Responsabilidade civil no tratamento de dados pessoais: controvérsias sobre regime e ressarcimentos

A Lei Geral de Proteção de Dados Pessoais (LGPD) completou neste mês de agosto quatro anos desde sua sanção, como Lei nº 13.709 de 2018. Embora possam ser comemorados vários avanços em diversos aspectos do tripé “cultura, sistemas e regras”, ainda restam muitas pendências e desafios sérios a serem enfrentados para que se possa dizer que o Brasil realmente construiu um contexto protetivo efetivo. Entre essas carências, merece atenção a responsabilidade civil no âmbito do tratamento de dados pessoais.

Quais as controvérsias na responsabilidade civil dos agentes de tratamento?

Da produção à eliminação, passando por coleta, reprodução, modificação, arquivamento e até transferência internacional, o imenso universo de diferentes operações envolvendo dados pessoais é abarcado na LGPD sob o amplo conceito de “tratamento”. E são denominados agentes de tratamento quem exerce as operações com dados pessoais, divididos nas figuras do controlador (que decide sobre o tratamento) e do eventual operador (que realiza as operações em nome daquele, numa situação de “terceirização” do tratamento), sendo oportuno ainda o papel do encarregado (que intermedeia a comunicação dos agentes com titulares de dados e com o poder público).

A partir da premissa de que a responsabilização dos agentes é um dos princípios legais a serem observados nas atividades de tratamento de dados pessoais, no capítulo que regula os agentes a LGPD dedica uma seção a tratar particularmente “Da Responsabilidade e do Ressarcimento de Danos”, com os artigos 42, 43, 44 e 45. Todavia, a ausência de algumas definições abre espaço para discussões, notadamente sobre o regime de responsabilidade e o que configura o dano indenizável.

Objetiva ou subjetiva: qual o regime de responsabilização civil na LGPD?

Na sistemática da responsabilidade civil, tradicionalmente, atribuía-se o dever de indenizar apenas à pessoa que cometeu um ato ilícito causador de um dano. A ilicitude trazia consigo a configuração da culpa dessa pessoa, seja pela irregularidade no ato próprio, seja por um ato de outra pessoa que por aquela foi mal selecionada (culpa in eligendo) ou mal supervisionada (culpa in vigilando), ou ainda por falta de cuidado com certas coisas ou animais (culpa in custodiando).

A evolução desse campo do direito diante da maior complexidade da sociedade, com circunstâncias que dificultam a verificação da culpa (notadamente acidentes do trabalho e acidentes em meios urbanos de transporte), provocou a adoção do regime objetivo: em detrimento de punir a pessoa culpada, privilegia-se a reparação da vítima, atribuindo-se o dever de reparar a alguém (em regra, uma pessoa jurídica, como o Estado ou uma empresa) mesmo que efetivamente não tenha nenhuma culpa e não tenha feito nada de errado. Diante do maior risco decorrente das atividades, essa injustiça aparente na imposição da obrigação se compensa pela facilitação do mecanismo de indenização da vítima, gerando segurança jurídica de que o ordenamento legal ampara quem tiver seus direitos violados.

No Brasil, essa abordagem se consolidou ao ser expressa na Constituição Federal, no Código de Defesa do Consumidor e no Código Civil de 2002. Ainda cabe a responsabilidade civil subjetiva em muitas situações, mas pode-se afirmar que na maioria das vezes é irrelevante verificar a culpa da pessoa jurídica que vai assumir o dever de indenizar.

Apesar de muito se assemelhar à redação do Código de Defesa do Consumidor, a LGPD não prevê expressamente o dever de reparar “independentemente da existência de culpa”, no que estipularia o regime de responsabilidade civil objetiva. Por outro lado, três aspectos indicam tampouco se tratar do regime subjetivo: no que típico da responsabilidade objetiva, ao tratar do nexo causal, a LGPD atribui aos agentes o ônus invertido de, para não serem responsabilizados, provarem que não realizaram o tratamento, não houve violação da lei ou não causaram a violação; ela se pauta pelo risco, ao definir como irregular todo tratamento que não observa a lei ou não fornece “a segurança que o titular dele pode esperar”; e ela não exime os agentes de responsabilidade pela mera adoção de medidas de proteção de dados pessoais.

A doutrina se bifurca entre quem defende a responsabilidade objetiva (Danilo Doneda e Laura Schertel, Caitlin Mulholland, Sthéfano Bruno e Taisa Marina) ou subjetiva (Gisela  Sampaio, Rose Meireles, Antonio Freitas, Carlos Nelson Konder, Marco Antônio De Almeida Lima) , e ainda há quem defenda que certas situações atraem um ou outro regime (Anderson Schreiber, Bruno Bione e Daniel Dias, Camila Ferrão, Jeniffer Gomes e Vinicius Padrão). Em proposta criativa, Maria Celina Bodin e João Quinelato enxergam uma terceira modalidade, que chamam de responsabilidade civil proativa.

Dano ou prejuízo: quais os pressupostos para a reparação civil nas ofensas à LGPD?

Além da conduta e do nexo causal, o dano é pressuposto para a reparação civil: se não houver dano, não há efetivamente o que ser reparado. Emerge, pois, a questão: o que configura o dano, ou, quais situações dão ensejo ao dever de reparação?

Entendo que qualquer vazamento de dados pessoais gere o direito à indenização por dano moral. Da mesma forma, qualquer falha nos deveres de transparência ativa e comunicação de incidentes. Essa conclusão, no entanto, depende da compreensão de que o dano corresponde a qualquer violação de direito, e não depende de um prejuízo financeiro.

Ao meu ver, a LGPD se alinha a essa perspectiva: quando afirma a obrigação do controlador e do operador em reparar, fala em dano tanto patrimonial quanto moral. Mas é fato que ela não explicita o que configura dano moral em termos de dados pessoais, abrindo margem para debate. Há quem considere ser necessária a demonstração de alguma repercussão negativa, interna à pessoa ou externa, em caráter público, para além da violação da lei.

Várias notícias, relatórios, artigos de opinião, trabalhos acadêmicos, registram que as decisões judiciais atuais se dividem: algumas concedem indenização apenas pelo fato do vazamento, o que se chama de dano in re ipsa (do latim “na coisa em si”); outras condicionam o pagamento à verificação de que esse fato foi causa de algum (outro) dano à pessoa titular, ou “reverberações do referido compartilhamento irregular”.

Como avançar nesse cenário de controvérsias?

Há algum tempo tenho afirmado que muitas das discussões mais contemporâneas sobre responsabilidade civil, sobretudo envolvendo tecnologias digitais, são reflexos de uma série de controvérsias oriundas da própria disciplina jurídica da responsabilidade civil. Nessa linha, entendo que, tanto quanto o Marco Civil da Internet, também a LGPD vem expor a necessidade de um amadurecimento do regime jurídico brasileiro de responsabilidade civil. O que se pode fazer diante desse cenário? De onde podem vir soluções para os impasses?

Penso que, de imediato, tanto em casos concretos, quanto no exame de teses em abstrato, cabe ao Poder Judiciário o papel institucional de afirmar a garantia constitucional de proteção de dados pessoais, assegurando sua máxima efetividade. Entendo que o melhor desempenho desse papel passa por asseverar que, primeiro, por menor que seja, toda e qualquer violação de direitos previstos na LGPD impõe um dever de compensação ao titular dos dados pessoais afetados, ainda que a indenização tenha um valor reduzido, ainda que a condenação se limite a uma obrigação de fazer; e, segundo, a prevalência do regime objetivo de responsabilização dos agentes de tratamento.

E no longo prazo, de um lado, cabe à Autoridade Nacional de Proteção de Dados a atribuição de regulamentar as adequações dessas linhas jurídicas gerais a cada contexto setorial, de maneira específica, eventualmente transitória, considerando economia, tecnologia, sociologia, política etc., em uma perspectiva complexa que demanda o apoio multisetorial do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. E do outro lado, cabe ao Congresso Nacional, caso seja necessário, promover aprimoramentos nas previsões expressas na LGPD, ao evidenciar na letra da lei, por exemplo, que se trata de um regime objetivo de responsabilidade, e que o ressarcimento dos danos é cabível mesmo que não haja prejuízos financeiros.

E as demais pendências e desafios?

Em paralelo a essas numerosas questões envolvendo a responsabilidade civil, é profusa a lista de temas que tangenciam a área da proteção de dados. Por exemplo, Rafaela Ferreira abordou os riscos para dados biométricos no contexto da realidade estendida.

E outros itens igualmente interessantes (ética, inteligência artificial, intervenção humana, segurança da informação, aplicação da LGPD no setor público, estrutura jurídica da ANPD, contemporaneidade no Sul-Global) foram explorados com muita riqueza durante o 13º Seminário de Proteção à Privacidade e Aos Dados Pessoais, realizado pelo Comitê Gestor da Internet no Brasil e pelo Núcleo de Informação e Coordenação do Ponto BR, nos dias 17 e 18 de agosto em São Paulo (SP).

Os vídeos do evento estão todos disponíveis no canal do NIC.br no YouTube, incluindo minha participação ao lado de Eduardo Tomas e Vicius Filho (USP), Giovanna Ventre (Google), Gisela Sampaio (UERJ/BMA Advogados) e Caitlin Mulholland (PUC-Rio/Comissão de Programa) no painel que serviu de inspiração para este texto.

As opiniões e perspectivas retratadas neste artigo pertencem a seu autor e não necessariamente refletem as políticas e posicionamentos oficiais do Instituto de Referência em Internet e Sociedade.