A responsabilidade civil proativa na LGPD

Nos dias 23 e 24 de agosto de 2022 foi realizada a 1ª Jornada da Lei Geral de Proteção de Dados (LGPD) na sede da Federação do Comércio de Bens, Serviços e Turismo do Estado de São Paulo (FecomercioSP).

Durante o evento, especialistas em privacidade e proteção de dados pessoais, incluindo a advogada do Lage e Portilho Jardim Advocacia e Consultoria, Fernanda Cristina Santos Soares, aprovaram enunciados para a formação de entendimentos sobre a LGPD.

Até a data de publicação deste artigo, o compilado dos enunciados com o texto aprovado não havia sido divulgado pelos organizadores do evento; em breve, porém, além da ampla divulgação, o texto será encaminhado à Autoridade Nacional de Proteção de Dados (ANPD), em Brasília, para contribuir para a segurança jurídica na interpretação da LGPD.

Um dos enunciados aprovados fala sobre o tema deste artigo: a responsabilidade na LGPD – que já foi abordado no nosso blog. Voltaremos nossa atenção a este assunto para falar sobre o caminho adotado pelo enunciado aprovado na matéria de responsabilidade.

O enunciado aprovado prevê que a responsabilidade civil na LGPD, a despeito de ter sido pensada sob o regime da responsabilização subjetiva (aquela que exige a demonstração de culpa do agente), é uma responsabilidade proativa: sob esta lógica, o agente de tratamento é responsável por demonstrar que agiu de forma a prevenir a ocorrência de danos.

É importante compreender melhor esta abordagem sobre a responsabilidade proativa na LGPD; como os enunciados são pensados justamente para auxiliar na garantia da segurança jurídica, há grandes possibilidades de a ANPD e o judiciário aplicarem este entendimento no julgamento das infrações à LGPD.

O debate sobre a responsabilidade na LGPD: subjetiva ou objetiva?

O texto da LGPD não é claro ao definir se a responsabilidade dos agentes de tratamento por danos causados ao titular é subjetiva (ou seja, exige que haja a demonstração de culpa do agente) ou se é objetiva (na qual o agente responde pelos danos independentemente de culpa).

Ao longo dos 10 anos de tramitação legislativa até a aprovação do texto final da LGPD, muitas questões foram debatidas e a matéria da responsabilidade civil foi um dos temas que sofreu modificações ao longo desses anos.

A primeira versão do anteprojeto da LGPD e a proposta legislativa do Senado Federal expressamente adotavam um regime de responsabilidade civil objetiva.

A primeira versão do anteprojeto da LGPD previa, em seu artigo 6º, que “o tratamento de dados pessoais é atividade de risco e todo aquele que, por meio do tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, é obrigado a ressarci-lo, nos termos da lei”.

Destacamos a expressão “atividade de risco” porque é ela que determinava que o regime de responsabilidade seria aquele pautado na objetividade. O Código Civil Brasileiro prevê, em seu artigo 927, que há “obrigação de reparar o dano, independente de culpa”, “quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem”.

O Código Civil, portanto, impõe responsabilização com base no elevado risco produzido por certa atividade, o que se verifica naquelas hipóteses em que há um elevado perigo de dano, seja por sua frequência, seja por sua intensidade.

Aqueles que defendem a adoção do regime de responsabilização objetiva na LGPD argumentam que em momento algum o Código Civil determina que o risco da atividade esteja expresso em lei; pelo contrário, o vocábulo utilizado pelo legislador é “por sua natureza”.

Ora, “por sua natureza” o tratamento de dados pessoais pode ser considerado uma atividade de risco, tanto pela frequência quanto pela intensidade, especialmente diante do avanço tecnológico atual e da necessidade de tratamento de dados para as mais variadas atividades rotineiras de uma vida em sociedade.

A segunda versão do anteprojeto de lei da LGPD já abandona o regime de responsabilização objetiva, abandonando o termo “atividade de risco” que, de forma expressa, eliminaria a culpa como um dos pressupostos da responsabilidade civil.

Fortalecendo a corrente que entende que a LGPD estabelece um regime de responsabilização objetiva está o argumento de que o legislador estabeleceu como excludentes de responsabilidade civil aquelas que levam em consideração o comportamento do agente de tratamento.

A LGPD exime a responsabilidade do agente de tratamento que comprove “que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados” (artigo 43, II, LGPD).

No mesmo sentido, a LGPD exime a responsabilização do agente que comprovar a adoção de “medidas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação”. São elementos que afastariam a aplicação de um sistema objetivo de responsabilização civil.

Há, portanto, um juízo de valor na conduta do agente para que seja analisada a responsabilização, o que faria com que a responsabilidade civil adotada pela LGPD fosse subjetiva.

Mas uma análise do regime de responsabilidade civil na LGPD não pode ser completamente dissociada de uma observação sobre o desenvolvimento do sistema de responsabilidade civil no direito brasileiro e sua trajetória ao longo do Século XX.

Por muito tempo considerou-se que somente a prática do ato ilícito poderia ensejar a responsabilização do agente pelo dano causado à vítima. Como a culpa é um dos elementos do ato ilícito (culpa, nexo de causalidade e dano são os três elementos que compõem o ato ilícito), não poderia haver responsabilização sem a demonstração de culpa do agente.

A noção de responsabilidade objetiva, a partir do início do Século XX, muda este cenário na tentativa de superar as injustiças impostas pela dificuldade de demonstração da culpa em determinadas situações.

No Código Civil de 1916 (imediatamente anterior ao Código Civil atual de 2002), a expressão “presunção de culpa” já era amplamente utilizada para facilitar o acesso concreto da vítima à reparação em hipóteses como a responsabilidade civil por fato de animais e a responsabilidade civil por fato de terceiros.

Há uma clara evolução ao longo do Século XX, não somente na legislação brasileira, para considerar hipóteses de responsabilização objetiva em situações nas quais a vítima não teria condições de provar a culpa do agente.

Sendo a LGPD a primeira legislação no Brasil que estabelece um conjunto de normas (regras e princípios) voltados a regular o tratamento de dados pessoais, protegendo tais dados e reconhecendo direitos dos titulares, seria natural esperar que o regime de responsabilização adotado pela legislação de dados pessoais privilegiaria o titular, não o agente de tratamento.

Fato é que, quando lidamos com incidentes que geram danos a consumidores, a possibilidade da aplicação da responsabilidade objetiva se torna mais clara, já que, neste caso, deve-se aplicar o Código de Defesa do Consumidor, o CDC.

E o CDC é bastante claro nos seus artigos 12 a 14 quando estabelece a possibilidade de responsabilização objetiva dos envolvidos na cadeia de consumo, seja de produtos ou de serviços:

Art. 12. O fabricante, o produtor, o construtor, nacional ou estrangeiro, e o importador respondem, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos decorrentes de projeto, fabricação, construção, montagem, fórmulas, manipulação, apresentação ou acondicionamento de seus produtos, bem como por informações insuficientes ou inadequadas sobre sua utilização e riscos.

§ 1º O produto é defeituoso quando não oferece a segurança que dele legitimamente se espera, levando-se em consideração as circunstâncias relevantes, entre as quais:

I – sua apresentação;

II – o uso e os riscos que razoavelmente dele se esperam;

III – a época em que foi colocado em circulação.

§ 2º O produto não é considerado defeituoso pelo fato de outro de melhor qualidade ter sido colocado no mercado.

§ 3º O fabricante, o construtor, o produtor ou importador só não será responsabilizado quando provar:

I – que não colocou o produto no mercado;

II – que, embora haja colocado o produto no mercado, o defeito inexiste;

III – a culpa exclusiva do consumidor ou de terceiro.

Art. 13. O comerciante é igualmente responsável, nos termos do artigo anterior, quando:

I – o fabricante, o construtor, o produtor ou o importador não puderem ser identificados;

II – o produto for fornecido sem identificação clara do seu fabricante, produtor, construtor ou importador;

III – não conservar adequadamente os produtos perecíveis.

Parágrafo único. Aquele que efetivar o pagamento ao prejudicado poderá exercer o direito de regresso contra os demais responsáveis, segundo sua participação na causação do evento danoso.

Art. 14. O fornecedor de serviços responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e riscos.

§ 1º O serviço é defeituoso quando não fornece a segurança que o consumidor dele pode esperar, levando-se em consideração as circunstâncias relevantes, entre as quais:

I – o modo de seu fornecimento;

II – o resultado e os riscos que razoavelmente dele se esperam;

III – a época em que foi fornecido.

§ 2º O serviço não é considerado defeituoso pela adoção de novas técnicas.

§ 3º O fornecedor de serviços só não será responsabilizado quando provar:

I – que, tendo prestado o serviço, o defeito inexiste;

II – a culpa exclusiva do consumidor ou de terceiro.

§ 4º A responsabilidade pessoal dos profissionais liberais será apurada mediante a verificação de culpa.

Assim, em casos que envolvam uma relação de consumo, a responsabilização é bastante ampla e a única alternativa de exoneração seria, em tese, o rompimento do nexo de causalidade, em situações como a culpa exclusiva do consumidor ou de terceiros.

A Responsabilidade proativa na LGPD

Como contribuição ao debate sobre qual regime de responsabilização deve ser aplicado nas decisões envolvendo a LGPD, a 1ª Jornada da Lei Geral de Proteção de Dados aprovou um enunciado classificando o regime de responsabilização como proativo.

Entenderam os participantes do evento que o sistema de responsabilização civil da LGPD é especialíssimo, refletindo o disposto no artigo 6º da lei, que prevê como um dos seus princípios o da responsabilização e prestação de contas, e o conceitua da seguinte forma: “demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.”

A noção de responsabilidade proativa na LGPD introduz uma mudança importante em termos de responsabilização lato sensu no que diz respeito à imposição de deveres voltados a prevenir danos.

A atenção da LGPD em termos de responsabilização é deslocada da reparação de danos para a prevenção destes.

Assim, a noção da responsabilidade proativa indica que não é suficiente que o agente de tratamento cumpra os artigos da LGPD; será necessário também demonstrar o cumprimento. Dito de outra forma, não é mais suficiente que a empresa não descumpra a lei; será preciso prevenir a ocorrência do dano de forma proativa.

Neste sentido, será necessário muito mais do que uma simples produção de documentos (políticas de privacidade e proteção de dados, termos de consentimento, cláusulas contratuais etc.) para que a empresa demonstre conformidade à LGPD.

Será necessário:

• comprovar a realização do mapeamento de todas as atividades desenvolvidas com dados pessoais, bem como seus riscos e as ações realizadas para mitiga-los;
• demonstrar a adoção de todas as medidas de segurança eficazes para proteger os dados pessoais;
• demonstrar a nomeação do encarregado; demonstrar que treinou todos os seus funcionários para que estes compreendam as formas adequadas de proteger dados pessoais;
• demonstrar que exige de todos os prestadores de serviço e fornecedores que estes também estejam adequados à LGPD, dentre outras medidas que detalhamos neste artigo sobre o processo de adequação à LGPD.

Toda a lógica da responsabilização civil proativa na LGPD é, portanto, voltada para a demonstração de aplicação de medidas proativas de proteção de dados pessoais.

A responsabilidade proativa na LGPD aplicada ao caso Cyrela

O caso da incorporadora/construtora Cyrela envolve a primeira sentença sustentada na LGPD. A despeito de o caso ter ocorrido bem antes da aprovação do enunciado na 1ª Jornada da Lei Geral de Proteção de Dados Pessoais, que considerou o regime de responsabilidade civil da LGPD como a responsabilidade proativa, o caso Cyrela ilustra perfeitamente a aplicação desta noção – em especial, mas não se restringindo, à aplicação da LGPD no Mercado Imobiliário.

O caso da Cyrela (Processo n° 1080233-94.2019.8.26.0100) foi julgado recentemente em grau de recurso e atualmente aguarda discussão no Superior Tribunal de Justiça. Vamos entender o que aconteceu e tirar desse caso valiosas lições em relação à LGPD.

Em agosto de 2019, um cliente da Cyrela ingressou com uma ação de obrigação de fazer cumulada com ação de indenização por danos morais em razão de tratamento inadequado de dados pessoais.

Em resumo, o autor da ação alegou que forneceu à incorporadora/construtora dados pessoais necessários para a formalização da compra de um apartamento e que, logo após a assinatura do contrato, começou a receber, “diariamente e insistentemente”, contatos de diversas empresas que não faziam parte da relação contratual com a Cyrela. Tais empresas entravam em contato para oferecer financiamento, serviços de decoração, arquitetura e móveis planejados.

Incomodado com a situação, o autor da ação procurou a Cyrela solicitando que ela tomasse providências em relação ao ocorrido. A empresa respondeu, reafirmando que todos os dados cadastrais eram utilizados apenas internamente e que não havia divulgação externa. O autor da ação, contudo, continuou recebendo contatos de terceiros.

A sentença de primeiro grau entendeu que foi “caracterizado o ato ilícito relativo a violação a direitos de personalidade do autor, especialmente por permitir e tolerar (conduta omissiva) ou mesmo promover (conduta comissiva) o acesso indevido a dados pessoais do requerente por terceiros”.

Determinou, ainda, que a incorporadora/construtora tinha responsabilidade pelo incidente de dados, mesmo considerando a existência de uma cadeia produtiva: “Tampouco desnecessário aferir se outras pessoas físicas ou jurídicas participaram da ilicitude (como no caso de corretores de imóveis), porquanto todos que participam da cadeia produtiva respondem de forma solidária pelos danos causados”.

Adicionalmente, a sentença considerou que o dano seria presumido, ou seja, bastaria a ocorrência de uma violação de dados para que se configurasse o dano, sendo desnecessária a prova de que o autor da ação, de fato, sofreu danos morais resultantes do incidente de dados.

Nesses termos, a sentença condenou a Cyrela ao pagamento de R$ 10.000,00 a título de indenização por danos morais e determinou que ela cessasse o compartilhamento de dados pessoais de seus clientes a terceiros, sob pena de multa de R$300,00 por contato indevido.

A incorporadora/construtora recorreu da decisão e, em segunda instância, foi absolvida.

O Tribunal entendeu que não é possível afirmar que foi a Cyrela quem realizara o compartilhamento dos dados pessoais do autor da ação, considerando toda a cadeia de produção envolvida nas negociações. Além disso, havia contratos de corretagem entre o autor e outra incorporadora/construtora e sete corretores comprovavam que ele havia fornecido seus dados àquelas pessoas antes de celebrar o contrato com a Cyrela.

Além disso, os Desembargadores entenderam que o dano moral não ficara comprovado, não havendo, portanto, obrigação de indenizar. Para o Tribunal, pois, o dano moral não poderia ser presumido.

O autor da ação interpôs, então, Recurso Especial que será julgado pelo Superior Tribunal de Justiça.

Mas, afinal, qual lição podemos tirar do caso, mesmo considerando que existem entendimentos de natureza estritamente jurídica ainda passíveis de modificação? A resposta é clara: demonstração de conformidade e da adoção de medidas proativas.

A Cyrela juntou ao processo cópias do seu código de conduta, que prevê a obrigação dos colaboradores de não utilizarem e/ou divulgarem informações de clientes em respeito à legislação de proteção de dados.

Também juntou um termo de responsabilidade e segurança no uso da tecnologia da informação, com o qual demonstra a aplicação de medidas de segurança da informação. Juntou, no mais, declarações de empresas de tecnologia da informação atestando a adequação dos níveis de segurança da informação da incorporadora/construtora.

Também foram juntadas demonstrações de realizações de palestras e informativos sobre a LGPD direcionados aos colaboradores, além de uma sentença favorável de processo no qual ela questionara contatos que uma empresa fornecedora de móveis fazia a clientes da incorporadora/construtora. Houve, ainda, outras notificações a empresas que estavam fazendo o uso indevido dos dados pessoas de tais clientes utilizando o nome do empreendimento.

Por fim, a Cryela cooperou e demonstrou cooperação a todo o momento, o que é, de acordo com o previsto no artigo 52 da LGPD, critério de mitigação da aplicação de eventual sanção administrativa.

O entendimento do Tribunal não se sustentou somente na demonstração de conformidade, mas esse, sem dúvida, foi um fator que influenciou na decisão. O caso ilustra perfeitamente a aplicação da lógica da responsabilidade proativa na LGPD.

Conclusão

A adoção de enunciados é de fundamental importância para a garantia da segurança jurídica. Quando o assunto é responsabilidade civil, esta importância fica ainda mais clara.

Tanto a ANPD quanto os tribunais devem se debruçar sobre a questão da responsabilidade; de nada adiantaria criar todo um arcabouço jurídico de proteção de dados pessoais se não houver clareza na hora de responsabilizar o agente que causa algum dano ao titular.

A indicação do enunciado sobre responsabilização civil proativa na LGPD traz uma mensagem clara: tão importante quanto adequar a sua empresa à LGPD é conseguir demonstrar que essa adequação, de fato, existe.

Gostou deste conteúdo? Ele é útil para você ou para sua empresa? Esperamos que sim!

Continue acompanhando o nosso trabalho e inscreva-se para receber a newsletter com textos sobre proteção de dados e outros materiais produzidos pelo escritório.

Você também pode nos avaliar no Google, o seu feedback é muito importante para nós!