É importante não perder o foco da segurança jurídica no âmbito da LGPD

Tal qual ocorreu com o compliance, diversos advogados vêm orientando os clientes na elaboração de políticas e procedimentos para lidar com a Lei Geral de Proteção de Dados Pessoais (Lei 13.709, de 2018). Essa atividade é importantíssima, uma vez que é um dos elementos para atenuar multas de responsabilidades. Todavia, por mais minucioso e detalhado que seja, nada é bulletproof –– como se diz em língua inglesa.

Em algumas publicações, venho insistindo na tecla de que não existe computador ou device 100% seguros. Portanto, ainda que as melhores práticas sejam adotadas, a possibilidade de falhas não pode e não deve ser desconsiderada. O que fazer se algo der errado, então?

A Seção III da LGPD trata da “Responsabilidade e do Ressarcimento de Danos”, e sua redação se assemelha à estrutura do Código de Defesa do Consumidor (aliás, o próprio artigo 45 da LGPD faz referência expressa ao CDC). A responsabilidade civil, no âmbito da LGPD, é tratada da seguinte forma:

“Art. 44. O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:
I – o modo pelo qual é realizado;
II – o resultado e os riscos que razoavelmente dele se esperam;
III – as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.
Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano”.

Para os fins deste breve texto, é importante focar um conceito da lei que corresponde à adoção das “técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado” (inciso III do artigo 44, acima). Tal conceito é mais minudenciado no artigo 46 do mesmo diploma legal:

“Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.

Os dispositivos acima mencionados demandarão uma análise técnica bem profunda por parte dos julgadores. Como sabemos, a tecnologia anda em uma velocidade estonteante. Sendo assim, é bem difícil verificar as “técnicas (…) disponíveis à época”. Da mesma forma, não é fácil a tarefa de apurar o “tratamento adequado”. Isso revolve uma discussão que ocorre em todo o mundo, quando se trata de privacidade de dados pessoais. Por certo, a questão é bem complexa. Há grande discussão quando se trata das chamadas boas práticas de segurança.

Digamos, por exemplo, que um software sofra uma atualização às 24h de um dia qualquer e, à 00h30 do dia seguinte, haja um vazamento. Como fica a responsabilidade? A questão é mais complicada do que parece. Atualizar um software nem sempre é tarefa fácil. Quem trabalha com tecnologia da informação recomenda que se aguarde para verificar a estabilidade. A prudência de aguardar a verificação de estabilidade afastaria as excludentes de responsabilidade? E se a atualização imediata do sistema causar um vazamento de dados pessoais?

Vê-se, portanto, que a questão não é nada simples. A apuração da responsabilidade nesse caso necessitará de conhecimento técnico profundo sobre informática, impondo, a rigor, a utilização de prova pericial (artigo 464, I do CPC, a contrario sensu), que seja profunda e didática, com observância estrita dos requisitos constantes do artigo 474 do CPC. Só então será possível perquirir os elementos da responsabilidade civil, quais sejam: ato ilícito, nexo e dano.

Diante disso, com a necessidade de prova técnica sobre o vazamento de dados e suas causas, a boa exegese legal deverá afastar o automatismo da responsabilização objetiva pura, nesse caso. Pois, como visto no exemplo hipotético acima, a verificação da conduta ilícita imporá conhecimento técnico específico. Sem isso, a diligência pode ser malcompreendida, gerando insegurança jurídica profunda. O anseio da lei é buscar mais segurança aos usuários, mas isso tem de ser balanceado com a realidade do mundo digital. Espera-se, desta feita, que esse tipo de questão seja tratada cum grano salis. Caso contrário, a lei criará uma situação de profunda injustiça.

Frise-se, por fim, que vazamentos de dados costumam afetar um universo enorme de indivíduos, podendo gerar múltiplas demandas judiciais: (i) casos individuais; (ii) ações civis públicas; (iii) processos em outros países (inclusive class actions nos EUA). Enfim, uma miríade de conflitos, em um mundo todo conectado. Desta feita, seria aconselhável que a lei tivesse dispositivo que suprimisse ou evitasse decisões conflitantes e o forum shopping –– que consiste na escolha da jurisdição mais favorável aos autores.

No âmbito da LGPD, que trata de um mercado pujante e dinâmico, é importante não perder o foco da segurança jurídica. Por isso, termino com a preciosa lição de San Tiago Dantas, que, com muita propriedade, já alertava: “Muita gente diz que a finalidade do direito é produzir a justiça, mas tão importante é a produção de justiça como a produção da segurança e numerosos institutos e normas jurídicas não compreenderíamos se a única finalidade do direito fosse fazer justiça. É que ele quer fazer justiça, mas quer fazer também segurança”[1].

Nesse diapasão, pode-se dizer que segurança jurídica é fundamental para o florescimento das fintechs. Essas empresas de tecnologia, por certo, terão o condão de revolucionar o mercado bancário, reduzindo tarifas e taxas de juros. Não por outra razão, Roberto Campos Neto ­–– que assumirá, provavelmente, a cadeira de presidente do Banco Central –– afirmou: “Tenho estudado e me dedicado intensamente ao desenho de como será o sistema financeiro do futuro. Participei de estudos sobre blockchain e ativos digitais. Uma das contribuições que espero trazer para o Banco Central é preparar a instituição para o mercado futuro, em que as tecnologias avançam de forma exponencial, gerando transformações mais aceleradas”[1]. Espero, sinceramente, que o bom senso prevaleça na interpretação da LGPD, para não perdermos o bonde dessa revolução.