1984

LGPD: a polêmica entre responsabilidade civil objetiva ou subjetiva

Com a entrada em vigor da Lei Geral de Proteção de Dados Pessoais (13.709/18), algumas questões sobre as quais nunca se deu muita importância voltaram a frequentar o cardápio de preocupações de advogados e empresas. Nós, pobres mortais, raramente atentamos para o fato de que nas compras com cartão de crédito em lojas físicas ou pela internet, nos cadastros de bancos, lojas, companhia telefônica, quando pegamos um uber para ir ao trabalho ou quando encomendamos pelo ifood uma inocente refeição na hora do almoço, estamos deixando nas mãos das empresas e dos prestadores de serviço uma enxurrada de dados pessoais, alguns até sigilosos, e nos expondo desnecessariamente aos olhos de pessoas que não conhecemos e que muito provavelmente não conheceremos algum dia.

Se esses dados forem mantidos em sigilo, ou deletados após o pagamento do serviço, tudo bem. Mas bem pode ser que intencionalmente ou não esses arquivos escapem das mãos dos seus destinatários naturais e caiam em mãos clandestinas, que podem tirar deles algum proveito que você obviamente não autorizou, nem em sã consciência autorizaria. Esse vazamento de dados é ainda mais devastador quando se trata de empresas, especialmente aquelas que exploram segurança bancária, medicina, armamentos, bolsas de valores, ou pessoas públicas e executivos dos quais dependem o sucesso dos negócios e os segredos dos grandes projetos empresariais.

Duas funções em particular têm especial relevância no texto da LGPD – a do controlador e a do operador – responsáveis pelo tratamento e proteção dos dados pertencentes aos usuários, empregados e clientela. Ambos têm responsabilidade civil pela proteção desses dados, e a multa aplicável às empresas podem ser astronômicas.

O direito brasileiro opta declaradamente pela responsabilidade civil objetiva, isto é, a indenização pressupõe, na maioria dos casos, que o agente agressor tenha agido com culpa, e exige essa prova daquele que reclama alguma indenização. Em casos excepcionais, pode haver responsabilidade sem culpa. São os casos de responsabilidade civil objetiva. Nesses casos, a responsabilidade não depende da prova da culpa porque o próprio legislador já a presumiu. É o caso, por exemplo, do transporte de cargas e pessoas (aviões, navios, trens, caminhões), das empresas de energias atômica, armamentos, explosivos, energia elétrica e das empresas que cuidam de medicina ligada a doenças cancerígenas, dentre outras. Nessas atividades, presume-se o risco habitual acima da média, e cabe ao causador do dano provar que não houve o dano, a extensão é menor que a alegada pela vítima, o evento danoso decorreu de caso fortuito, força maior ou culpa exclusiva da vítima.

Na responsabilidade civil subjetiva (que exige a prova da culpa), a vítima tem de provar o dano e o nexo causal, isto é, aquela situação de fato que liga a lesão ao seu suposto causador, de modo que se possa conclui que o evento danoso não ocorreria se o agente agressor não tivesse agido daquela forma. Numa palavra, haverá responsabilidade civil objetiva sempre que a atividade normal do suposto agressor criar risco acentuado para outrem.

A LGPD não diz, claramente, se a responsabilidade civil do operador e do controlador é objetiva ou subjetiva. O art.42 da lei diz que tanto um quanto outro respondem solidariamente pela reparação dos danos patrimonial ou moral, seja individual ou coletivo. Até aí, fala-se em responsabilidade solidária, mas não se define se objetiva ou subjetiva. Certa corrente doutrinária entende que se o art.42 da LGPD expressamente imputa essa responsabilidade a ambos, estaríamos no campo da responsabilidade civil objetiva. Outra corrente entende que ainda que haja vazamento e que isso seja de responsabilidade desses profissionais, é preciso considerar que o vazamento de dados pode ter ocorrido por culpa do próprio titular dos dados, ou caso fortuito ou força maior. Como a questão é nova, o Judiciário tem escassa jurisprudência sobre o ponto. Há julgados para um lado e para o outro.

A questão começa a se definir quando se interpreta a LGPD dentro de um microssistema abarcado pelo Código de Defesa do Consumidor (CDC). Se se entender que o armazenamento e o tratamento de dados constituem relações consumeristas, o vazamento de dados implicará responsabilidade civil objetiva (a culpa não é elemento determinante) porque esses dados seriam bens constitucionalmente protegido e, como tais, inserem-se na proteção dos arts.12 e 14 do CDC. Entendimento diverso obrigará a suposta vítima a provar que a revelação indevida de dados decorreu de falha do controlador e do operador, suficiente para configurar sua culpa, além da ocorrência de dano concreto e nexo causal entre o dano e a ação do agente agressor.

O momento, como dito, é de cautela. Operadores e controladores de dados devem redobrar os cuidados com os dados que têm sob custódia. As multas em caso de falhas são pesadíssimas. Advogados de empresas também devem estudar a lei e conhecer profundamente o sistema de proteção de dados de seus clientes e propor melhorias para que tudo transcorra dentro da normalidade, já que também eles – os advogados – podem ser responsabilizados por seus clientes se tinham o dever de alertar e não o fizeram.

O mundo, senhores, transformou-se num imenso big brother. Para plagiar George Orwell, 1984 é aqui.

Mônica Gusmão
Professora de Direito Empresarial, do Consumidor e do Trabalho.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

Artigos Relacionados

Alerj discute tombamento do Engenhão

Projeto impedirá demolição ou fim da pista de atletismo.

Ensino superior em Portugal sobrevive graças aos alunos estrangeiros

Valor pago pode ser 5x maior que por nacionais.

Construção da P-80 ‘exporta’ 395 mil empregos

Candidatos defendem volta do conteúdo local e fazer reparos de embarcações no Rio.

Últimas Notícias

Vale testa caminhões de 72 toneladas 100% elétricos

Veículos serão usados nas operações da mineradora em Minas Gerais e da Indonésia

Xangai quer estimular mais o consumo

Será a primeira emissão de cupons eletrônicos para estimular o consumo

Pequenos incidentes cibernéticos podem iniciar grandes problemas

Alerta é do coordenador do Grupo Consultivo de Cibersegurança da Anbima

Rio Grande do Sul publica edital de concessão do Cais Mauá

Prevê revitalizar um dos principais patrimônios da cidade por meio de uma Parceria Público-Privada (PPP)

Rio pode ter fomento de áreas produtoras de petróleo

Norma estabelece que o governo do estado desenvolva políticas de apoio e parceria.