Responsabilidade civil na LGPD: não há consenso entre especialistas


 A Lei Geral de Proteção de Dados Pessoais (LGPD) tem uma seção exclusiva dedicada à responsabilização, onde o texto expõe desde os critérios para reparação de danos a circunstâncias que caracterizam um tratamento irregular. O que não está presente nela é a especificação do regime de responsabilidade civil. Ao contrário do Código de Defesa do Consumidor, a lei não deixa claro se é necessário comprovar a culpa para haver indenização — motivo pelo qual advogados e especialistas entraram em um debate quente, sem perspectivas de pacificação.

No âmbito das relações de consumo, a regra é a responsabilidade objetiva, a qual estabelece que, independentemente da existência de culpa, o ator da conduta responde pela reparação do dano. Para isso, porém, é preciso atestar o nexo de causalidade, o vínculo lógico entre a ação e o dano sofrido. Isso não acontece no Código Civil, onde reina a responsabilidade subjetiva. Esse regime também considera a demonstração de dano e de nexo causal, mas leva em conta, além deles, a culpa, abrangendo o dolo e a violação de um dever, seja por negligência, imprudência ou imperícia.

Essa última teoria é a que Antonio Freitas, conselheiro da Associação dos Advogados de São Paulo (AASP), defende na legislação de proteção de dados. Segundo ele, é contraditória a aplicação da responsabilidade objetiva sendo que há uma série de dispositivos na LGPD regulando boas práticas e medidas de adequação. Se a responsabilização independe de culpa, qual o sentido de cumpri-las? O advogado ressaltou ainda que o art. 45 da lei já estabelece que, na esfera consumerista, as hipóteses permanecem sujeitas ao CDC. Em vista disso, no restante da lei deveria ser aplicada a lógica subjetiva.

Freitas alertou que a independência da comprovação de culpa pode fazer empresas deixarem de investir altas somas de recursos em proteção de dados. “Por que eu vou gastar com uma assessoria jurídica, com uma assessoria de segurança de informação, para estar em conformidade com uma lei, se, caso alguém me processe, tanto faz?”, indagou.

Divergência

Em contraposição, Marcelo Cárgano, advogado do Abe Advogados, argumentou em prol de uma responsabilização protetiva, do ponto de vista do titular, mas incisiva com o agente. Isso porque, de acordo com o especialista, a LGPD é fruto de um mundo orientado por dados, os quais, nas mãos de pessoas erradas, podem incorrer em graves violações e até mesmo mudar os rumos de uma eleição.

O advogado também citou o elencamento de medidas de segurança e boas práticas, mas para se opor ao discurso subjetivista. A legislação indica que o agente deve observar a segurança do tratamento de dados. Dessa maneira, reconhecendo o risco intrínseco da atividade, não bastaria ao agente “fazer tudo certinho”. Além disso, seria necessário adotar medidas específicas de segurança.

Terceira via

O entendimento de Cárgano dialoga com a proposição de Maria Celina Moraes e João Quinelato de Queiroz, segundo os quais o regime de responsabilidade na LGPD não se trata mais de aplicação das regras da teoria clássica, mas de uma responsabilidade ativa. Nesse novo regime, não seria suficiente apenas o cumprimento dos artigos da lei. O agente deveria comprovar que está em conformidade com a norma e que suas medidas são eficazes. Há, inclusive, um precedente nesse sentido no Tribunal de Justiça do Estado de São Paulo (TJSP), sob o número 1008308-35.2020.8.26.0704.

Para Laura Schertel Mendes, professora de Direito Civil do IDP, a LGPD traz, em realidade, mais de um tipo de responsabilidade, mas sua aplicação na lei não dependeria dos debates doutrinários entre subjetivistas e objetivistas. Isso porque não caberia à vítima provar a ilicitude do tratamento, por força do texto literal dos artigos 42 e 43. Antes, compete aos agentes a comprovação que a atividade não aconteceu ou que era lícita.

“A responsabilidade civil na LGPD pressupõe o reconhecimento do risco no tratamento de dados pessoais. Dessa forma, pouco importa na prática se qualificarmos a responsabilidade da LGPD como objetiva ou como subjetiva com culpa presumida,” explica Mendes. “Fato é que o dever de indenizar surge quando houver o dano, a violação à norma e o nexo causal, podendo os agentes de tratamento provarem que não houve violação à norma, que a atividade não se realizou ou que o dano decorre de culpa exclusiva de titular ou de terceiro.”

A leitura conversa com a análise de Bruno Bioni, membro-titular do Conselho Nacional de Proteção de Dados (CNPD) e diretor-fundador do Data Privacy Brasil. O especialista afirmou que a discussão binária empobrece o debate. Em artigo publicado revista eletrônica civilistica.com, em co-autoria com Daniel Dias, da FGV Direito Rio, Bioni argumenta que, independentemente da resposta, seria melhor focar em quais “filtros” a LGPD colocou para que um agente de tratamento possa ser responsabilizado. Esses “filtros” estão ligados à expectativa do titular de dados a respeito do tratamento. É esperado que poucos fiquem contentes com o vazamento de seus dados médicos.

“A Lei de Proteção de Dados Pessoais é muito calcada na perspectiva de risco. Isso significa dizer que você pode e deve esperar mais daqueles agentes de tratamento de dados pessoais cujas atividades têm um risco maior. Ou seja, o peso da lei vai ser calibrado de forma intensa para quem, por exemplo, trata dados pessoais sensíveis em larga escala.”

Por essa razão, não se pode perder de vista os princípios da prestação de contas e da responsabilidade. Bioni destacou que as medidas de segurança e prevenção têm de ser substanciais, não podendo ser somente uma papelada ou uma check list simples.

Sedimentação

Os especialistas ouvidos pelo JOTA concordaram em um ponto: a pacificação do assunto ficará nas mãos do Poder Judiciário. Até lá, o debate deve correr por alguns anos.

Fonte: Jota