O regime de responsabilidade civil do controlador

Muito se tem discutido a respeito do regime da responsabilidade civil do controlador na Lei Geral de Proteção de Dados (LGPD) e o tema está longe de encontrar uma posição pacificada.

Há uma corrente que defende que a mera exposição do fato ilícito acarretaria o dever de indenizar o titular, o chamado dano moral in re ipsa, aquele que independe de prova, bastando ao titular que prove a prática do ato ilícito e não necessitando comprovar a violação dos direitos da personalidade para fazer jus à indenização por dano moral.

Em contraponto, há outra corrente que entende que a mera exposição do fato gerador de suposto dano moral prescinde da obrigatoriedade de vinculação ao dano sofrido, sem a qual não seria passível de condenação.

Algumas reflexões se fazem necessárias à luz da teoria do diálogo das fontes [1], idealizada na Alemanha pelo jurista Erik Jayme e trazida ao Brasil por Cláudia Lima Marques, segundo a qual as leis não devem ser aplicadas e interpretadas isoladamente, devendo as normas se complementarem, em consonância com os preceitos constitucionais.

Nessa ótica, a Lei Geral de Proteção de Dados [2], ao tratar de relações em que o titular for também consumidor, deve ser analisada conjuntamente com o Código de Defesa do Consumidor (CDC) [3], no âmbito do consumo, assim como, no âmbito das relações jurídicas privadas, em conjunto com o Código Civil [4].

Tendo em vista que na maioria das vezes o tratamento de dados pessoais ocorre dentro do ambiente de consumo, o objetivo é tecer algumas ponderações entre esses dois diplomas legais. O Código de Defesa do Consumidor estabelece o regime de responsabilidade objetiva em seu artigo 14 [5], preceituando que o fornecedor de produtos ou serviços responde objetivamente por prejuízos causados a terceiros independentemente da existência de culpa.

O artigo 45 da LGPD dispõe que as hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente [6], remetendo, assim, à responsabilidade objetiva que trata o artigo 14 do CDC [7].

Imperativo registrar que o mencionado dispositivo legal trata da falha e defeito do serviço cabendo ao consumidor e titular dos dados demonstrar a sua ocorrência. E, nesse sentido, a comprovação do defeito se torna um elemento chave para fins de constatação se, efetivamente, a responsabilidade objetiva se aplica aos agentes de tratamento. Para isso, é necessário interpretarmos conjuntamente com os dispositivos legais da Lei Geral de Proteção de Dados.

O artigo 42 estabelece a obrigação dos agentes de tratamento em reparar o dano patrimonial e moral [8], tanto individual como coletivo. O artigo 43 elenca as hipóteses de exclusão da responsabilidade [9], com especial atenção aos incisos II e III, os quais preveem a ocorrência do tratamento sem que tenha se caracterizado a violação à lei e quando o dano decorrer de culpa exclusiva do titular ou de terceiro.

Nesse sentido, corrobora o artigo 44 [10], o qual estabelece que um tratamento será irregular quando o mesmo deixar de observar a legislação ou quando não fornecer a segurança que o titular deve esperar, ressalvadas as circunstâncias relevantes do caso concreto, entre elas, as técnicas de tratamento de dados pessoais disponíveis à época em que o tratamento foi realizado.

O parágrafo único do mencionado dispositivo especifica ainda que o controlador responderá por danos decorrentes de violação da segurança dos dados se a causa do dano se der por inobservância na adoção das medidas de segurança previstas no artigo 46 da lei [11].

E, por fim, o referido artigo 46 estabelece que os agentes de tratamento devem adotar medidas de segurança [12], técnicas e administrativas aptas à proteção dos dados pessoais. Entretanto, para a devida caracterização de um incidente de segurança como um defeito, se faz imprescindível perpassar os dispositivos legais ora citados, da Lei nº 13.709/18 [13], para que seja factível a verificação do preenchimento ou não dos requisitos necessários como condição essencial para atrairmos a imputação da responsabilidade objetiva do artigo 14 do CDC [14].

A existência do suposto dano do titular, na condição de consumidor, requer a caracterização do defeito do serviço.

Na prática, estaremos diante do diálogo das fontes, através do reenvio útil de normas e aplicação complementar entre a Lei Geral de Proteção de Dados para fins de enquadramento do incidente de segurança como um defeito de serviço ou não, hipótese em que, se configurada, é possível concluirmos se tratar do regime de responsabilidade civil objetiva previsto no Código de Defesa do Consumidor [15].

Referências bibliográficas
BRASIL. Casa Civil. Lei 10.406 de 10 de janeiro de 2002. Institui o código civil. Brasília: Casa Civil, 2002. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/2002/L10406compilada.htm. Acesso em: 20 ago. 2021.

BRASIL. Casa Civil. Lei 8.078 de 11 de setembro de 1990. Dispõe sobre a proteção do consumidor e dá outras providências. Brasília: Casa Civil, 1990. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/L8078compilado.htm. Acesso em: 20 ago. 2021.

BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em: 21 ago. 2021.

TARTUCE, Flávio. Em que consiste a teoria do diálogo das fontes? JusBrasil, 2011. Disponível em: https://flaviotartuce.jusbrasil.com.br/artigos/121820130/em-que-consiste-a-teoria-do-dialogo-das-fontes#:~:text=Em%20que%20consiste%20a%20 teoria%20do% 20di%C3%A1logo%20das, doutrinadora%20prop%C3%B5e% 20um%20sentido %20de%20complementaridade%20entre%20. Acesso em: 21 ago. 2021.

[1] TARTUCE, Flávio. Em que consiste a teoria do diálogo das fontes? JusBrasil, 2011. Disponível em: https://flaviotartuce.jusbrasil.com.br/artigos/121820130/em-que-consiste-a-teoria-do-dialogo-das-fontes#:~:text=Em%20que%20consiste%20a%20teoria%20do%20di%C3%A1logo%20das, doutrinadora%20prop%C3%B5e%20um%20sentido%20de%20complementaridade%20entre%20. Acesso em: 21 ago. 2021.

[2] BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em: 21 ago. 2021.

[3] BRASIL. Casa Civil. Lei 8.078 de 11 de setembro de 1990. Dispõe sobre a proteção do consumidor e dá outras providências. Brasília: Casa Civil, 1990. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/L8078compilado.htm. Acesso em: 20 ago. 2021.

[4] BRASIL. Casa Civil. Lei 10.406 de 10 de janeiro de 2002. Institui o código civil. Brasília: Casa Civil, 2002. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/2002/L10406compilada.htm. Acesso em: 20 ago. 2021.

[5] BRASIL, op. cit., 1990.

[6] BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em: 21 ago. 2021.

[7] BRASIL, op. cit., 1990.

[8] BRASIL, op. cit., 2018.

[9] Ibidem.

[10] BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em: 21 ago. 2021.

[11] Ibidem.

[12] Ibidem.

[13] Ibidem.

[14] BRASIL. Casa Civil. Lei 8.078 de 11 de setembro de 1990. Dispõe sobre a proteção do consumidor e dá outras providências. Brasília: Casa Civil, 1990. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/L8078compilado.htm. Acesso em: 20 ago. 2021.

[15] Ibidem.