Diego Gualda e Laura Aliende da Matta

Com a entrada em vigor da Lei Geral de Proteção de Dados (LGPD) no dia 18 de setembro, suas obrigações tornaram-se exigíveis e veio à tona o tema da responsabilização. Se é fato que as sanções administrativas somente poderão ser aplicadas após agosto de 2021, a responsabilização de natureza civil é imediatamente aplicável, o que torna essencial retomar o debate sobre as condições da responsabilização dos agentes de tratamento no âmbito da LGPD.

As normas sobre a responsabilidade do controlador e operador são do maior interesse para o mercado, dado o potencial de impacto financeiro relevante. Deve-se considerar ainda a novidade relativa da lei para operadores do direito, especialmente no Judiciário, que certamente abordarão a LGPD a partir de modelos já estabelecidos, inclusive do ponto de vista da responsabilidade civil.

Nesse contexto, é possível que muitos considerem as normas de responsabilidade civil da LGPD sem maior cuidado com as possibilidades de interpretação abertas pelo texto legal. O que propomos neste artigo é exatamente chamar a atenção para esse exame. Em especial, argumentamos sobre o afastamento de uma interpretação que considere a responsabilidade objetiva como regra geral sobre o tratamento de dados pessoais.

Responsabilidade subjetiva ou objetiva

Existe um debate a respeito da natureza da responsabilidade civil prevista nos artigos 42 a 45 da LGPD. Há quem defenda que a visão original do legislador foi elaborar uma sistemática de responsabilidade objetiva, o que ficaria evidente nas justificativas e motivações do próprio projeto da LGPD. Outros consideram que a atividade de tratamento de dados seria de risco.

Por um lado, é fato que o modo de responsabilização padrão da lei civil brasileira se dá por meio da responsabilidade subjetiva. O próprio artigo 927 do Código Civil estabelece que a obrigação de reparar os danos causados a outrem se dá devido à aferição de ato ilícito, conforme os ditames dos artigos 186 e 187 do código. Ainda, o parágrafo único do artigo 927 estabelece a forma excepcional de responsabilização objetiva:

“Parágrafo único. Haverá obrigação de reparar o dano, independentemente de culpa, nos casos especificados em lei, ou quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem.”

De forma geral, a jurisprudência brasileira manteve a interpretação de que a responsabilidade objetiva se dará apenas em casos excepcionais, seja por expressa determinação legal ou por ocasião de atividade que represente risco inerente aos direitos de terceiros.

De fato, a LGPD não apresenta determinação expressa sobre a responsabilização independente de culpa. Além disso, o dispositivo aponta que a conduta do agente de tratamento deve ser em violação da legislação de proteção de dados pessoais, isto é, diante da inobservância do cumprimento dos deveres trazidos pela lei, o que coloca em cena a culpa em sentido amplo como fundamento da responsabilização. A reprovabilidade da conduta do agente de tratamento se vincula à violação do dever de observar os preceitos da LGPD.

Sem prejuízo, seria o caso de avaliar então se o tratamento de dados seria uma atividade de risco em si. Essa pode ser uma questão indeterminada em virtude da ampla variabilidade das atividades de tratamento de dados pessoais, que podem se referir a condutas elementares e com baixo potencial danoso, como a troca de cartões de visita em atividades comerciais, até a elaboração de perfis com base em dados pessoais sensíveis, o que tem maior grau de risco para o titular de dados pessoais.

Até agora, de forma geral, a jurisprudência relegou a classificação de atividade de risco a atividades que objetivamente apresentem grave potencial ofensivo a direitos de terceiros.

Seja como for, considerando o foco da LGPD na conduta dos agentes de tratamento – tanto que a responsabilização e a prestação de contas são princípios para o tratamento de dados pessoais – a conclusão por um modelo de responsabilização objetiva é contraditório com o próprio espírito da lei, que, ao contrário, procura incentivar os agentes de tratamento a adotar boas práticas.

Novamente, nos parece que o foco na conduta do agente de tratamento, seja pela referência ao ato necessário de violação da legislação para configurar a responsabilização, seja pelo reconhecimento da accountability como um princípio fundamental da atividade de tratamento de dados, conduz à natureza subjetiva da responsabilidade civil na LGPD como regra geral de seu sistema. Diz o texto da lei:

“Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

  • §1º, inciso I – o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei.”

Ainda mais indicativa de uma responsabilização subjetiva é a hipótese de exclusão de responsabilidade estabelecida no inciso II do artigo 43:

“Art. 43. Os agentes de tratamento só não serão responsabilizados quando provarem:

I – que não realizaram o tratamento de dados pessoais que lhes é atribuído;

II – que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou

III – que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.”

Enquanto os incisos I e III normalmente são referência a excludentes em casos de responsabilidade objetiva, pois afetariam o nexo causal da conduta do agente de tratamento, o inciso II volta-se para o elemento da conduta, violadora ou não, da legislação. Pelo dispositivo, ainda que uma conduta relacionada ao tratamento de dados possa causar danos a um titular de dados, se tal conduta não se revestir de antijuricidade, se não for contrária aos deveres da lei, então o agente de tratamento não deve ser responsabilizado.

Tal caráter reforça e prestigia o princípio da responsabilização do agente, o incentivo à observância de boas práticas de tratamento de dados pessoais. De fato, incentiva que os agentes de tratamento se esforcem em conduzir e implementar bons processos de adequação, tomar decisões sobre tratamento de dados pessoais de maneira consciente, realizar avaliações acuradas sobre o risco do tratamento com relação ao titular de dados, uma vez que a demonstração de uma conduta aderente à LGPD, além de mitigar a responsabilização, pode muito bem excluir a responsabilidade por inteiro, dependendo das circunstâncias do caso concreto.

Vale ressaltar novamente que a responsabilização objetiva dos agentes de tratamento os tornaria responsáveis pelos danos causados a titulares, independentemente de qualquer conduta contrária à legislação. Ou seja, eles poderiam ser responsabilizados por ocorrências de dano aos titulares que não decorressem de qualquer previsão legal ou regulatória sobre os parâmetros necessários ao tratamento de dados. Nesse cenário, ficaria a dúvida: se a conduta do agente não importa para a aplicação da responsabilidade, qual a razão para a adoção de boas práticas ou o investimento em medidas de adequação custosas?

Parece-nos que a interpretação mais apropriada da responsabilidade estabelecida na LGPD é a de que ela seria baseada na culpa (ainda que se possa argumentar pela responsabilidade civil com a culpa presumida). Essa interpretação também se manifesta como apontando para o melhor interesse do próprio titular de dados, isso porque o incentivo às boas práticas – resultante do foco na conduta culposa do agente – resulta em maior proteção para o titular.

Sendo assim, as empresas poderão demonstrar em juízo as medidas efetivamente tomadas para manter a conformidade com a legislação e com a regulação de proteção de dados para resguardar-se contra hipóteses de responsabilização. Caso prove a adoção das condutas esperadas nos termos da LGPD, o agente de tratamento não pode ser responsabilizado.

Futuros regulamentos da ANPD (Autoridade Nacional de Proteção de Dados) poderão funcionar como um parâmetro ótimo dos esforços razoáveis a serem realizados pelas empresas para cada tipo de atividade de tratamento, por finalidade e/ou por setor de atuação. Assim, será garantida não apenas a proteção dos dados dos titulares, mas também critérios de conduta a serem adotados pelos agentes de tratamento, em consonância com o princípio da responsabilização e prestação de contas.