seus clientes. E para servir de discussão em nosso artigo, vamos admitir como exemplo a seguinte situação hipotética:
“A Empresa A, controladora de dados pessoais, identificou um incidente de segurança em seus sistemas protetivos, que causou, a exposição de dados pessoais de parte de sua base de cliente. Ato contínuo, tratou de noticiar seus clientes, através de e-mails a cada envolvido, postagens genéricas em suas redes sociais, boletim de ocorrência, comunicação ao Ministério Público, e, comunicação à ANPD, dentre outras medidas. Salutar imaginarmos, para que nosso artigo tenha sentido de ser que, “inúmeros titulares dos dados expostos, acionaram judicialmente sobredita empresa, visando buscar a reparação por alegados danos morais”;
Resta evidente a falha na prestação do serviço, portanto, para se falar na excludente de responsabilidade civil prevista no artigo 43[4], incisos I e III da LGPD, deve-se antes de tudo, verificar se estão presentes os requisitos balizadores da responsabilização civil. Quais seja, a conduta, o nexo causal, o dano e a culpa.
Em primeiro lugar, não podemos esquecer de considerar que o consumidor/titular de dados pessoais, ao contratar a Empresa A, a fez justamente por confiar e esperar uma legítima expectativa de inviolabilidade absoluta do sistema por atuação ilícita de terceiros, acreditando haver toda segurança mínima para que seus dados fiquem seguros.
Assim, visando romper a juridicidade da conduta, talvez o ponto de partida, seja demonstrar que não há garantia de inviolabilidade digital absoluta nos dias atuais, entretanto, todas as medidas tecnológicas e legais foram tomadas em estrita obediência ao art. 46 da LGPD[5].
Em seguida, a defesa deverá demonstrar em juízo que a ocorrência do incidente se deu exclusivamente, por ato de terceiro externo, ou seja, aquele que não guarda qualquer relação com a atividade empresarial, logo, não se liga à empresa por nenhuma forma de conexão, não havendo culpa, rompendo o nexo causal e afastando o dever de indenizar.
Por conseguinte, faz-se necessário aferir se tal vazamento de dados causou efetivamente algum dano ao titular, sendo inconcebível se admitir dano in repsa na modalidade. Inclusive é o que positiva o art. 42 da LGPD[6].
Oportuno destacar, que em nosso sistema jurídico não há como indenizar uma expectativa de dano, sob pena de flagrante enriquecimento ilícito.
Desta forma, não basta mera alegação de presunção do dano moral, deve restar comprovado cabalmente a ocorrência de um dano e sua extensão, seja à honra, à imagem ou à moral.
Sendo assim, em que pese as mais variadas alegações que poderiam surgir no caso hipotético narrado em nosso artigo, evidente que, em se tratando de discussão ocasionada tendo como pano de fundo a LGPD, impõe-se a necessidade de demonstração de que o vazamento causou efetiva lesão à autodeterminação informativa[7] daquele titular. Logo, eventos futuros ou de mera suposição (danos hipotéticos), não são passíveis de indenização.
Concluindo, importante frisar no Brasil, a função da responsabilidade civil é ressarcir os danos sofridos pela vítima, e não punir o ofensor, logo, caberá ao titular do dado pessoal, comprovar os danos sofridos e sua extensão, o que poderá afastar a criação de uma nova indústria do dano moral como aquele vivida há décadas atrás, com o advento do Código de Defesa do Consumidor.
[1] Lei Geral de Proteção de Dados Pessoais - LGPD;
[2] Incidente de Segurança é todo e qualquer desrespeito às diretrizes de segurança trazidas pela LGPD;
[3] Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito
[4] Art. 43. Os agentes de tratamento só não serão responsabilizados quando provarem:
I - que não realizaram o tratamento de dados pessoais que lhes é atribuído;
II - que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou
III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
[5] Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
- 1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei.
- 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.
[6] Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
[7] Configura-se esta lesão, toda vez que o titular restar privado de manter o pleno controle sobre a circulação das informações que lhe digam respeito.
Escrito pelo Dr. Mauro Gonzaga Alvez Jr.
