Danos decorrentes de violação à LGPD por profissional liberal em relação de consumo
Autores
28 de setembro de 2022, 8h00
A Lei Geral de Proteção de Dados Pessoais (Lei 13.709/18) tem sido objeto de contínuo e necessário estudo, seja pela importância da proteção de dados pessoais e da privacidade, seja por representar uma legislação que está inserida em todas as áreas do Direito, notadamente se relacionando com o Direito do Consumidor, uma vez que os titulares de dados, em inúmeras situações e relações jurídicas, serão também consumidores.
Além disso, o Código de Defesa do Consumidor (Lei 8.078/90) foi importante fonte de inspiração para os autores do anteprojeto da LGPD, cujo texto guarda semelhanças na estrutura normativa e em alguns de seus dispositivos [1].
É o caso do artigo 64 da Lei Geral de Proteção de Dados Pessoais em consonância com o artigo 7º do CDC. Ambos trazem uma abertura para aplicação simultânea de outros diplomas legais, em um mesmo caso concreto sob orientação da Constituição Federal, especificamente para concretização de um ou mais direitos fundamentais envolvidos [2]. Como o direito fundamental de promoção da defesa do consumidor (artigo 5º, XXXII, CF) e o direito fundamental à proteção de dados pessoais (artigo 5º, LXXIX, CF). Trata-se do diálogo das fontes [3].
Outra semelhança está na prevenção de danos. Enquanto o Código de Defesa do Consumidor estabelece a prevenção efetiva de danos como direito básico do consumidor (artigo 6º, VI), a Lei Geral de Proteção de Dados Pessoais a disciplina como princípio (artigo 6º, VIII). Seja princípio, seja direito básico, tem-se na prevenção um dever para o agente de tratamento ou para o fornecedor.
Referido dever do sujeito superavitário da relação jurídica exige um comportamento compatível com o comando normativo, ou seja, um agir que evite a ocorrência de danos aos sujeitos deficitários, aos vulneráveis (sejam titulares de dados pessoais, sejam consumidores).
De acordo com a LGPD, esse comportamento é descrito como a "adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais" (artigo 6º, VIII). Ou seja, o agente de tratamento de dados tem (ou deve ter, pois dele é exigido) informações e mecanismos de oferecer e prestar serviços com segurança e adequado controle de qualidade, a fim de evitar acidentes de consumo, tais quais potenciais vazamentos de dados. Não basta ao agente que ele próprio não cause o vazamento. Mais do que isso, é exigida a adoção prévia de medidas que sejam efetivamente capazes de evitar a ocorrência de danos.
Esta noção é complementada por outro princípio da LGPD, qual seja, o estipulado no inciso X do mesmo artigo 6º: "responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas".
Como alhures mencionado, a estrutura normativa da LGPD também recebeu inspirações do CDC. Nesse sentido, ao lado dos princípios da Lei Geral, a sua estrutura normativa fomenta constante diálogo de um princípio com um fundamento e/ou outros dispositivos legais. Constrói-se uma teia interconectada para fortalecimento da efetividade dos propósitos normativos. Seara em que se insere a prevenção de danos presente no dever imposto ao agente de tratamento para adotar medidas de segurança aptas à proteção dos dados contra tratamentos ilícitos ou inadequados de dados, inclusive quando ainda se está diante da concepção do produto ou serviço, nos termos do artigo 46, § 2º, somando-se aos incisos VIII e X do artigo 6º da mesma lei.
A par dessa teia interconectada, tal qual antes citado, a LGPD abre-se para além de suas fronteiras. Reconhece sua insuficiência para o escopo normativo e textualmente liga-se a diversas normas. De forma que, ao prever o diálogo das fontes, a LGPD permite (e até estimula) ao intérprete que não se resuma na própria Lei Geral, uma vez que a melhor solução para o caso concreto pode estar na construção conjunta de aplicação de duas ou mais leis.
Pode-se afirmar que é o caso de danos causados a titulares de dados que, ao mesmo tempo, se revestem da condição de consumidores (sejam em sentido estrito, sejam por equiparação, como é o caso do previsto no artigo 17 do CDC, ou seja, das vítimas do evento danoso).
Destarte, ao se verificar situação jurídica em que, a despeito de ausência de contratações anteriores, sejam expostos dados pessoais de consumidores de forma indevida (e a tal ponto de macular imagem ou de violar outros direitos da personalidade de consumidores/titulares da dados) causando danos, se estará diante da responsabilidade civil.
Quando se fala em responsabilidade civil na LGPD, tem-se diversidade de posicionamentos acerca de seu regime [4]. Caso se entenda que o regime é o da responsabilidade objetiva [5] e se tendo presente a disposição do artigo 45 que remete aplicação ao CDC, pode-se ter um novo dilema. E se um profissional liberal, como um médico, contratado na forma privada, expuser dados sensíveis de consumidores titulares de dados?
A LGPD estabelece a responsabilidade civil objetiva. O CDC, igualmente, dispõe que há dever de responder independentemente de culpa, à exceção de danos causados por profissionais liberais, que somente respondem caso se verifique culpa (artigo 14, § 4º, CDC).
No exemplo aqui imaginado, o médico que cause danos por erro médico deverá ter sua culpa investigada e demonstrada para ser responsabilizado. Todavia, se este mesmo médico além deste erro ainda expuser dados sensíveis do paciente como será a sua responsabilização? Será necessária a aferição de culpa para responsabilização dos danos decorrentes dessa exposição de dados?
Para responder à questão sobre o regime jurídico da responsabilidade civil de médico/agente de tratamento de dados em uma relação de consumo, defendemos a submissão da situação ao diálogo das fontes.
Com efeito, CDC e LGPD estatuem o dever de prevenção de danos fortalecendo, ao menos em casos sob a égide de tais normas, a função preventiva da responsabilidade civil. Portanto, para nortear a resposta, em diálogo das fontes, deve-se ter em mente a prevenção de danos, que é princípio e direito básico. Neste, ao lado do termo prevenção tem-se outro: efetiva. É necessária, por conseguinte, seja construída a efetiva prevenção de danos.
Em uma relação de consumo com potenciais danos decorrentes de tratamento ilícito ou inadequado de dados pessoais, há o dever de efetiva prevenção de danos (CDC), com a "adoção de medidas" (LGPD) aptas à referida prevenção.
Acresça-se que o guia interpretativo da aplicação do método do diálogo das fontes deve ser o respeito ao direito fundamental envolvido.
No exemplo dado, estamos diante de (ao menos) dois direitos fundamentais como já rememorado.
Devemos, portanto, interpretar o regime jurídico de responsabilidade civil para o fim de oferecer efetividade à proteção dos direitos fundamentais envolvidos, para o fim de impor ao médico que é agente de tratamento de dados sensíveis um dever de adoção de medidas aptas e capazes de garantir, com segurança, a prevenção da ocorrência de danos.
Então, como chegar à resposta? Talvez seja o caso de buscarmos a resposta, ainda em diálogo das fontes, com auxílio de outro princípio, o da isonomia.
No CDC, o fator de discrímen eleito pelo legislador para excepcionar o profissional liberal, que responde somente mediante culpa, parece guardar relação com a própria natureza de suas atividades (de risco) que, em geral, podem configurar uma obrigação de meio, da qual pode acontecer dano. Justifica-se a exigência do elemento subjetivo para determinar o dever de ressarcimento. Na investigação proposta, todavia, o dano não decorre da atividade fim do profissional liberal, mas de atividade de tratamento de dados pessoais, como de qualquer outro agente de tratamento.
Sem este fator de discrímen a autorizar um tratamento normativo diferenciado, poderia um profissional liberal responder independentemente de culpa quando causar danos a consumidores decorrentes de violação à LGPD?
Algo a se investigar, mas parece ser através da teoria do diálogo das fontes o caminho para uma resposta adequada à indagação proposta.
[1] Nesse sentido: MENDES, Laura Schertel; DONEDA, Danilo. Reflexões iniciais sobre a nova Lei Geral de Proteção de Dados. Revista de Direito do Consumidor, São Paulo, v. 120, ano 27, p. 471, nov.-dez. 2018.
[2] MAIMONE, Flávio Henrique Caetano de Paula. Responsabilidade civil na LGPD: Efetividade na proteção de dados pessoais. Indaiatuba, SP: Editora Foco, 2022.
[3] Claudia Lima Marques nos ensina que o diálogo das fontes oferece novo olhar para o conflito entre dispositivos legais: "1) A unidade e coerência do ordenamento jurídico nacional, visto como sistema brasileiro de fontes (sistema é um 'todo construído' com uma 'lógica', que será retirada da Constituição Federal, em especial dos direitos fundamentais e dos valores protegidos pela cláusula pétrea do Art. 60 § 4º); 2) A convergência e complementaridade dos campos de aplicação das diversas fontes, que não são mais campos de aplicação totalmente coincidentes (material e subjetivamente), de forma que não pode haver revogação, derrogação ou ab-rogação (a revogação expressa é cada vez mais rara no ordenamento jurídico brasileiro e o legislador geralmente indica a aplicação simultânea das leis, 'no que couber', ou quando a relação também envolve sujeito de direito protegido ou se a lei/fonte é mais favorável ao sujeito protegido constitucionalmente); 3) A necessidade de dar efeito útil ('escutar'/considerar) às várias fontes adaptando o sistema conforme os valores constitucionais, colmatando as lacunas ao reunir em microssistemas as fontes que convergem para a mesma finalidade, ou através de uma interpretação sistêmica, teleológica ou mesmo históricas das leis gerais e especiais" (grifos originais). MARQUES, Claudia Lima. A teoria do "diálogo das fontes" hoje no Brasil e seus novos desafios: uma homenagem à magistratura brasileira. In: MARQUES, Claudia Lima; MIRAGEM, Bruno (coord.). Diálogo das fontes: novos estudos sobre a coordenação e aplicação das normas no direito brasileiro. São Paulo: Thomson Reuters Brasil, 2020. p. 17-72.
[4] Dentre as diversas correntes, destacamos: a) Responsabilidade proativa: BODIN DE MORAES, Maria Celina; QUEIROZ, João Quinelato de. Autodeterminação informativa e responsabilização proativa: novos instrumentos de tutela da pessoa humana na LGPD. Cadernos Adenauer xx (2019), nº 3. Proteção de dados pessoais: privacidade versus avanço tecnológico. Rio de Janeiro: Fundação Konrad Adenauer, outubro 2019; b) Responsabilidade objetiva por risco: MARTINS, Guilherme Magalhães; FALEIROS JÚNIOR, José Luiz de Moura. Compliance digital e responsabilidade civil na Lei Geral de Proteção de Dados. In: MARTINS, Guilherme Magalhães; ROSENVALD, Nelson (coord.). Responsabilidade civil e novas tecnologias. Indaiatuba, SP: Editora Foco, 2020. p. 263-297; c) responsabilidade objetiva por falha no dever de segurança: CRAVO, Daniela Copetti; KESSLER, Daniela Seadi; DRESCH, Rafael de Freitas Valle. Responsabilidade Civil na portabilidade de dados. In: MARTINS, Guilherme Magalhães; ROSENVALD, Nelson (coord.). Responsabilidade civil e novas tecnologias. Indaiatuba, SP: Editora Foco, 2020. p. 185-201; d) Responsabilidade subjetiva: GUEDES, Gisela Sampaio da Cruz; MEIRELES, Rose Melo Vencelau. Término do Tratamento de Dados. In: FRAZÃO, Ana; TEPEDINO, Gustavo; OLIVA, Milena Donato coord. Lei geral de proteção de dados pessoais e suas repercussões no direito brasileiro [livro eletrônico] / 2. ed. São Paulo: Thomson Reuters Brasil, 2020; e) Coexistência entre subjetiva e objetiva: SCHREIBER, Anderson. Responsabilidade Civil na Lei Geral de Proteção de Dados Pessoais. In: DONEDA, Danilo et al. Tratado de proteção de dados pessoais. Rio de Janeiro: Forense, 2021. p. 330-349.
[5] As diferentes compreensões do tema são enfrentadas na obra acima referida: Responsabilidade civil na LGPD: Efetividade na proteção de dados pessoais, publicada pela Editora Foco. Podem, ainda, ser visitadas no artigo: https://www.migalhas.com.br/coluna/migalhas-de-responsabilidade-civil/368236/responsabilidade-civil-por-tratamento-inadequado-de-dados-pessoais
Autores
Encontrou um erro? Avise nossa equipe!