A Lei Geral de Proteção de Dados (LGPD) prevê sanções administrativas a agentes de tratamento que a descumprirem, que já podem ser aplicadas desde agosto de 2021. Mas e a responsabilidade civil na LGPD?

Para além das sanções administrativas, neste artigo esclarecemos quem pode ser civilmente responsabilizado por eventuais danos a titulares de dados em diferentes situações, trazendo também as hipóteses excludentes de responsabilidade.

 

Quem paga o preço pelo descumprimento da Lei Geral de Proteção de Dados (LGPD)?

 

Os agentes de tratamento (ou seja, aqueles sobre os quais a LGPD se aplica) devem realizar diversas ações para adequarem suas atividades que fazem uso de dados pessoais.

Dentre tais ações, está a adoção de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Já falamos anteriormente sobre o processo de adequação à LGPD. Mas o que pode acontecer caso o agente de tratamento deixe de adotar tais medidas de segurança, técnicas e administrativas?

 

Situações que podem atrair a responsabilidade segundo a LGPD

 

Para começar, imagine as seguintes situações:

 

– Você é dono de uma loja de roupas femininas

 

A sua loja já fornecia a facilidade de os clientes realizarem suas compras de forma online; quando chegou a pandemia, você se viu obrigado a fechar sua loja física durante muitos meses e precisou expandir a loja online. Para tanto, contratou os serviços de uma empresa especializada, que passou a administrar sua loja online.

Você, sempre bastante organizado, já implementou a LGPD na sua loja. Porém, com a correria e a urgência com as quais a pandemia o obrigou a conduzir seus negócios, você acabou não fazendo uma pesquisa muito profunda sobre como a empresa que agora administra seu e-commerce lida com dados pessoais.

Certo dia, essa empresa foi vítima de um crime cibernético, o qual resultou no vazamento de diversos dados pessoais dos clientes da sua loja, inclusive dados de cartão de crédito, trazendo dano material imediato a diversas pessoas diretamente atingidas.

 

– Você é presidente de um clube de futebol

 

Seu clube é adorado por milhares de torcedores do interior do estado; até por isso, mesmo não sendo um clube que figure dentre os maiores do país, os torcedores locais estão sempre muito atentos a qualquer ação que o clube execute, dentro e fora das quatro linhas.

Você é bastante consciente e implementou um programa robusto de compliance no clube, que inclui a implementação da LGPD. Afinal, a base de dados que o clube de futebol coleta de atletas é imensa e inclui muitos dados pessoais de saúde, coletados, entre outros, por meio de um GPS de monitoramento que os atletas utilizam nos treinos e nas partidas.

Certo dia um ilustre torcedor local divulgou em suas redes sociais um dado pessoal de saúde de um dos seus principais atletas. Essa divulgação causou problemas de ordem pessoal para esse atleta, que agora estuda a possibilidade de buscar seus direitos na justiça.

 

– Você é dona de uma importante rede de supermercados

 

Herdou um pequeno mercadinho da sua falecida mãe e transformou o negócio em um grande sucesso, com lojas espalhadas por todo o país. Sempre muito atenta às novidades tecnológicas, há alguns anos implementou o sistema de caixas eletrônicos nos quais o cliente pode passar e pagar suas próprias compras, sem a necessidade de um operador.

Você adquiriu máquinas de check-out de última geração, que contam com um sistema moderno de segurança. No mês passado você contratou uma empresa para cuidar da manutenção do ar condicionado das suas lojas. Essa empresa sofreu um ataque cibernético. Os hackers não tinham qualquer interesse no sistema da empresa, mas tinham muito interesse no sistema dos seus supermercados, especialmente no sistema de check-out automático.

Eles sabem que ali há dados pessoais de muitas pessoas, inclusive dos seus respectivos cartões de crédito. Utilizando-se de tecnologia avançada, nunca antes vista na história dos crimes cibernéticos, os hackers conseguiram acesso ao seu sistema e roubaram milhões de dados pessoais dos seus clientes, causando-lhes danos materiais enormes.

 

Essas três situações ilustram dilemas fictícios, porém nada longe da realidade. Fato é que, se quem não se adequa à LGPD certamente corre os mais diversos riscos, mesmo quem se adequa também pode ter que responder por algum incidente se não permanecer vigilante.

Mas, afinal: quem é que responde pelos incidentes em cada uma das situações acima? Antes de responder a essa pergunta, vamos falar de sanções administrativas e da responsabilidade civil na LGPD.

 

Sanções administrativas

 

Uma das medidas destinadas ao cumprimento dos objetivos da LGPD é a aplicação de sanções administrativas.

Tais sanções já podem ser aplicadas – os artigos da LGPD que preveem a aplicação de sanções já estão em vigor desde agosto de 2021 – e deverão seguir parâmetros e critérios estabelecidos pela própria LGPD, tais como a gravidade e a natureza das infrações e dos direitos pessoais afetados, a condição econômica do infrator e a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar os danos.

As sanções administrativas previstas na LGPD são:

 

• Advertência, com indicação de prazo para adoção de medidas corretivas;

• Multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 por infração;

• Multa diária, observado o mesmo limite total referido acima;

• Publicização da infração após devidamente apurada e confirmada a sua ocorrência;

• Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

• Eliminação dos dados pessoais a que se refere a infração;

• Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;

• Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período;

• Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

 

A responsável pela aplicação de tais sanções é a Autoridade Nacional de Proteção de Dados, a ANPD.

A ANPD é um órgão da administração pública federal, integrante da Presidência da República, responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional.

A ANPD tem autonomia técnica e decisória e é composta por um Conselho Diretor (órgão máximo de direção), por um Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPDPP), por uma Corregedoria, por uma Ouvidoria, por órgão de assessoramento jurídico próprio e por unidades administrativas e unidades especializadas necessárias à aplicação da LGPD.

Assim, é a ANPD quem deve fiscalizar o cumprimento da LGPD no Brasil, sendo responsável pela aplicação das sanções administrativas e já definiu o procedimento para o Processo Administrativo Sancionador, o qual esmiuçamos neste outro artigo.

 

Responsabilidade na LGPD

 

Mesmo que a LGPD traga a previsão da incidência de sanções administrativas por descumprimento da lei, que serão aplicadas pela ANPD, ainda há a possibilidade de responsabilidade civil no que diz respeito à reparação de danos causados pelo tratamento de dados em desacordo com o diploma legal.

É justamente nesse sentido que temos a redação do artigo 42 da LGPD, que trata da responsabilidade:

Esse artigo vai ao encontro da necessidade do estabelecimento da responsabilidade civil ao redor do tema da proteção de dados quando a atividade importar em danos aos titulares dos dados pessoais.

Ele prevê a responsabilidade dos envolvidos nas operações de tratamento de dados pessoais, tanto do controlador como do operador, deixando clara a possibilidade de reparação dos danos patrimonial, moral, individual ou coletivo, sempre que tais danos decorrerem de violação à legislação de proteção de dados pessoais.

Recomendamos outro artigo sobre o conceito de controlador e operador.

 

Responsabilidade do operador

 

A LGPD, no mesmo artigo 42, estabelece que o operador também terá responsabilidade quando houver algum dano ao titular.

Isso porque, ainda que o operador deva se limitar a executar as ordens do controlador, haverá a responsabilização quando o operador descumpre a LGPD (quando, por exemplo, deixa de aplicar medidas de segurança aptas a prevenir incidentes com dados pessoais).

Lembra do caso 1, lá no início do artigo? Naquela situação hipotética, a loja de roupas femininas é o controlador e a empresa que administra a loja online é o operador. Um incidente na empresa que administra a loja online, comprovadamente causado por uma falha no sistema que poderia ser evitada com a adoção de medidas de segurança da informação, certamente traria a responsabilidade para a empresa administradora da loja online.

Mas não somente pelo descumprimento da LGPD poderá o operador responder por danos causados ao titular. Também responderá o operador quando este não seguir as instruções lícitas do controlador.

Ou seja, caso o operador não cumpra o que determinou o controlador (no caso de a ordem ser lícita) e houver algum tipo de incidente que cause danos ao titular dos dados pessoais, certamente o operador responderá como se controlador fosse.

É por isso que é muito importante haver um contrato claro entre controlador e operador que delineia os deveres do operador.

 

Responsabilidade solidária do controlador e do operador

 

Quando nos referimos à hipótese de responsabilidade solidária, estamos tratando da possibilidade de o titular acionar quaisquer uma das partes para obter a indenização devida. A LGPD, no artigo 42 acima reproduzido, estabelece que a responsabilidade do controlador e do operador é solidária.

Do ponto de vista do titular, essa previsão é extremamente positiva já que um tratamento de dados pessoais frequentemente envolve mais de um agente. Assim, não seria razoável impor ao titular dos dados pessoais o ônus de descobrir, dentro de um a cadeia econômica, quem deu causa ao dano sofrido.

Esse é mais um motivo pelo qual deve-se realizar uma extensa e cuidadosa diligência ao contratar fornecedores e prestadores de serviço.

 

Responsabilidade subjetiva ou objetiva?

 

Contrariando o famoso bordão do comentarista Arnaldo Cézar Coelho, quando falamos de responsabilidade subjetiva ou objetiva na LGPD, “a regra não é clara”.

Há debate sobre a aplicabilidade da responsabilidade subjetiva – aquela decorrente de uma conduta voluntária (dolo) ou de uma conduta negligente, imperita ou imprudente – ou da responsabilidade objetiva – aquela que independe de culpa, bastando a prova do dano e do nexo de causalidade – na LGPD.

Fato é que, quando lidamos com incidentes que geram danos a consumidores, a possibilidade da aplicação da responsabilidade objetiva se torna mais clara, já que, neste caso, deve-se aplicar o Código de Defesa do Consumidor, o CDC.

E o CDC é bastante claro nos seus artigos 12 a 14 quando estabelece a possibilidade de responsabilização objetiva dos envolvidos na cadeia de consumo, seja de produtos ou de serviços:

 

Art. 12. O fabricante, o produtor, o construtor, nacional ou estrangeiro, e o importador respondem, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos decorrentes de projeto, fabricação, construção, montagem, fórmulas, manipulação, apresentação ou acondicionamento de seus produtos, bem como por informações insuficientes ou inadequadas sobre sua utilização e riscos.

§ 1º O produto é defeituoso quando não oferece a segurança que dele legitimamente se espera, levando-se em consideração as circunstâncias relevantes, entre as quais:

I – sua apresentação;

II – o uso e os riscos que razoavelmente dele se esperam;

III – a época em que foi colocado em circulação.

§ 2º O produto não é considerado defeituoso pelo fato de outro de melhor qualidade ter sido colocado no mercado.

§ 3º O fabricante, o construtor, o produtor ou importador só não será responsabilizado quando provar:

I – que não colocou o produto no mercado;

II – que, embora haja colocado o produto no mercado, o defeito inexiste;

III – a culpa exclusiva do consumidor ou de terceiro.

 

Art. 13. O comerciante é igualmente responsável, nos termos do artigo anterior, quando:

I – o fabricante, o construtor, o produtor ou o importador não puderem ser identificados;

II – o produto for fornecido sem identificação clara do seu fabricante, produtor, construtor ou importador;

III – não conservar adequadamente os produtos perecíveis.

Parágrafo único. Aquele que efetivar o pagamento ao prejudicado poderá exercer o direito de regresso contra os demais responsáveis, segundo sua participação na causação do evento danoso.

 

Art. 14. O fornecedor de serviços responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e riscos.

§ 1º O serviço é defeituoso quando não fornece a segurança que o consumidor dele pode esperar, levando-se em consideração as circunstâncias relevantes, entre as quais:

I – o modo de seu fornecimento;

II – o resultado e os riscos que razoavelmente dele se esperam;

III – a época em que foi fornecido.

§ 2º O serviço não é considerado defeituoso pela adoção de novas técnicas.

§ 3º O fornecedor de serviços só não será responsabilizado quando provar:

I – que, tendo prestado o serviço, o defeito inexiste;

II – a culpa exclusiva do consumidor ou de terceiro.

§ 4º A responsabilidade pessoal dos profissionais liberais será apurada mediante a verificação de culpa.

 

Assim, em casos que envolvam uma relação de consumo, a responsabilização é bastante ampla e a única alternativa de exoneração seria, em tese, o rompimento do nexo de causalidade, em situações como a culpa exclusiva do consumidor ou de terceiros.

Outra característica relevante das relações de consumo é a inversão do ônus da prova. Isso significa que é responsabilidade da empresa comprovar que NÃO houve o nexo de causalidade, e não do titular dos dados pessoais.

Essa possibilidade de inversão o ônus da prova, inclusive, não se limita às relações de consumo na LGPD. O já transcrito artigo 42 prevê que “o juiz pode inverter o a prova a favor do titular dos dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa”.

Relevante destacar que quando nos referimos à norma europeia de proteção de dados (o Regulamento Geral de Proteção de Dados, mais conhecido pela sua sigla em inglês, “GDPR”), a responsabilização é objetiva.

O artigo 82 do GDPR apresenta a possibilidade de compensação, pela entidade que trata os dados ou o subcontratante, dos danos causados ao titular de dados. Na norma europeia, o responsável pelo tratamento será responsabilizado pelos danos causados aos titulares de forma objetiva, sem qualquer exceção a casos de força maior.

O GDPR estabelece que o operador é tão somente responsável pelos danos causados pelas suas atividades de tratamento em decorrência da não conformidade com o GDPR, ou no caso de inobservância a instruções legítimas do controlador.

Assim como a LGPD, o GDPR, para garantir a eficácia das condenações relativas aos danos causados ao titular, determina a responsabilidade solidária dos envolvidos no tratamento.

Voltando nossas atenções ao Brasil, nos casos que não envolvam a relação de consumo, a regra geral no Direito pátrio é a da responsabilidade subjetiva, sendo que a responsabilidade objetiva somente se aplica mediante previsão legal expressa, não sendo presumível, conforme previsto no artigo 927 do Código Civil Brasileiro:

 

Art. 927. Aquele que, por ato ilícito (arts. 186 e 187), causar dano a outrem, fica obrigado a repará-lo.

Parágrafo único. Haverá obrigação de reparar o dano, independentemente de culpa, nos casos especificados em lei, ou quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem.

 

Repare que, como previsto no parágrafo único, haverá responsabilidade objetiva quando a atividade que faz o uso de dados pessoais for de risco.

Em versões anteriores do projeto de lei que deu origem à atual LGPD houve a inclusão de disposições que expressamente conceituavam a atividade de tratamento de dados pessoais como atividade de risco. Contudo, tais previsões foram retiradas da proposição no decorrer do processo legislativo.

Assim, a despeito de a regra não ser clara, é possível sustentar que se aplica a responsabilidade subjetiva na LGPD, na qual o elemento da culpa deverá ser demonstrado, admitida, em algumas hipóteses específicas, a responsabilidade objetiva, de acordo com a natureza da atividade de tratamento realizada.

Ressalta-se que, independentemente da responsabilidade subjetiva ou objetiva, é requisito para qualquer indenização a efetiva demonstração do dano. Sem que o dano seja demonstrado, o pedido da indenização será julgado improcedente.

Recentemente, em agosto de 2022 foi realizada a 1ª Jornada da Lei Geral de Proteção de Dados, em que especialistas em privacidade e proteção de dados pessoais, incluindo a advogada do Lage e Portilho Jardim Advocacia e Consultoria, Fernanda Cristina Santos Soares, aprovaram enunciados para a formação de entendimentos sobre a LGPD. Um dos enunciados aprovados fala sobre a responsabilidade proativa na LGPD, tema de outro de nossos artigos.

 

Excludentes de responsabilidade

 

Se o artigo 42 nos traz muitas informações sobre como é tratada a responsabilidade na LGPD – responsabilidade civil dos agentes de tratamento –, o artigo 43 nos traz as hipóteses de excludente de responsabilidade, ou seja, ocasiões nas quais, ainda que o ocorrido incidente, cujo dano foi efetivamente comprovado, o agente de tratamento não será responsabilizado.

A redação do artigo 43 é bastante objetiva, observe:

 

Art. 43. Os agentes de tratamento só não serão responsabilizados quando provarem:

I – que não realizaram o tratamento de dados pessoais que lhes é atribuído;

II – que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou

III – que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.

 

Há, portanto, três excludentes de responsabilidade dos agentes de tratamento envolvidos em um evento danoso.

A primeira delas pode parecer um pouco óbvia, mas é bastante importante. Ela exclui a responsabilidade do agente que não realizou o tratamento de dados pessoais.

Observe que não é difícil que um titular demande a empresa incorreta, acreditando ser ela a responsável pelo tratamento do dado pessoal, quando não o é.

Lembra do caso 2, que relatamos no início desse artigo? É possível que o atleta acione o clube na justiça pelos danos que sofreu em decorrência da divulgação dos seus dados pessoais de saúde. Caso o clube consiga provar que, mesmo que tenha em sua base de dados a informação divulgada, não foi responsável pelo tratamento a ele atribuído (ou seja, a divulgação indevida), o clube não será responsabilizado pelo dano causado ao atleta.

A segunda hipótese de exclusão de responsabilidade é relacionada à ausência de violação da LGPD naquela atividade de tratamento de dados pessoais; tal ausência de violação afastaria a ilicitude do ato e, portanto, o dever de indenizar.

Por fim, a terceira hipótese diz respeito à culpa exclusiva da vítima no evento danoso ou de terceiros.

Sobre essa hipótese abre-se um debate interessante: a partir do momento em que o operador e o controlador adotem as melhores técnicas de proteção do ambiente, caso uma invasão ocorra, resultante de táticas absolutamente inovadoras, e se comprovada essa adoção de medidas de segurança eficientes e razoáveis, seria admitida a excludente de responsabilidade por fato de terceiro?

Vamos nos remeter ao caso 3: naquela situação hipotética os hackers utilizaram de tecnologia avançada, nunca antes vista na história dos crimes cibernéticos e conseguiram acesso ao sistema.

A chave é a adoção das medidas de segurança e a prova dessa adoção. Feito isso, pode ser que a responsabilidade por uma invasão seja exonerada ou mitigada, a depender do caso concreto.

Há decisão nesse sentido no Tribunal de Justiça de São Paulo. Eis um trecho do voto do Des. Antônio Nascimento:

 

Não se pode fechar os olhos a uma dura e triste realidade: os sistemas computacionais não são 100% indevassáveis. Aí estão os hackers para demonstrar que a muralha digital, inclusive aquela erguida nos grandes centros tecnológicos mundiais, ostenta um certo grau de vulnerabilidade. 

Em semelhante cenário, que coonesta a asserção da apelante de que terceiros, à sua revelia, acessaram o sistema da apelada, a melhor solução para o caso, inspirada na ideia da régua lésbica da equidade proposta por Aristóteles,1 é a divisão, pela metade, dos prejuízos decorrentes da emissão fraudulenta de passagens.

(TJSP, Apelação1083389-32.2015.8.26.0100, Rel. Des. Antonio Nascimento, j. 25.08.2016)

 

Conclusão

 

A responsabilidade civil em matéria de dados pessoais é primordial para o equilíbrio das relações dessa natureza, sobretudo quando envolvida a tecnologia.

É fundamental que as empresas estejam adaptadas à LGPD, mas, além disso, é necessário que consigam comprovar tal adequação. E, claro, espera-se que estejam sempre vigilantes, seja em relação aos seus fornecedores e prestadores de serviço, seja em relação aos seus próprios sistemas de segurança da informação.

Somente assim as empresas conseguirão se resguardar e mitigar os prejuízos advindos da responsabilidade prevista na LGPD.

Precisa de ajuda para a adequação de seu negócio? Entre em contato conosco, teremos muito prazer em ajudá-lo(a)!

Para receber nossos próximos conteúdos sobre proteção de dados pessoais, cadastre-se abaixo em nossa newsletter.

Você também pode nos avaliar no Google, seu feedback é o que nos motiva a continuar produzindo conteúdos relevantes e atualizados.

*Imagem de Getty Images, no Canva Pro.