Dados Pessoais

Responsabilidade civil dos agentes de tratamento de dados: subjetiva ou objetiva?

O legislador foi omisso ao não estabelecer um regime de responsabilidade claro na LGPD

Crédito: Pixabay

Há menos de um ano da entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD), a partir de agosto de 2020 (isso se o Projeto de Lei de autoria do Deputado Carlos Bezerra, que prorroga a entrada em vigor da lei para 2022, não for aprovado[1]), relevantes questões ainda pairam no ar acerca de sua interpretação e aplicação. Uma destas questões é a espécie de responsabilidade civil aplicável aos controladores e operadores de dados pessoais.

A LGPD, em seus arts. 42 ao 45[2], trata do regime de responsabilidade civil e ressarcimento de danos aplicável a tais agentes quando da prática de atos que violem a referida lei, resultando em um irregular tratamento de dados pessoais. Com efeito, o art. 39 da LGPD prevê, basicamente, que o operador deverá realizar o tratamento de dados segundo as instruções fornecidas pelo controlador.

O art. 42 da LGPD estabelece a obrigação de reparação de danos ocasionados pelo controlador ou operador que, em razão do exercício de atividade de tratamento de dados pessoais irregular, violar a lei. O conceito de tratamento irregular de dados se encontra no art. 44 da LGPD, o qual prevê que tal tratamento será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular de dados dele poderia esperar.

Por certo, o controlador de dados poderá ser responsabilizado em caso de concessão de instruções ilícitas ao operador, ou em caso de prática direta de atos que venham a violar a LGPD. Já, o operador de dados poderá ser responsabilizado pelos seus atos, ou pela desobediência a ordens do controlador.

Importante ressaltar que as instruções concedidas pelo controlador, ou os atos diretamente praticados por este ou pelo operador, serão irregulares quando violarem a legislação de proteção de dados, ou quando deixarem de observar os modos seguros e técnicos pelos quais o tratamento de dados deve ser realizado, as técnicas de tratamento de dados disponíveis à época, além dos riscos e resultados que podem ser esperados.

Ademais, o controlador ou operador de dados pessoais também responderá pelos prejuízos decorrentes da violação da segurança que der causa, resultando em danos ao titular dos dados, em razão de não ter adotado as medidas de segurança conforme o art. 46 da LGPD.

Por certo, a LGPD também estabelece, em seu art. 42, §1º, hipóteses de responsabilidade solidária entre os agentes de tratamento de dados. Nessa linha, conforme o inciso I do §1º do referido artigo, os operadores de dados pessoais poderão ser solidariamente responsabilizados entre si, nos casos em que haja mais de um operador e estes venham a descumprir as regras de adequação à LGPD quando do tratamento de dados pessoais.

Por sua vez, para que seja possível – na forma do inciso II do referido §1º do art. 42 da LGPD – a responsabilização dos controladores de dados, deve haver, na realidade, o envolvimento direto destes, muitas das vezes fazendo papel de operadores, exercendo diretamente atividades típicas de tratamento de dados, casos em que poderão ser solidariamente responsabilizados diante da confusão entre ambas as figuras.

Ainda quanto à responsabilidade solidária entre controladores e operadores de dados pessoais, a LGPD, no §4º do art. 42, estabelece o direito de regresso entre estes.

Cabe destacar, ainda, que ambos os incisos do §1º do art. 42 da LGPD preveem exceções à responsabilização dos controladores e operadores de dados pessoais, conforme art. 43 da lei.

Quanto a estas, a exceção de inexistência de prova de que os agentes de tratamento de dados realmente realizaram o respectivo tratamento irregular está relacionada à complexidade inerente às atividades de tratamento de dados pessoais, em um mundo cada vez mais conectado, com um fluxo crescente de transmissão de dados.

De acordo com Marcos Gomes da Silva Bruno, não é incomum que um titular de dados demande a empresa incorreta, acreditando ser esta a responsável pelo tratamento de dados pessoais irregular, ou por determinado incidente de segurança, quando não o foi.

Já, a exceção prevista no inciso II do art. 43 da LGPD é clara, uma vez que se não houver violação à legislação de proteção de dados, significa que o tratamento questionado não fora irregular, não havendo dever de indenizar e sequer ilicitude do ato.

Por sua vez, a exceção de culpa exclusiva do titular de dados pessoais ou de terceiro envolvido faz surgir a questão de se, mesmo havendo a violação por meio da invasão de um sistema por este terceiro, os agentes de tratamento poderiam ser responsabilizados em razão da não adoção das medidas técnicas de segurança cibernética adequadas.

Conforme defende Marcos Gomes, tendo o controlador e o operador de dados adotado as melhores técnicas de proteção dos sistemas cibernéticos, caso a invasão resulte de técnicas inovadoras, as quais foram capazes de superar e burlar as medidas de segurança eficientemente adotadas, deverá ser admitida a excludente de responsabilidade por fato de terceiro.[3]

Com efeito, deve-se ter em mente que nenhum sistema é a prova de falhas ou vulnerabilidades, havendo inúmeros dados demonstrando que os investimentos em segurança cibernética e combate a invasões vêm aumentando ao redor do mundo ao longo dos últimos anos, o que evidencia, também, o alto grau de evolução das invasões cibernéticas e a necessidade de técnicas mais avançadas e investimentos cada vez maiores para combate-las.[4]

Após estes breves pontos abordados, resta ainda uma das perguntas mais importantes a serem feitas: a responsabilidade dos agentes de tratamento de dados é objetiva ou subjetiva?

Certamente, o legislador foi omisso nesse ponto, perdendo a oportunidade de estabelecer um claro regime geral de responsabilidade aplicável aos agentes de tratamento de dados. Diante da omissão legislativa, cabe à doutrina cumprir a sua função interpretadora da lei. Assim, o entendimento doutrinário majoritário atual é no sentido de que a responsabilidade dos agentes de tratamento de dados pelos danos causados aos titulares é, em regra, subjetiva.

Geralmente, o tratamento de dados não é uma atividade que traz graves riscos aos titulares, de forma que, não sendo hipótese de aplicação de alguma das teorias do risco – risco proveito ou risco criado – nem havendo expressa previsão de responsabilidade objetiva, a responsabilidade dos agentes de tratamento é, de fato, subjetiva.

Porém, deve-se ter em mente que, em determinados casos, a responsabilidade do operador e/ou do controlador de dados será objetiva. Como exemplo, quando a relação entre tais agentes de tratamento e o titular dos dados pessoais for de consumo, a violação à legislação de proteção de dados acarretará a aplicação dos institutos do fato do produto ou fato do serviço, sendo a responsabilidade objetiva. Aliás, nessa linha é o próprio art. 45 da LGPD.

Além disso, quando a atividade de tratamento, em razão de sua natureza ou elementos, apresentar graves riscos aos titulares, será aplicável a responsabilidade objetiva, em decorrência da teoria do risco criado. Basta imaginarmos incidentes de segurança envolvendo o tratamento de dados de crianças ou grupos vulneráveis, ou de pacientes de um hospital.

Portanto, pode-se defender que a regra geral da LGPD é a responsabilidade subjetiva dos agentes de tratamento de dados, de maneira que o elemento culpa deverá ser demonstrado. Porém, em algumas hipóteses específicas, será aplicável a responsabilidade civil objetiva, conforme acima demonstrado.

Ademais, pode-se afirmar que, além das exceções previstas no art. 43 da LGPD, excludentes de responsabilidade previstas em outras leis, como o caso fortuito ou força maior, também poderão ser aplicadas, a fim de afastar a responsabilização dos agentes de tratamento.

Em regra, o ônus probatório acerca da existência dos elementos da responsabilidade civil é do próprio titular de dados pessoais que foi lesado. Todavia, a LGPD, em seu art. 42, §2º, prevê a possibilidade de inversão do ônus da prova, em favor do titular de dados.

Finalmente, além do operador e controlador de dados pessoais, importante também destacar o regime de responsabilidade aplicável ao encarregado pelo tratamento de dados pessoais (mais conhecido como Data Protection Officer – DPO, em inglês).

Em regra, o encarregado não poderá ser responsabilizado por eventuais tratamentos de dados irregulares cometidos pelos controladores ou operadores de dados pessoais. Os agentes de tratamento é quem são os responsáveis por garantir que a atividade de tratamento de dados está sendo realizada nos parâmetros legais.

Tal responsabilidade não pode ser imposta também ao encarregado, tratando-se de profissional com alto grau de autonomia, funcionando como ponte de comunicação entre os agentes de tratamento, a Agência Nacional de Proteção de Dados (ANPD) e os titulares de dados.

Todavia, certamente, nos casos em que tanto os agentes de tratamento, quanto o encarregado tenham participação no tratamento irregular de dados, não há óbice na responsabilização de todos os envolvidos, conforme seu grau de culpabilidade. Pode-se pensar, inclusive, na possibilidade de ação regressiva dos agentes de tratamento contra o encarregado, nos casos em que a culpa seja exclusiva deste, tendo como fundamento o art. 42, §4º, da LGPD.

Certamente, a questão da responsabilidade civil dos agentes de tratamento de dados levantará emblemáticos e complexos debates, principalmente no âmbito dos tribunais. É de conhecimento geral que grande parte do judiciário não está preparado para lidar com as problemáticas que surgirão envolvendo a interpretação e aplicação da LGPD.

 

————————————————————————————————–

[1] Projeto de Lei de Autoria do Deputado Carlos Bezerra, prorrogando a data de entrada em vigor dos dispositivos da Lei Geral de Proteção de Dados Pessoais para 15 de agosto de 2022. https://www.camara.leg.br/proposicoesWeb/prop_mostrarintegra;jsessionid=B369271DBB3629E36E6558F1B459565D.proposicoesWebExterno1?codteor=1828120&filename=PL+5762/2019. Acesso em: 01 nov 2019.

[2]  Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.§ 1º A fim de assegurar a efetiva indenização ao titular dos dados:

I – o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;

II – os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta Lei.

  • 2º O juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa.
  • 3º As ações de reparação por danos coletivos que tenham por objeto a responsabilização nos termos do caput deste artigo podem ser exercidas coletivamente em juízo, observado o disposto na legislação pertinente.
  • 4º Aquele que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso.

Art. 43. Os agentes de tratamento só não serão responsabilizados quando provarem:

I – que não realizaram o tratamento de dados pessoais que lhes é atribuído;

II – que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou

III – que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.

Art. 44. O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:

I – o modo pelo qual é realizado;

II – o resultado e os riscos que razoavelmente dele se esperam;

III – as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.

Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano.

Art. 45. As hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente.

[3] BRUNO, Marcos Gomes da Silva. Dos Agentes de Tratamento de Dados Pessoais. LGPD: Lei Geral de Proteção de Dados Comentada. Vivane Nóbrega Maldonado; Renato Opice Blum, coordenadores. – São Paulo: Thomson Reuters Brasil, 2019; p. 324-325.

[4] RAMOS, Diogo. A importância da cybersecurity no meio empresarial do século XXI. Publicado no portal Revista JOTA, em 30 set 2019. Disponível em: < https://www.jota.info/opiniao-e-analise/artigos/a-importancia-da-cybersecurity-no-meio-empresarial-do-seculo-xxi-30092019. Acesso em: 31 out 2019.