Por:
Caitlin Sampaio Mulholland
Professora associada de direito civil do Departamento de Direito da Pontifícia Universidade Católica do Rio de Janeiro (PUC-Rio)
O artigo traz uma análise sobre as diferentes teorias a res- peito da natureza jurídica da responsabilidade civil pelos danos causados pela violação de dados sensíveis na LGPD.
Para tanto, é analisado o conceito de dados sensíveis e identificadas as bases legais para o seu tratamento, fazendo um cotejo com os princípios da não discriminação e da responsabilização. Após a apresentação das teorias desenvolvidas sobre a responsabilidade civil – subjetiva, objetiva e proativa sustenta-se que a responsabilidade civil dos agentes de tratamento pelos danos causados aos titulares de dados é objetiva, baseada na teoria do risco. Foram analisados os artigos 42, 44 e 46, da LGPD, para alcançar tal conclusão.
A LGPD, em seus artigos 42 a 45, estabelece as regras referentes à responsabilidade civil dos agentes de tratamento de dados pessoais, inaugurando um debate doutrinário a respeito da natureza da obrigação de indenizar, se subjetiva baseada na falta a um dever de conduta imposto ao agente de tratamento – ou objetiva – fundamentada no risco da atividade desenvolvida pelos agentes. Estas normas, por sua vez, são justificadas por três princípios da LGPD, quais sejam, segurança (art. 6º, VII), prevenção (art. 6º, VIII) e responsabilização e prestação de contas (art. 6º, X). Complementa o debate, os artigos 46 e seguintes, da LGPD, que tratam da segurança de dados, governança e sanções administrativas adequadas em caso de incidentes de segurança.
De acordo com Gisela Sampaio e Rose Meire- les1, a LGPD adotou claramente a teoria subjetiva da responsabilidade civil, devendo haver a prova da conduta culposa do agente de tratamento na ocasião do dano, por sua vez fundamentada (i) na omissão na adoção de medidas de segurança para o tratamento adequado dos dados (“quando não fornecer a segurança que o titular dele pode esperar,”); (ii) no descumprimento das obrigações impostas na lei (“em violação à legis- lação de proteção de dados pessoais” ou “quando deixar de observar a legislação”). As autoras indicam que o Capítulo VI da LGPD (artigos 46 a 54) – que trata de standards de conduta a serem seguidos pelos agentes de tratamento de dados para a segurança, sigilo, boas práticas e governança de dados – seria também o fundamento para o reconhecimento da responsabilidade subjetiva. Em complementação ao entendimento das autoras, na análise das excludentes de responsabilidade do artigo 43, da LGPD, o inciso II pareceria indicar a adoção de uma excludente tipicamente relacionada às hipóteses de responsabilidade civil subjetiva ao estatuir que só não serão responsabilizados se, ainda que exista o dano, não houver violação da legislação de proteção de dados. A violação da lei, para as autoras, seria elemento subjetivo da obrigação de indenizar e indicaria a conduta culposa do agente de trata- mento de dados. Assim, não haverá obrigação de indenizar quando o agente de tratamento de da- dos tiver demonstrado que “(…) observou o standard esperado e, se o incidente ocorreu, não foi em razão de sua conduta culposa”2. Em resumo, sustentam as autoras que a LGPD adota a teoria subjetiva da responsabilidade civil, calcada em duas “dicas” deixadas pelo legislador: (i) no artigo 42, quando o legislador faz menção a medidas de segurança; (ii) no art. 43, II, quando o legislador estabelece excludente de ilicitude referente ao cumprimento das normas da LGPD.
Em posição diversa, Maria Celina Bodin de Mora- es e João Quinelato3 acreditam que a LGPD adota a chamada teoria ativa ou proativa da responsabilidade civil. Esta teoria indica a necessidade de olhar-se a responsabilidade civil de um ponto de vista positivo, sustentado pela necessidade da adoção de posturas pelos agentes de tratamento de dados que tutelem a prevenção de danos, sendo a obrigação de indenizar medida excepcional a ser tomada. De acordo com os autores, “a proteção da intimidade por vias da mera não interferência na esfera individual cede espaço à tutela positiva e proativa, isto é, que garanta ao titular o conhecimento pleno das formas de tratamento, finalidade e destino de seus da-
dos”4. Complementam essa afirmação, indicando que os dados pessoais, por constituírem conteúdo do direito à privacidade, impõem que “a coleta e o tratamento de dados pessoais deve ser precedida de medidas rigorosas e eficazes de proteção, especialmente em relação aos dados sensíveis, núcleo duro da dignidade humana”5. Os autores sustentam que a “responsabilidade proativa” encontra-se justificada no art. 6º, X, da LGPD, que reconhece o princípio da responsabilização e prestação de contas que impõem aos agentes de tratamento de dados pessoais a “demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas”.
De outro lado, Danilo Doneda e Laura Mendes6 consideram que a atividade de tratamento de da- dos encerra um risco intrínseco, na medida em que há uma potencialidade danosa considerável em caso de violação desses direitos, que se caracterizam por sua natureza de direito personalíssimo e de direito fundamental. Partem os autores da constatação de que a legislação de proteção de dados tem como um dos seus principais fundamentos a diminuição de riscos de dano. Tanto assim, que a lei adota como princípio, no artigo 6, III, o da necessidade que impõe a “limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tra- tamento de dados”. Estas considerações a res- peito da finalidade da lei e dos princípios por ela adotados (necessidade, minimização, responsabilidade e prestação de contas, entre outros), levam os autores a concluir que o legislador optou por um regime de responsabilidade objetiva, vinculando o exercício da atividade de tratamento de dados pessoais a um risco inerente, potencial- mente causador de danos a seus titulares.
Analisando os princípios indicados, o princípio da prestação de contas estabelece a necessidade de atender à transparência a ser adotada pelo agente de tratamento de dados acerca dos procedimentos que são tomados para a segurança no tratamento de dados. Esta transparência deve ser considerada como um dever “ativo”. Isto é, aos titulares de dados devem ser comunicadas todas as medidas de segurança que serão toma- das para evitar o dano. A transparência, por sua vez, gera a obrigação ao agente de tratamento de prestar contas, onde serão evidenciadas as medidas que estão sendo tomadas para uma atua-
ção em conformidade com as boas práticas im- postas pela lei. Uma das formas, inclusive, de avaliação destas práticas se dá pelo chamado re- latório de impacto à proteção de dados pessoais, que se configura como a “documentação do con- trolador que contém a descrição dos processos de tratamento de dados pessoais que podem ge- rar riscos às liberdades civis e aos direitos fun- damentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco” (art. 5, XVII, LGPD). O uso deste termo ― “mecanismos de mitigação do risco” ―, refere-se à capacidade do pretenso ofensor de reconhecer previamen- te os riscos relacionados à atividade que ele de- senvolve e tomar as medidas para evitar o dano, numa antecipação que o controlador ou opera- dor deverá considerar para evitar a obrigação de reparar, por meio da gestão dos riscos relacio- nados à atividade desenvolvida.
Em complementação, o artigo 44, LGPD, trata da hipótese em que se reconhece que haverá trata- mento irregular de dados quando o agente de tratamento (i) deixar de observar a legislação; ou (ii) não oferecer a segurança que o titular dele pode esperar (legítima expectativa). Por sua vez, estes dois fundamentos que formam o conceito do tratamento irregular de dados devem ser analisa- dos considerando, dentre outras circunstâncias, o modo como o tratamento é realizado, o resultado e os riscos razoavelmente esperados pelo tratamento e as técnicas de tratamento de da- dos disponíveis à época em que este foi realiza- do. Complementa a redação do artigo 44, o seu parágrafo único, que estabelece que o controlador ou o operador será obrigado a indenizar os danos decorrentes da violação da segurança dos dados quando deixarem de adotar as medi- das de segurança previstas no art. 46, da LGPD, quais sejam, aquelas “aptas a proteger os da- dos pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.
Com base na redação do artigo 44, LGPD, questiona-se se o legislador inaugurou um regime de responsabilidade civil diverso daquele adotado no artigo 42, LGPD. Essa indagação se deve ao fato de que (i) o artigo 44, LGPD, utiliza a expressão “tratamento irregular”, condicionando a hipótese de responsabilidade civil prevista em seu parágrafo único, à qualificação de irregularidade definida no artigo 46, LGPD, e (ii) o artigo 46, LGPD, encontra-se inserido no Capítulo VII, que trata da “Segurança e Boas Práticas”, na Seção I, “Da Segurança e Sigilo de Dados”, que se refere às medidas de segurança e boas práticas que devem ser adotadas pelo agente de tratamento para a prevenção de danos decorrentes de incidentes de segurança. Assim, enquanto o artigo 42, LGPD, impõe a obrigação de indenizar “em razão do exercício de atividade de tratamento de dados pessoais”, o artigo 44 e seu parágrafo único, LGPD, determinam a obrigação
de indenizar caso haja tratamento irregular de dados pessoais, identificado como sendo aquele decorrente da “violação da segurança dos da- dos”. Parece que o legislador quis identificar nessa hipótese situações danosas que decorrem especificamente de incidentes de segurança que são, por sua vez, acontecimentos que se relacionam ao risco inerente ao desenvolvimento da atividade de tratamento de dados, como vazamentos não intencionais e invasão de sistemas e bases de dados por terceiros não auto- rizados. Neste sentido, esses riscos devem ser necessariamente situados como intrínsecos à atividade de tratamento de dados e, portanto, considerados, em última análise, como hipótese de fortuito interno, incapazes de afastar a obrigação dos agentes de tratamento de indenizar os danos causados pelos incidentes. Conclui-se, portanto, que apesar do uso de expressões diversas em sua redação, tanto o ar- tigo 42, quanto o artigo 44, da LGPD, adotam o fundamento da responsabilidade civil objetiva, impondo aos agentes de tratamento a obrigação de indenizar os danos causados aos titulares de dados, afastando destes o dever de comprovar a existência de conduta culposa por parte do controlador ou operador. Fundamenta esta conclusão o fato de que a atividade desenvolvida pelo agente de tratamento é evidentemente uma atividade que impõe riscos aos direitos dos titula- res de dados, que, por sua vez, são intrínsecos, inerentes à própria atividade e resultam em da- nos a direito fundamental. Ademais, tais danos se caracterizam por serem quantitativamente elevados e qualitativamente graves, ao atingirem direitos difusos, o que, por si só, já justificaria a adoção da responsabilidade civil objetiva, tal como no caso dos danos ambientais e dos da- nos causados por acidentes de consumo.