Responsabilidade civil na LGPD é subjetiva

A LGPD dedicou uma seção específica à responsabilidade civil (Seção III do Capítulo VI — artigos 42 a 45) e em momento algum afastou o elemento da culpabilidade. Logo, por essa simples razão, já seria forçoso concluir que o seu regime é o subjetivo (fundamentado na culpa do controlador ou operador de dados).

"A lógica da responsabilidade objetiva é outra: não cabe discutir cumprimento de deveres, porque a responsabilidade objetiva não decorre do descumprimento de qualquer dever jurídico". Quando se discute cumprimento de deveres, o que no fundo está sendo analisado é se o agente atuou ou não com culpa. Assim, apesar de a LGPD não ser explícita em relação à natureza da responsabilidade dos agentes de tratamento de dados, como é o Código de Defesa do Consumidor ao adotar a responsabilidade objetiva, a interpretação sistemática da LGPD leva à conclusão de que o regime adotado por este diploma foi mesmo o da responsabilidade subjetiva.
Não obstante as semelhanças com o Código de Defesa do Consumidor, é essencial destacar que, enquanto o Código de Defesa do Consumidor tem pelo menos dois artigos expressamente indicando a natureza objetiva da responsabilidade (arts. 12 e 14 – ambos se valem da expressão “independentemente de culpa”, que deixa clara a opção do legislador pela responsabilidade objetiva), não há qualquer norma análoga na LGPD. O art. 42 da LGPD não faz referência expressa à culpa como elemento da responsabilidade civil, mas também não faz qualquer alusão ao risco como fundamento da responsabilidade objetiva" [1].

Não fosse só isso, os autores também destacam:

"O único dispositivo da LGPD que remetia para a responsabilidade objetiva foi retirado no trâmite legislativo, o que é um dado significativo para a interpretação da lei. O próprio histórico de tramitação do projeto de lei que deu origem à LGPD evidencia, portanto, a opção do legislador pela responsabilidade subjetiva. A versão inicial do Projeto de Lei n.º 5276 trazia, no Capítulo sobre "Transferências internacionais de dados”, uma regra geral expressa de responsabilidade solidária e objetiva desses agentes pelos danos causados em virtude do tratamento de dados (art. 35). (…)
Diferentemente desse primeiro texto, todas as versões subsequentes do projeto, até a versão finalmente sancionada da LGPD, passaram a não mais mencionar, como regra geral, um regime de solidariedade ou objetividade na responsabilidade pelos danos decorrentes do tratamento de dados pessoais. A referência expressa à responsabilidade objetiva foi completamente eliminada do texto legal. Paralelamente a isso, ainda no período de tramitação do projeto, o caput do art. 42 da LGPD sofreu uma alteração importante: a expressão"em violação à legislação de proteção de dados pessoais" foi acrescentada, o que também evidencia a opção do legislador pela responsabilidade subjetiva. Os agentes de tratamento não responderão em toda e qualquer situação em que causarem danos a terceiros, mas apenas quando isso ocorrer em violação à legislação de proteção de dados pessoais, ou seja, quando a sua conduta não se adequar ao standard estabelecido pelo próprio legislador" [2].

Ou seja, a partir de uma interpretação sistemática, a conclusão é no sentido de que a responsabilidade prevista na LGPD é subjetiva. Como se não bastassem essas questões, e para além da interpretação sistemática, a interpretação textual dos artigos 42 e 44 da LGPD também caminha no mesmo sentido.

Lendo o texto legal, percebe-se que não basta o mero desempenho da atividade de tratamento de dados para que seja possível imputar responsabilidade ao agente. É necessário um comportamento culposo, seja por violar diretamente a legislação de proteção de dados (artigo 42), seja por deixar de tomar medida(s) de segurança adequada(s) (artigo 44).

A propósito, não há como deixar de notar a semelhança entre o artigo 42 da LGPD e os dispositivos do CC/2002 que estabelecem o regime geral (subjetivo) de responsabilidade civil, e ler e perceber. Não fosse por isso, o artigo 43 da lei, ao tratar das hipóteses de exclusão de responsabilidade, indica que o agente que provar não ter violado a legislação de proteção de dados não terá a obrigação de indenizar. Portanto, a necessidade de violação à lei (isto é, ato ilícito) configura elemento subjetivo do dever de ressarcir, confirmando a adoção da responsabilidade subjetiva pela LGPD.

De fato, a lei estabelece, ainda no Capítulo VI (artigos 46 a 54), uma série standards de conduta para o agente de tratamento de dados, com vistas à garantia da segurança e do sigilo dos dados, bem como ao incentivo de boas práticas de governança corporativa. Qual seria, então, a razão de indicar parâmetros de conduta a serem observados pelo agente, se ele pudesse ser responsabilizado pelo simples desempenho de sua atividade? Não faria sentido algum.

Além de tudo, a verdade é que, se fosse esse o objetivo do legislador, ele teria mantido a expressão contida no CDC: "Independentemente da existência de culpa". Diante disso, quando interpretados sistemicamente os dispositivos da lei, e tomados em conta seus fins, chegamos à conclusão de que, no âmbito da LGPD, a responsabilidade civil é subjetiva. Noutros termos, assim como o dano, o nexo de causalidade e o ato ilícito, a culpa também é elemento essencial para configurar o dever de indenizar.

Nem se alegue que o artigo 45 da LGPD implicaria em aplicação necessária e imediata do CDC, sem qualquer temperança. O dispositivo em questão prescreve o seguinte: "As hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente".

Primeiramente, se esse artigo significasse que tudo estaria sujeito ao CDC — apenas por resultar de uma relação de consumo —, não haveria qualquer necessidade das demais disposições prescrevendo condutas. A razão das normas que determinam condutas é criar um incentivo para o seu cumprimento. Não haveria incentivo se o fato de cumprir ou não deveres levasse as mesmas consequências. Caso quem obedecesse aos preceitos da lei tivesse o mesmo dever de indenizar que o negligente, não haveria justificativa para seguir os ditames legais. O aumento dos custos de transação decorrentes do cumprimento das condutas prescritas na LPGD precisa ter uma contrapartida, caso contrário o objetivo do legislador — estimular ações de cuidado — não seria atingido.

Sendo assim, uma interpretação mais condizente com a questão, capaz de trazer concretude à norma, seria no sentido de que relações de consumo que envolvem os dados como objeto direto (e.g., as redes sociais) teriam a temperança do CDC, em conjunto com a LGPD. O mesmo, todavia, não poderia ocorrer com as empresas que usam os dados como meio para executar determinada atividade. Caso contrário, chegaríamos à conclusão de que a LGPD possui dispositivos absolutamente inúteis, e que o esforço legislativo teria sido desnecessário, sendo mais simples remeter tudo ao CDC.

Em uma análise sistemática e profunda da LGPD — em relação ao CDC —, Fernando Antonio Tasso — juiz de Direito no Estado de São Paulo, coordenador de TI e Direito Digital da Escola Paulista da Magistratura e coordenador do Núcleo de Estudos em Direito Digital da Escola Paulista da Magistratura — conclui que não é possível afastar os requisitos do artigo 43, entre eles, especificamente, o do inciso II [3]. Confira-se:

"Enquanto o inciso II do referido artigo do Código de Defesa do Consumidor prevê como excludente de responsabilidade civil a não colocação do produto no mercado, o que consiste num fato de objetividade binária, o da Lei Geral de Proteção de Dados prevê mais um dever ao agente de tratamento de dados, qual seja a observância de uma conduta diligente que, em sendo observada é causa de exclusão da responsabilidade civil" [4]

Não custa lembrar, por oportuno, que o CDC é uma legislação de 30 anos, criada em 1990. Sobre esse ponto, lembre-se o que o primeiro signatário deste artigo escreveu para o consultor jurídico apresentando o contexto em que o CDC nasceu, quando não se imaginava, nem de longe, a realidade atual do mundo digital.

Ignorar uma lei moderna — criada especificamente para tratar de dados em uma sociedade de informação digital — e usar uma lei que foi cunhada em momento no qual o mundo atual sequer era imaginado seria um contrassenso gritante. Pior, seria um desprezo ao desenvolvimento tecnológico, um desserviço ao país e um mal-uso do processo legislativo que culminou com a LGPD. Se esse entendimento vingar, o país poderá dar passos gigantes para trás no que se refere à tecnologia, com custos enormes para a sociedade como um todo.

Acresça-se ainda que, embora tenha buscado inspiração no CDC, a LGPD apresenta verdadeiramente um regime próprio de responsabilidade civil, diferenciando-se, em vários aspectos, daquele diploma normativo.

Assim, considerando que a LGPD trata da responsabilidade civil na estrutura normativa do Código Civil, surge a pergunta: para que a regular de forma especifica? A resposta está na especificidade da questão e na necessidade de balancear os interesses dos titulares com os da sociedade em geral.

Vale lembrar que uma parte da lei trata do mal uso dos dados; quando alguém, apesar de ter direito a utilizar dados, o faz além das autorizações do titular. É o caso, por exemplo, da punição do Facebook pela Senacon. Ao utilizar a conhecida rede social, os indivíduos consentem na utilização de seus dados. Todavia, houve um excesso sem a devida informação. Daí porque a condenação.

Mas, além disso, a lei também trata do cuidado que os agentes devem ter no tratamento dos dados de terceiros. Vivemos na sociedade da informação digital. E utilizamos dados em quantidades nunca imaginadas. A atividade econômica é tão dependente de dados que a Revista Economist proclamou: "Data is the new oil". Dados cruzam o globo em milésimos de segundos. Logo, se a LGPD tivesse adotado a responsabilidade objetiva e tratasse o mal-uso da mesma forma que o furto, isso criaria um risco monumental para a atividade econômica.

Sob a ótica da análise econômica do Direito, "determinada regra de responsabilização é desejável se fornece incentivos adequados para que os agentes adotem níveis adequados de precaução no exercício de suas atividades" [5]. Isso porque: "Da mesma forma que os padrões genéricos de conduta variam de acordo com as circunstâncias de cada tipo de conduta, o nível de precaução aconselhável a diferentes atividades pode variar. (…) Parece claro que o nível de precaução adotado por engenheiros de uma usina nuclear deve ser superior ao exigível em outras atividades menos arriscadas. E, no entanto, mesmo os engenheiros de uma usina nuclear não seriam capazes de adotar precaução ilimitada" [6].

Diante da realidade atual dos dados digitais, não faria sentido adotar uma interpretação da responsabilidade civil que fosse calcada em um ideal fantasioso de precaução ilimitada e segurança absoluta. Com dados circulando em uma velocidade estonteante, além de hackers dispostos a usar de todos os artifícios possíveis (digitais ou não), é fundamental ter uma perspectiva real, inclusive considerando penas e multas estipulados na legislação para não inibir a atividade produtiva e empreendedora que é o motor da sociedade.

Até porque, sublinhe-se, "num primeiro momento, pode parecer que quaisquer medidas de precaução que reduzam as chances da ocorrência de um acidente devam ser adotadas. No entanto, em determinadas circunstâncias, adotar mais precaução pode não ser eficiente. Medidas de prevenção excessivamente custosas que não reduzam significativamente as chances de ocorrência de dados tendem a ser ineficientes. Da mesma forma que deixar de adotar medidas razoáveis de precaução pode levar a resultados indesejáveis, a adoção de medidas excessivamente onerosas e injustificadas gera perdas sociais" [7].

Ante o exposto, apesar de entendimentos em contrário, entendemos que todas as características da LGPD dizem respeito à responsabilidade subjetiva do agente ou controlador de dados. Isso porque a lei cria uma série de deveres. Ora, se o cumprimento dos deveres não levasse a alguma mudança nos parâmetros para a responsabilização, não haveria incentivo para o seu cumprimento. Não fosse só isso, diferente do CDC, que cuida de defeito no produto ou serviço, a LGPD não tem esta perspectiva objetiva, preferindo tratar de condutas. Por fim, é importante frisar que havia apenas um dispositivo tratando de responsabilidade objetiva no projeto de lei que deu origem à LGPD, e o mesmo foi retirado desde a primeira revisão Logo, apesar da insistência de alguns, o nosso entendimento é no sentido de que a responsabilidade civil no sistema da LGPD é subjetiva, necessitando de demonstração, alegação e prova da culpabilidade.