Proteção de dados e regime de responsabilidade civil

A Lei Geral de Proteção de Dados (“LGPD”) estabelece que o agente de tratamento que em razão do exercício da atividade de tratamento de dados pessoais causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

No curso do projeto legislativo que levou à LGPD, parlamentares se manifestaram no sentido de procurar estabelecer um regime de responsabilidade civil objetiva para os agentes de tratamento (i.e., independentemente de culpa), uma vez que estes exerceriam atividade de risco. Mas será que a redação final da LGPD autoriza essa conclusão?

Como regra geral, prevista no Código Civil, para que haja obrigação de reparar o dano, independentemente de culpa, (i) deve haver previsão em lei, ou (ii) a atividade normalmente desenvolvida deve implicar, por sua natureza, risco para os direitos de outrem.

Quanto à previsão em lei, a LGPD não foi expressa ao estabelecer que a responsabilidade independe de culpa e, portanto, é objetiva. Para a determinação da responsabilidade, o legislador parece ter sido influenciado pelas disposições relativas à responsabilidade civil do fabricante, produtor, construtor, importador ou fornecedor previstas no Código de Defesa do Consumidor (“CDC”).

Porém, as redações finais de LGPD e CDC são diferentes, já que: (i) o CDC estabelece expressamente que a responsabilidade independe da existência de culpa e (ii) a LGPD estabelece que haverá exclusão de responsabilidade caso não tenha havido violação da legislação de proteção de dados, disposição que não encontra similar no CDC.

Esta violação da lei pressupõe em diversas situações verificação do elemento subjetivo que norteia a conduta do agente. Tome-se, por exemplo, a obrigação do agente de tratamento de adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Esse tipo de obrigação estabelece padrões de comportamento, que requerem a verificação comparativa das condutas dos agentes de tratamento quanto às boas práticas de segurança.

Em outras palavras, deve ser verificada a culpa in abstracto, i.e., aquela em que se analisa, para fins de determinação de responsabilidade, a conduta do agente em comparação com a de um homem diligente e probo no exercício de suas atividades. Aliás, a LGPD reconhece isso expressamente, ao conceder ao agente de tratamento a possibilidade de demonstrar “a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas”.

Restaria analisar a possibilidade de verificação da segunda causa de responsabilidade objetiva destacada no início deste texto: quando a atividade do agente de tratamento, por sua natureza, traga risco para os direitos de outrem. Ocorre que essa regra fica eliminada por disposições mais específicas previstas na LGPD, que impõem a verificação de culpa (ou dolo). Com efeito, a regra de sucessão de leis no tempo constante da Lei de Introdução às Normas do Direito Brasileiro impõe essa prevalência da regra mais específica sobre a mais geral.

Embora a LGPD estabeleça um regime de responsabilidade subjetiva, ela admite expressamente que o agente de tratamento esteja sujeito a regras mais rígidas de responsabilidade, caso um mesmo descumprimento ou feixe de descumprimentos também esteja sujeito a outro regime de responsabilidade civil, como o consumerista. Neste sentido, as regras que estabelecem esse regime especial de responsabilidade civil no CDC podem ser aplicáveis se a conduta do agente de tratamento de dados que causar dano ao consumidor estiver nelas prevista.

Pode-se, então, concluir que a responsabilidade do agente de tratamento de dados será sempre subjetiva, exceto nas situações em que um outro regime de responsabilidade se aplique, como pode ser o caso do CDC.

Autores: Simone Lahorgue Nunes, sócia de Levy & Salomão Advogados, e Daniel Tardelli Pessoa, sócio de Ferraz de Camargo e Matsunaga Advogados

Imagem: Sora Shimazaki/Pexels

Autores L&S

Simone Lahorgue Nunes

Simone Lahorgue Nunes

Consultora

Outras edições

Política restritiva sobre rankings

Não participamos de ou damos informações a publicações classificadoras de escritórios de advocacia (rankings) com uso de informações confidenciais de clientes. Também não pagamos por espaço editorial ou publicitário. Isso pode levar a omissão ou distorção de informações relativas a nossas atividades em tais publicações. Assim, a visita a nosso site é a maneira mais adequada de conhecer nossas atividades.
developed by asteria.com.br designed by pregodesign.com.br
^