Responsabilidade civil no caso de vazamento de dados pessoais (LGPD)

1. Introdução

Com o avanço da tecnologia, surgiu a necessidade de uma e regularização para que o titular dos dados pessoais fosse mais protegido nesta relação entre pessoa física e pessoa jurídica, na qual, na maioria das vezes, a pessoa física é o lado mais fraco, uma vez que as legislações já existentes não davam respaldo necessário ao titular de dados de forma concreta e segura, deixando sempre margem para interpretação, resultando em uma possível irresponsabilidade do agente de tratamento.

Dados pessoais é toda informação que identifique ou torne uma pessoa identificável, deste modo, é muito mais abrangente do que se tem ideia, indo muito além do nome, RG e CPF do titular dos dados.

A Lei 13.709/2018, Lei Geral de Proteção de Dados - LGPD, é a lei brasileira que trata a respeito de privacidade e proteção de dados, sendo assim, esta lei em conjunto com os demais ordenamentos jurídicos pertinentes regerão a responsabilidade dos agentes de tratamento no caso de vazamento de dados pessoais.

2. Lei Geral De Proteção De Dados

A Lei 13.079/20018, conhecida como Lei Geral de Proteção de Dados (LGPD) trata a respeito do tratamento dos dados pessoais das pessoas físicas, a qual é a parte mais vulnerável de uma relação, possui como foco a criação de um cenário seguro para o titular dos dados, com uma padronização de como deve ocorrer o tratamento dos dados pessoais com o intuito de que o cidadão brasileiro tenha como recorrer no caso de algum incidente envolvendo seus dados pessoais. 

A lei categoriza dados pessoais como sendo qualquer informação que identifique ou torne uma pessoa identificável. De acordo com esta categorização dos dados pessoais alguns dados demandam uma um cuidado maior no tratamento do que outros em razão de sua potencialidade lesiva em detrimento aos demais dados pessoais [1]. Isto diz respeito aos dados pessoais sensíveis que são dados pessoais mais perigoso e que podem causar um dano maior ao titular de dados, como por exemplo os dados biométricos que com acesso a eles é possível realizar transações bancárias e demais golpes.

3. Tratamento Dos Dados Pessoais

A LGPD dispõe a respeito do tratamento de dados pessoais, seja por pessoa natural ou jurídica, público ou privado, tendo como objetivo a proteção dos direitos fundamentais do cidadão sobre a privacidade e proteção de dados pessoais de pessoas físicas [2]. Tratamento de dados é toda e qualquer atividade que se realiza utilizando dados pessoais, desde sua visualização até seu descarte”. Segundo Patrícia Peck, advogada, sócia-fundadora do escritório de advocacia Peck Advogados, escritório especialista em direito digital, incluindo privacidade e proteção de dados tratamento de dados, tratamento de dados é:

  Deste modo, se entende que praticamente todas as pessoas, independentemente de sua escolaridade ou atuação profissional realizam tratamento de dados pessoais, uma vez que apenas a visualização e escuta de informações que contém dados pessoais de pessoa física já caracteriza tratamento de dados pessoais.

O tratamento de dados pessoais é realizado pelos agentes de tratamento podendo ser um controlador, a gente que recepciona os dados pessoais, ou por um operador de dados, quem é encarregado de realizar o tratamento dos dados pessoais. [3]

4. Responsabilidade Civil

Nos primórdios da humanidade não havia responsabilidade, o que era apenas uma ideia de vingança, dominando a vingança coletiva, que se caracterizava pela reação conjunta do grupo contra o agressor pela ofensa a um de seus componentes.

Com o passar do tempo a vingança coletiva deu lugar para a realização de forma privada, sendo caracterizada por causar um dano posterior à parte que causou o dano originário, sendo utilizado como “lei” de responsabilidade civil a Lei de Talião, que colocou proporção na vingança privada, limitando o dano que será causado a ser causado na mesma intensidade e similar ao dano original. 

A vingança privada anterior à Talião não trazia nenhum tipo de benefício à sociedade, enfatizando apenas o desejo de retribuição da vítima, contudo, não era capaz de reparar a situação, apenas prejudicaria ambas as partes.

Após o período de Talião, seguiu a Lei das XII Tábuas, sendo criada no Império Romano, um momento em que a sociedade já reconhecia que havia uma figura de autoridade similar ao Estado atualmente. Desta forma chegou-se à conclusão de que reparar o dano mediante prestação em pecúnia seria muito mais benéfico a ambas as partes, uma vez que a retaliação existente em razão da lei de Talião não era benéfica para nenhuma das partes, apenas causando um duplo dano às partes.

O Código Civil possui duas categorias de responsabilidade civil, teoria clássica da responsabilidade civil era denominada “teoria da culpa” em razão de seu caráter obrigatório para configuração de responsabilidade civil, sendo esta nomeada como responsabilidade subjetiva, uma vez que a responsabilização em detrimento do dano não é algo certo de que acontecerá.

A configuração da culpa, no caso da responsabilidade subjetiva, ocorre mediante uma ação de negligência, imprudência ou imperícia do agente, devendo o causador do ato ilícito indenizar a vítima, mesmo que o dano tenha ocorrido exclusivamente de caráter moral.

A responsabilidade civil subjetiva está completamente ligada a existência ou não da culpa no sentido lato sensu, quando comprovada a culpa do causador do agente, o fato passa a ser um fato de caráter indenizatório, devendo ser indenizado monetariamente, sendo assim, o agente só deverá indenizar a vítima se for comprovado que o mesmo agiu com culpa ou dolo no fato causador do dano. 

Por outro lado, a responsabilidade objetiva é a ocorrência da existência de responsabilidade mesmo sem a existência de culpa ou dolo, deste modo, de acordo com a teoria da responsabilidade civil objetiva, todo dano, independentemente da existência de culpa deve ser indenizável, devendo ser reparado pelo agente que está ligado ao dano em razão da existência de nexo de causalidade, sendo muito utilizada nas relações de negócios e de consumo, sendo um grande exemplo disso a relação entre as instituições financeiras e os clientes, pois são responsáveis objetivamente pelos danos que são gerados em razão de um caso fortuito interno, como fraudes e outros delitos que são praticados por terceiros mesmo não existindo culpa. 

5. Responsabilidade Civil Na LGPD No Caso De Vazamento De Dados Pessoais

A Lei Geral de Proteção de Dados, em comparação com demais legislações que abordam o tema de responsabilidade civil, é relativamente nova, uma vez que entrou em vigor parcialmente em 2018 e só em 2020 que entrou em vigência total. Deste modo, ainda há muita discussão sobre como se dá a responsabilidade na legislação em questão, uma vez que ainda não há um entendimento pacificado sobre o assunto.

A responsabilidade civil na LGPD é abordada desde o seu artigo 42 até o seu artigo 45. O caput de seu artigo 42 aborda a respeito da obrigação do controlador, ou operador, de indenizar o titular dos dados pessoais no caso de tratamento irregular dos seus dados pessoais.

Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo”.

O tratamento irregular de dados pessoais consiste em qualquer tratamento de dados que não esteja de acordo com o que é estipulado pela LGPD, como por exemplo envio de e-mail marketing sem o consentimento do titular de dados, uma vez que envio de e-mail marketing demanda da utilização da base legal de consentimento do titular dos dados, conforme prevista no artigo 7º inciso II da LGPD. Outra situação de tratamento irregular de dados pessoais é utilizar os dados pessoais do titular para situação diversa da que foi informada ao mesmo, uma vez que o tratamento de dados pessoais foi justificado para uma finalidade, o controlador só pode realizar o tratamento dos dados para a finalidade informada para o titular, caso haja tratamento diverso do que foi informado ao titular está sendo realizado um tratamento de dados pessoais de forma irregular.

Ainda, no caso de tratamento irregular dos dados pessoais, causando danos ao titular dos dados pessoais, não responde apenas o controlador dos dados, o operador dos dados pessoais responde solidariamente pelos danos causados ao titular. Entretanto, o operador dos dados pessoais responde solidariamente apenas nas hipóteses de não seguir as obrigações da LGPD ou então não seguir as orientações estipuladas pelo controlador dos dados pessoais, situação em que o operador equipara-se a controlador, tendo assim, obrigação de solidária ao controlador na reparação dos danos causados ao titular. Da mesma forma ocorre no caso de controladores conjuntos, os controladores envolvidos no tratamento de dados que decorreu em dano ao titular dos dados pessoais responderão solidariamente aos danos causados, conforme previsto no artigo 42, incisos I e II, respectivamente, da LGPD.

Nos casos citados acima, cabe ao titular dos dados o ônus prova, uma vez que o processo exigindo reparação dos danos é interposto pelo autor da ação, devendo informar os danos que sofreu e o tratamento irregular realizado pela empresa que figura no polo passivo da ação. Contudo, caso a produção da prova se torne muito onerosa para o autor ou houver hipossuficiência para a produção das provas, pode o juiz, no processo civil inverter o ônus da prova em favor do autor, cabendo ao polo passivo da ação provar que realizou o tratamento de dados pessoais de forma correta, conforme presente no parágrafo 2º do artigo 42 da LGPD.

Contudo, há outras situações pelas quais, tanto o controlador quanto o operador, não serão responsabilizados pelos danos causados ao titular em virtude de tratamentos indevidos dos dados pessoais. Estas são as excludentes de responsabilidade previstas nos incisos do artigo 43 da LGPD. Há três situações de excludentes de responsabilidade previstas na LGPD: I) que não atende o tratamento de dados que lhe é atribuído; II) que embora tenha feito o tratamento de dados que lhe é atribuído, não houve violação à legislação de proteção de dados; ou III) que o dano é decorrente de culpa exclusiva de terceiro. Segundo Bruno Mirage, essas excludentes de responsabilidade são hipóteses que rompem o nexo de causalidade entre o tratamento de dados e o dano sofrido, conforme inciso I e III do artigo 43, da LGPD, ou, excluem a ilicitude da conduta realizada pelo agente de tratamento, conforme inciso II do artigo 43, da LGPD.

No caso de vazamento de dados pessoais, assim como no caso de qualquer incidente de segurança, o controlador e operador dos dados pessoais deve agir conjuntamente para sanar o problema e diminuir a propagação dos dados ao titular. Vazamento de dados pessoais nem sempre é em detrimento de ação do irregular dos agentes de tratamento, entretanto, a maioria das situações envolvendo vazamento de dados pessoais acarretada de alguma falha do agente de tratamento, seja falha de seus sistemas de segurança ou até mesmo uma falha humana. De qualquer forma, conforme citado no início do trabalho em questão, para que haja caráter indenizatório é necessário que haja dano ao titular dos dados, ou seja, caso o vazamento de dados pessoais acarrete dano ao titular, este deverá ser indenizado proporcionalmente aos dados que lhe foram causados.

Sendo assim, percebe-se que a responsabilidade civil dos agentes de tratamento de dados pessoais, via de regra, não é objetiva, isto é, para que o agente de tratamento seja responsabilizado pelo vazamento de seus dados pessoais é necessário que haja culpa, situação decorrente de negligência, imprudência ou imperícia, conjuntamente com a existência de dano ao titular.

O artigo 45 da LGPD traz a seguinte redação: “Art. 45. As hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente.”

Dito isso, caso a relação de entre controlador e operador seja uma relação de consumo, como fornecimento de água ou energia elétrica, a responsabilidade civil será regida pela mesma responsabilidade presente no Código de Defesa do Consumidor, sendo a responsabilidade civil objetiva, uma vez que o fornecedor responde independentemente da existência de culpa, conforme previsto no caput dos artigos 12 e 14 do CDC.

Analisando o artigo 45 da LGPD, entende-se que a responsabilidade civil resultante da relação entre agentes de tratamento é subjetiva, uma vez que a legislação prevê que no caso das relações de consumo a responsabilidade será a mesma sujeita às regras do CDC, responsabilidade objetiva, logo a responsabilidade civil prevista na relação de tratamento de dados pessoais que não decorra de uma relação de consumo, será subjetiva, motivo pelo qual ocorre a necessidade da existência de nexo de causalidade, dano e culpa do agente de tratamento, em caso da não existência de nexo de causalidade, dano, ou culpa, não haverá responsabilidade do agente de tratamento. 

6. CONSIDERAÇÕES FINAIS

O trabalho em questão estabeleceu como ocorrer a responsabilidade civil do agente de tratamento no caso de vazamento de dados pessoais. Ao notar que ocorreu um vazamento de dados pessoais, o controlador deve imediatamente informar o titular dos dados pessoais para que se tenha ciência do ocorrido e realizar o plano de resposta ao incidente de segurança.

Os agentes de tratamento serão o controlador e o operador devem procurar identificar a causa do incidente, as pessoas envolvidas (incluindo responsáveis pela ação e titulares, vulnerabilidades exploradas, visando determinar ações para as sanar o problema, assim como avisar o titular de dados o mais rápido possível do vazamento de dados pessoais, para que este possa evitar ser vítima de golpes. Pode ser importante engajar especialistas dos setores afetados para colaborar e isso deve ser feito a critério do Encarregado de Proteção de Dados ou Comitê de Proteção de Dados, conforme seja o caso, a qualquer momento que julgar adequado e viável.

Após a análise será possível determinar se há a existência de dano ao titular, que, via de regra, será subjetiva, com exceção das relações de consumo, conforme dito no artigo 45 da LGPD, seguirá a regra prevista no Código do Consumidor, logo, como as relações de consumo seguem a regra da responsabilidade civil objetiva, ao tratamento de dados decorrentes das relações de consumo também seguirão a regra da responsabilidade civil objetiva.

7. Referências Bibliográficas

BRASIL. Autoridade Nacional de Tratamento de Dados Pessoais. Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Brasília, DF, mai. 2021. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/inclusao-de-arquivos-para-link-nas-noticias/2021-05-27-guia-agentes-de-tratamento_final.pdf. Acesso em 03 jun. 2022.

BRASIL. Constituição da República Federativa do Brasil de 1988. Brasília, DF: Presidência da República. Disponível em: https://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm. Acesso em: 06 nov. 2022.

BRASIL. Lei n. 10.406, de 10 de janeiro de 2022. Institui o Código Civil. Brasília, DF: Presidência da República. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/2002/l10406compilada.htm. Acesso em: 06 nov. 2022. 

[2] BRASIL. Lei nº 13.079 de 14 de ago. 2018. Lei Geral de Proteção de Dados Pessoais. Brasília, DF: Presidência da República. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acessado em 15 de abr. de 2022.

BRASIL. Superior Tribunal de Justiça (STJ). Súmula 479. Data de Julgamento: 27 jun. 2012, Dje 01 ago. 2012. Disponível em: https://scon.stj.jus.br/SCON/sumstj/toc.jsp?livre=%27479%27.num.&O=JT. Acessado em: 29 out. 2022.

CAVALIERI FILHO, Sergio. Programa de Responsabilidade Civil. São Paulo: Grupo GEN, 2011. E-book. ISBN 9786559770823. Disponível em: https://integrada.minhabiblioteca.com.br/#/books/9786559770823/. Acesso em: 01 nov. 2022.

DINIZ, Maria H. Curso de direito civil brasileiro: responsabilidade civil. São Paulo: Saraiva, v. 7, 2022. E-book. ISBN 9786555598650. Disponível em: https://integrada.minhabiblioteca.com.br/#/books/9786555598650/. Acesso em: 29 out. 2022.

EUROPEAN DATA PROTECTION BOARD (EDPB). Guidelines 07/2020 on the concepts of controller and processor in the GDPR. EDPB, set. 2020. Disponível em:  https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202007_controllerprocessor_en.pdf. Acesso: 06 jun. 2022.

GONÇALVES, Carlos R. Direito civil brasileiro - responsabilidade civil. São Paulo: Saraiva, v. 4, 2021. E-book. ISBN 9786555590500. Disponível em: https://integrada.minhabiblioteca.com.br/#/books/9786555590500/. Acesso em: 29 out. 2022.

LIMA, Cíntia Rosa Pereira D. Comentários à Lei Geral de Proteção de Dados. Grupo Almedina (Portugal), 2020. E-book. ISBN 9788584935796. Disponível em: https://integrada.minhabiblioteca.com.br/#/books/9788584935796/. Acesso em: 01 nov. 2022.

MALDONADO, Viviane Nóbrega; BLUM, Renato Opice. LGPD: Lei Geral de Proteção de Dados comentada. 2. ed. São Paulo: Thomson Reuters Brasil, 2019.

[1] MIRAGEM, Bruno. Responsabilidade Civil. São Paulo: Grupo GEN, 2021. E-book. ISBN 9788530994228. Disponível em: https://integrada.minhabiblioteca.com.br/#/books/9788530994228/. Acesso em: 31 out. 2022.

OPICE BLUM. LGPD: como saber se você é controlador ou operador? Cartilha set. 2021. Disponível em: https://opiceblum.com.br/wp-content/uploads/2019/07/cartilha_agentes_de_tratamento_27.09_v.final_.pdf. Acesso: 08 jun. 2022.

PECK, Patrícia. Proteção de dados pessoais. São Paulo: Saraiva, 2020. E-book. ISBN 9788553613625. Disponível em: https://integrada.minhabiblioteca.com.br/#/books/9788553613625/. Acesso em: 31 out. 2022.

PEREIRA, Caio Mario da S. Responsabilidade Civil. 12. ed. São Paulo: Grupo GEN, 2018. E-book. ISBN 9788530980320. Disponível em: https://integrada.minhabiblioteca.com.br/#/books/9788530980320/. Acesso em: 02 nov. 2022.

[3] PINHEIRO, Patrícia P. Proteção de dados pessoais: comentários à Lei n. 13.709/2018 (LGPD). São Paulo: Saraiva, 2021. E-book. ISBN 9786555595123. Disponível em: https://integrada.minhabiblioteca.com.br/#/books/9786555595123/. Acesso em: 29 out. 2022.

REALE, Miguel. Filosofia do Direito. 20. ed. São Paulo: Saraiva, 2013. E-book. ISBN 9788502136557. Disponível em: https://integrada.minhabiblioteca.com.br/#/books/9788502136557/. Acesso em: 31 out. 2022.

SÃO PAULO. Tribunal de Justiça do Estado de São Paulo (TJSP). Apelação Cível 1017805-41.2020.8.26.0068. Relator (a): Melo Bueno. Órgão Julgador: 35ª Câmara de Direito Privado; Foro de Barueri - 4ª Vara Cível. Data do Julgamento: 03 out. 2022. Data de Registro: 18 out. 2022.

SÃO PAULO. Tribunal de Justiça do Estado de São Paulo (TJSP). Apelação Cível 1001358-07.2019.8.26.0005. Relator (a): Morais Pucci. Órgão Julgador: 35ª Câmara de Direito Privado. Foro Regional V - São Miguel Paulista - 3ª Vara Cível. Data do Julgamento: 31 out. 2022. Data de Registro: 31 out. 2022.

UNIÃO EUROPÉIA. Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016. Regulamento relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. EU, 25 mai. 2018. Disponível em: https://eur-lex.europa.eu/legalcontent/PT/TXT/PDF/?uri=CELEX:32016R0679&from=PT. Acesso em 31. out. 2022.