Responsabilidade objetiva do controlador de dados e função do encarregado na LGPD

Dispõe o inciso VIII do artigo 5º da LGPD (Lei Geral de Proteção de Dados) que encarregado é a "pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)". O artigo 41 da LGPD acresce que quem indica o encarregado pelo tratamento de dados pessoais é o "controlador" dos dados, ou seja, consoante define o inciso VI do artigo 5º da Lei será "a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais".  


As funções do operador confundem-se com as do DPO (data protection officer — diretor de proteção de dados), que é definido por Rodrigo Pelegrino (Recife: Revista Algomais, 2022) como um novo profissional que deve deter expertise em cibersegurança, pois é responsável pela proteção de dados dentro de uma organização, com o desiderato específico de garantir a segurança das informações de clientes, fornecedores e da própria empresa.


O artigo 42 da LGPD deixa claro que "o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo", podendo, o (a) juiz (a) inverter o ônus da prova a favor do titular dos dados sempre que considerar verossímil a alegação, isto é, a probabilidade de acolhimento do pleito pelo ordenamento jurídico da tese da demanda e dos fundamentos expendidos na petição inicial (artigo 300 do CPC c/c §2º do artigo 42 da LGPD), e for comprovada a hipossuficiência para fins de produção de prova ou, ainda, quando a produção de provas pelo titular resultar-lhe excessivamente onerosa (§2º do artigo 42 da LGPD).


A LGPD considera irregular o tratamento de dados pessoais e, portanto, sujeitando os responsáveis às consequências da reparação do dano, quando deixarem de atender às suas disposições, em especial ao seu artigo 44, o qual considera irregular o tratamento de dados quando ele não fornecer a segurança que o titular pode esperar, e destaca em seus três incisos como circunstâncias relevantes que devem sempre ser consideradas, as seguintes: "I - o modo pelo qual é realizado (o tratamento dos dados); II - o resultado e os riscos que razoavelmente dele se esperam; III - as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado".


O rigor da observância dos preceitos da LGPD é reforçado pelos deveres de guarda e preservação dos dados enunciados no parágrafo único do artigo 43, o qual institui um mecanismo de responsabilidade civil objetiva incidente sobre o controlador e/ou o operador que deixar de adotar as medidas de segurança previstas no artigo 46 da LGPD (TEPEDINO, TERRA E GUEDES, Rio de Janeiro: Gen-Forense, 2020).


Esse dever é geral, isto é, aplica-se a todo e qualquer controlador e operador de dados, público ou privado, e, por óbvio, também recai sobre o judiciário e seus prestadores de serviço de tratamento de dados privados, os quais respondem pelos danos decorrentes da violação da segurança das informações, sendo que, quando a administração pública for a controladora de dados, esses prestadores de serviços respondem regressivamente e quando a relação jurídica envolvedora do tratamento de dados for de direito privado a responsabilidade dos agentes de tratamento é solidária. Nesse preciso sentido, o artigo 43 da LGPD pronuncia que


Os agentes de tratamento só não serão responsabilizados quando provarem: I - que não realizaram o tratamento de dados pessoais que lhes é atribuído; II - que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro. 


Ora, segundo o inciso IX do artigo 5º da LGPD, os "agentes" de tratamento de dados são, precisamente, o controlador e o operador. Afastar o regime da responsabilidade civil objetiva para as hipóteses acima elencadas seria incorrer num insuperável paradoxo, pois, primeiramente, nas relações diretas entre titulares de dados pessoais e controladores quando não há uma relação primária e remota de natureza consumerista ou civilista haverá uma vinculação de índole publicista. E nas relações entre empresas e consumidores há uma relação jurídica-base que os une a qual é regida pelo CDC, e não deixa de sê-lo por envolver o tratamento de dados pessoais, ainda que ocorra como um efeito anexo do contrato.


Logo, admitir que a lei consumerista não se aplica a essas relações jurídicas seria uma inequívoca negação aos preceitos dos artigos 12 e 14 do CDC. Depois, nas relações jurídicas de direito público, não há como afastar a regra prevista no artigo 37 da Constituição Federal.


Assim, a responsabilidade objetiva nas relações jurídicas de direito público é consequência que advém da norma prevista no §6º do artigo 37 da Constituição Federal, segundo o qual "As pessoas jurídicas de direito público e as de direito privado prestadoras de serviços públicos responderão pelos danos que seus agentes, nessa qualidade, causarem a terceiros, assegurado o direito de regresso contra o responsável nos casos de dolo ou culpa".


Não subsumir o tratamento de dados pessoais ao regime da responsabilidade objetiva representaria subtrair a eficácia da regra consumerista ou da norma constitucional em favor de uma interpretação que não leva em consideração que qualquer relação de consumo perpetrada pela via digital envolve e requer o respectivo tratamento de dados.


Admitir tal teoria seria o mesmo que aplicar duas regras conflitantes — para os que consideram que a LGPD não instituiu um regime de responsabilidade objetiva — para reger uma única relação jurídica. No caso das relações de direito público seria uma insuperável usurpação da eficácia do § 6º do artigo 37 da CF, à medida que se faria valer os preceitos de lei ordinária em detrimento de norma constitucional.


Outro argumento em prol da responsabilidade objetiva no tratamento de dados pessoais refere à aplicação do Decreto Presidencial nº 7.962, de 15 de março de 2013, o qual regula o comércio eletrônico, às questões pertinentes à proteção de dados de consumidores. Essa norma administrativa, que regulamentou o CDC para reger o e-commerce, reza expressamente em seu artigo 7º que as relações contratuais consolidadas pela Internet devem submeter-se às normas do CDC.


Somente por isso, nenhuma dúvida poderia sobejar quanto à aplicação dos artigos 12 e 14 do CDC na seara de proteção de dados pessoais. Mas, ainda há mais. O inciso VII do artigo 4º do Decreto em questão extirpa qualquer dúvida quanto à sua regência e aplicabilidade ao tratamento de dados pessoais, porquanto consigna que, para garantir o atendimento facilitado ao consumidor no comércio eletrônico, o fornecedor deverá "utilizar mecanismos de segurança eficazes para pagamento e para tratamento de dados do consumidor".


A não ser assim, teríamos, por exemplo, num contrato celebrado pela Internet entre um consumidor e uma empresa, as questões relativas ao produto ou serviço reguladas pelo CDC e pelo Decreto nº 7.962/2013, e as questões sobre o tratamento dos dados coletados nessa mesma relação contratual de consumo regidas pela LGPD, desconsiderando-se o regramento objetivo da responsabilidade civil. Seria suprimir do todo uma parte indestacável que não se submeteria ao regramento mais amplo, mas não menos específico, ex vi legis do inciso VII do artigo 4º do Decreto supra.


Improcede o argumento dos que sustentam o caráter subjetivo da responsabilidade dos controladores e agentes de tratamento de dados baseado no fato de o artigo 43 da LGPD haver enumerado deveres explícitos para esses sujeitos. O CDC é pródigo quanto à capitulação de inúmeros deveres que recaem sobre o responsável pelo fato do produto e do serviço, e, não obstante, adota o regime da responsabilidade objetiva.


Também não procede a tese de que seria um indicativo da existência do modelo subjetivo de responsabilização o fato de o Projeto de Lei originário haver previsto a responsabilidade objetiva de modo explícito e tal explicitude haver sido alterada em sucessivo, pois a busca hermenêutica pela mens legislatoris é questão superada na história do direito, sendo hoje pacífico que a Lei tem vontade própria. A supressão da expressão "responsabilidade objetiva", ou "responde objetivamente" ou qualquer outra que o valha, do caput do artigo, não alterou em absolutamente nada a natureza dessa responsabilidade, já que o que interessa é o conteúdo textual do dispositivo que restou aprovado pelo Parlamento.


 Ora, o artigo 42 da LGPD é claríssimo, ao especificar que "o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo". Apenas o fato de não haver a expressão "responsabilidade objetiva" ou uma equivalente explícita não lhe retira essa essência, nem o sentido lógico-gramatical e, sobretudo, o teleológico, que deflui da inexigibilidade da Lei à demonstração da culpa.


Semelhantemente às excludentes de responsabilidade previstas no CDC, o artigo 43 da LGPD somente exclui a responsabilidade dos agentes de tratamento de dados quando eles provarem que: "I - que não realizaram o tratamento de dados pessoais que lhes é atribuído", ou seja, quando se excluir o nexo causal, cujo ônus da prova recai expressamente sobre esses agentes; "II - que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados", ausência de ilicitude a qual também consiste em excludente do nexo causal e também com o ônus da prova recaindo sobre os agentes de tratamento de dados; ou "III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro".


Esta última hipótese é a cabal demonstração de que a responsabilidade adotada na LGPD é objetiva, pois seria, no mínimo, inadequado que o artigo 43 eximisse a responsabilidade dos agentes de dados diante da culpa exclusiva da vítima ou de terceiro. A natureza objetiva da responsabilização civil funda-se, tão somente, na conjugação de três elementos: a ocorrência do dano; a existência de nexo causal entre a conduta e este dano; e a ausência de culpa excludente da vítima ou de terceiro, e é precisamente isto o que se enxerga na letra da LGPD.


Num momento em que os dados pessoais são verdadeiras commodities digitais, aliás são as de maior valor no mercado financeiro internacional, superando até mesmo o valor do petróleo, a interpretação que propõe a responsabilidade subjetiva na LGPD é o melhor dos mundos para a aldeia global da ultraliberalização econômica, que é típica do capitalismo digital de vigilância de dados.


Ademais, não se pode descurar que os direitos envolvidos na proteção de dados pessoais são verdadeiras garantias constitucionais insculpidas no artigo 5º da Constituição Federal, como a privacidade, a intimidade, a honra, a imagem etc., o que revela o caráter publicista da relação jurídica que envolve a coleta, o armazenamento e o tratamento de dados pessoais, pois o objetivo central da LGPD (artigo 1º, caput) é "[...] proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural".


Defender que a responsabilidade pela proteção dos dados seria subjetiva levaria o artigo 42 da LGPD e o artigo 14 do CDC a uma colisão insuperável entre si, que não se resolveria pelo afastamento da incidência dessa última regra em razão da essência e preponderância da natureza consumerista da relação jurídica objeto da demanda, ademais consistiria numa insurreição jurídica quanto à latitude das garantias constitucionais protetivas dos direitos da personalidade contidas no artigo 5º da Constituição Federal.


CDC e LGPD são normas compossíveis e complementares, e não excludentes, uma da outra. A 34ª Câmara de Direito Privado do TJSP já decidiu no sentido de que em casos que tais a responsabilidade civil é de natureza objetiva, embora tenha explicitado no julgamento apelação nº 1024481-61.2020.8.26.0405/2021, que a mera exposição de dados básicos informados com frequência não dá ensanchas à indenização por dano moral.


Esse entendimento, aliás, é esposado pelo Tribunal de Justiça do Amapá (RI: 00343984820198030001), que, além de considerar a responsabilidade em pauta como objetiva, declara que ela emerge quando os dados pessoais forem tratados em desconformidade com os fundamentos de sua proteção instituídos no artigo 2º, LGPD, e, também, quando em desacordo com o consentimento para a finalidade específica e explícita outorgada pelo titular ou seu representante legal e que deve ser informada pelos agentes de tratamento de dados ao seu titular quando instados a isto (artigo 6º, I, LGPD).


No julgamento da apelação cível de nº 10168440320208260068, a 5ª Câmara de Direito Público do TJSP, ao analisar um vazamento indevido de dados médicos, obtido pela simples digitação do CPF de determinado paciente no site da prefeitura, e que resultou no acesso indevido ao seu prontuário médico, concebeu que essa situação é de tal maneira embaraçosa que atinge a esfera de proteção dos direitos da personalidade do indivíduo.


O tribunal considerou, acertadamente, que "o sigilo dos dados pessoais ganha contornos cada vez mais sensíveis, sendo matéria cada dia mais regulada na seara legislativa. Eventuais vazamentos de dados particulares são evidentes fatos geradores de danos, seja de ordem moral ou material, e o legislador tende a protegê-los, especialmente quando digam respeito aos direitos de personalidade. Artigo 5º, X, Constituição Federal, artigo 42 da Lei nº 13.709/2018 (LGPD) e artigo 4º da Lei 13.787/2018".


Também a Turma Recursal do TJ-DF (Tribunal de Justiça do Distrito Federal) entrelaça os sistemas do CDC e da LGPD para concluir pela aplicabilidade do artigo 14 do CDC nas relações jurídicas mantidas entre consumidores e instituições financeiras, mantendo hígido o enunciado de nº 479 da súmula do Superior Tribunal de Justiça, segundo o qual as instituições financeiras devem responder objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias.


O órgão julgador do TJ-DF (processo nº 07387371620208070016/2021) também assentou que a responsabilidade em casos que tais é de natureza objetiva, e exsurge da simples demonstração entre o nexo causal e o prejuízo sofrido pelo consumidor em decorrência da inobservância do dever de prevenção para a preservação e proteção de dados pessoais, tais como a adoção de "[...] medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão".


Pode-se acrescentar que a preservação da incidência do CDC nas relações de consumo que envolvam a proteção de dados pessoais resta garantida em razão do que dispõe a regra do §2º do artigo 2º da Lei de Introdução às Normas do Direito Brasileiro (Lei nº 12.376, de 2010), segundo o qual "§2º - A lei nova, que estabeleça disposições gerais ou especiais a par das já existentes, não revoga nem modifica a lei anterior". Assim, as novas disposições da LGPD, por não terem revogado e, sobretudo, por não conflitarem com o CDC não afastam a incidência da lei consumerista.


Afora o dever de inviolabilidade da privacidade, intimidade e sigilo das partes e demais sujeitos processuais — incluindo, assim, os três círculos concêntricos da teoria da proteção jurídica à vida privada — é não menos importante respeitar a imagem desses sujeitos, e, igualmente, impedir o comércio ilícito dos dados pessoais coletados por empresas e pelo poder público e, ainda, garantir o exercício do princípio da autodeterminação informativa instituído no artigo 2º da LGPD.


Diz o princípio em questão que devem ser prestadas em prazo razoável aos titulares todas as informações relativas ao tratamento de seus dados tão logo haja solicitação nesse sentido. E mais, a anonimização dos dados também é outro imperativo que os sistemas informáticos devem atender, ou seja, a necessária utilização de meios técnicos pelos quais os dados devem ser desassociados, direta ou indiretamente, de um indivíduo. Ao cabo, não pode ser outra a conclusão que não a de que a responsabilidade civil que emerge da LGPD é de índole objetiva.

___________________________________________________________________________________

Fonte: Conjur