Resumo: Este trabalho tem como objetivo principal analisar a responsabilidade civil dos agentes de tratamento ao realizar o tratamento dos dados pessoais dos titulares de dados. Atualmente, vazamentos de dados pessoais têm acontecido com frequência, seja por falhas em sistemas, envios de e-mails para os destinatários errados ou até mesmo ataques de hackers, o que faz o com que todas as pessoas fiquem pensando em quem será responsabilizado por possíveis danos que venha a ocorrer em detrimento deste incidente de segurança. Para elaborar o principal meio de estudo foi a Lei 13.709/2018 Lei Geral de Proteção de Dados - LGPD, lei de privacidade de proteção de dados brasileira criada com base na General Data Protection Regulation, do inglês, GDPR, entendendo assim, que a LGPD foi elaborada para servir como liga entre os demais dispositivos presentes no ordenamento jurídico brasileiro que abordam os temas de privacidade e proteção de dados.
Palavras-chave: Lei Geral de Proteção de Dados, Vazamento de dados, Responsabilidade Civil, Dano, Privacidade e Proteção de Dados.
Abstract: The main purpose of this paper is to analyze the civil liability of data processors when processing the personal data of data subjects. Currently, leaks of personal data have happened frequently, either by failures in systems, sending emails to the wrong recipients or even hacking attacks, which makes everyone wonder who will be held responsible for possible damage that may occur as a result of this security incident. To elaborate the main means of study was the Law 13.709/2018 General Law of Data Protection - LGPD, Brazilian data protection privacy law created based on the General Data Protection Regulation, GDPR, thus understanding that the LGPD was designed to serve as a link between the other devices present in the Brazilian legal system that address the issues of privacy and data protection.
Keywords: General Data Protection Law, Data Leaking, Civil Liability, Damage, Privacy and Data Protection.
Com o avanço da tecnologia, novos meios de realização de negócios e a facilitação da convivência humana mediante o desenvolvimento da humanidade, os dados pessoais passaram a se tornar cada vez mais utilizados para realização de tarefas simples do dia a dia, como por exemplo, no cadastramento em uma rede social, na qual é possível realizar o cadastro mediante a utilização de um plataforma já cadastrada para realização do cadastro nesta nova plataforma.
Deste modo, surgiu a necessidade de uma e regularização para que o titular dos dados pessoais fosse mais protegido nesta relação entre pessoa física e pessoa jurídica, na qual, na maioria das vezes, a pessoa física é o lado mais fraco, uma vez que as legislações já existentes não davam respaldo necessário ao titular de dados de forma concreta e segura, deixando sempre margem para interpretação, resultando em uma possível irresponsabilidade do agente de tratamento.
Tem-se que dados pessoais são apenas os dados cadastrais que as pessoas possuem, como é o caso do RG e CPF. A grande maioria das pessoas se preocupam quase que exclusivamente com o vazamento desses tipos de dados pessoais, quando na verdade dados pessoais vão muito além disso.
Dados pessoais é toda informação que identifique ou torne uma pessoa identificável, deste modo, é muito mais abrangente do que se tem ideia, indo muito além do nome, RG e CPF do titular dos dados.
A Lei 13.709/2018, Lei Geral de Proteção de Dados - LGPD, é a lei brasileira que trata a respeito de privacidade e proteção de dados, sendo assim, esta lei em conjunto com os demais ordenamento jurídicos pertinentes regerão a responsabilidade dos agentes de tratamento, não só no caso de vazamento de dados pessoais, como também a respeito de qualquer assunto que aborda o tratamento de dados pessoais, sendo que tratamento corresponde à coleta, utilização, armazenamento e descarte desses dados.
Tanto o Código Civil, quanto o Código de Defesa do Consumidor possuem dispositivos de modo a proteger a privacidade do titular de dados, consequentemente, é de extrema importância que os mecanismos de reparação previstos na LGPD não sejam analisados separadamente das demais legislações brasileiras, devendo ser utilizadas em conjunto para um respaldo melhor no que tange a segurança do titular dos dados.
2 Lei Geral De Proteção De Dados
A Lei 13.079/20018, conhecida como Lei Geral de Proteção de Dados (LGPD) é a lei que trata a respeito de como se deve ocorrer o tratamento dos dados pessoais das pessoas físicas, a qual na maioria das vezes é a parte mais vulnerável de uma relação.
A LGPD possui como foco a criação de um cenário seguro para o titular dos dados, com uma padronização de como deve ocorrer o tratamento dos dados pessoais com o intuito de que o cidadão brasileiro tenha como recorrer no caso de algum incidente envolvendo seus dados pessoais.
A lei categoriza dados pessoais como sendo qualquer informação que identifique ou torne uma pessoa identificável; dados sensíveis como sendo qualquer dado pessoal que possa causar discriminação, como por exemplo dados pessoais sobre etnia, opinião política, vida sexual ou biometria; dados anonimizados correspondem aos dados nos quais não são possíveis identificar o titular, estes podem ser quaisquer dados pessoais, sendo o importante não ser possível identificar o titular em meio aos outros, contudo, há informações, que aparentemente, não seria considerado dados pessoal, é possível identificar o titular no meio dos demais titulares, como por exemplo uma tatuagem, uma tatuagem, caso seja possível identificar a pessoa tatuada passa a ser um dado pessoal e deixa de ser dados anonimizados, contudo, se houver mais de uma pessoa com a mesma tatuagem, não sendo possível sua identificação, este dado será anonimizado, ou seja, o caráter de anonimização pode ser personalíssimo, no qual pode identificar uma pessoa uma pessoa famosa, como uma celebridade, um ótimo exemplo é o lutador de artes marciais mistas (MMA) Conor McGregor, que pode ser reconhecido apenas por sua tatuagem de gorila no peito; e dados de crianças e adolescentes, explicando como se deve ocorrer o tratamento de cada tipo de dados, uma vez que devem ser tratados de formas diferentes em razão de sua categorização diferenciada[1].
De acordo com esta categorização dos dados pessoais alguns dados demandam uma um cuidado maior no tratamento do que outros em razão de sua potencialidade lesiva em detrimento aos demais dados pessoais[2]. Isto diz respeito aos dados pessoais sensíveis que são dados pessoais mais perigoso e que podem causar um dano maior ao titular de dados, como por exemplo os dados biométricos que com acesso a eles é possível realizar transações bancárias e demais golpes.
A LGPD foi elaborada com o intuito de proporcionar um maior controle ao cidadão brasileiro sobre seus dados pessoais. Com a chegada da Indústria 4.0, ou 4ª Revolução Industrial, sendo conhecida como Revolução Digital, os dados pessoais passaram a ser a nova moeda de troca entre as grandes empresas e os cidadãos.
A 4ª Revolução Industrial engloba inovações tecnológicas em campos como automação e tecnologia da informação, sendo um exemplo os carros autônomos. Estes dispositivos tecnológicos autônomos fazem coleta de dados pessoais, como localização, deste modo, surge a LGPD para proteger o titular dos dados das grandes empresas detentoras dos dados, impondo regras para a realização de coleta e tratamento dos dados pessoais dos titulares, uma vez que conforme um ditado popular “se não um valor, você é o produto”, sendo o ser humano detentor de dados pessoais o novo produto para as grandes empresas.
Antes mesmo de se imaginar a elaboração da Lei Geral de Proteção de Dados, o Código de Defesa do Consumidor, Lei nº 8.078/1990, (CDC) abordava vagamente o que viria a ser considerado posteriormente como direito do titular de dados em relação à sua privacidade e seus dados. Em seu artigo 43[3] o consumidor terá o direito ao acesso às suas informações existentes em cadastro e fichas de registros pessoais, ou seja, muito anteriormente à elaboração da LGPD já se pensava em dar direito ao cidadão de conhecer quais informações as empresas e fornecedores têm sobre si.
Após o Código de Defesa do Consumidor, o Código Civil de 2002, Lei nº 10.406 (CC) se aproxima do tema com a delimitação dos direitos da personalidade, servindo também como base para proteção de dados, porém nada muito profundo, uma vez que era impossível de imaginar a amplitude que teríamos hoje em dia. Entretanto, apenas em 2014 com o Marco Civil da Internet, Lei nº 12.965/2014, é que ocorre a real proteção de dados para o titular dos dados pessoais.
O Marco Civil da Internet é a norma legal que consiste como uma “Constituição da Internet”, deixando de lado a ideia de que a internet é uma terra sem lei. Um dos pilares do Marco Civil da Internet é a privacidade para proteger os dados pessoais dos usuários da internet, exigindo o seu consentimento expresso para qualquer operação que venha a ser realizada com os dados pessoais das pessoas que estão navegando. Todavia, o Marco Civil da Internet é uma lei principiológica, isso quer dizer que ocorre a apresentação dos direitos, porém, sem regulamentá-los de forma específica.
Conforme citada anteriormente, a LGPD foi elaborada com o intuito de proporcionar ao cidadão brasileiro um maior controle sobre seus dados pessoais, assim como remover as empresas que realizam o tratamento dos dados pessoais do polo mais forte da relação entre titular dos dados e agentes de tratamento. A LGPD impõe aos agentes de tratamento de dados pessoais diversas obrigações legislativas para que o tratamento de dados seja permitido, como é o caso do consentimento do titular, tema que será abordado mais adiante.
Antes da elaboração da LGPD havia apenas o Marco Civil da Internet como legislação que protegia os titulares de dados, entretanto, por não se tratar de uma lei que versa sobre dados pessoais, não protegia o titular dos dados de forma significativa, uma vez que tratava os temas de forma muito ampla. Em seu artigo 7º, inciso VIII[4], e o artigo 16 [5]do Marco Civil da Internet prevê que é direito do cidadão ter informações claras a respeito de como ocorre a coleta, armazenamento e tratamento dos dados pessoais.
A LGPD modifica tanto o artigo 7º quanto o artigo 16 do Marco Civil da Internet. O artigo 7º diz a respeito do direito do titular de saber como ocorrer o tratamento de seus dados e quais dados são armazenados pelos agentes de tratamento, impondo aos agentes de tratamento que se obtenha o consentimento dos titulares de dados, ficando vedado o tratamento de dados pessoais sem o consentimento dos titulares, assim como o tratamento com finalidade diversa do que foi informado ao titular dos dados no momento da coleta dos dados pessoais.
2.2 Relação Da LGPD Com A General Data Protection Regulation – GDPR
A GENERAL DATA PROTECTION REGULATION – GDPR (Regulamento Geral sobre a Proteção de Dados) rege a proteção de dados na União Europeia, servindo como modelo para a elaboração da lei de proteção de dados vigente no Brasil, a LGPD.
Elaborada a partir da necessidade de regulamentação do princípio da privacidade, teve como base a Declaração Universal de Direito Humanos em 1948, na qual reconhece os valores de privacidade individual e familiar, assim como a liberdade de informação, opinião e expressão, sendo a matriz de todas as legislações referente a dados pessoais. Continuando esse processo houve a Convenção Europeia de Direitos Humanos, fundada nos mesmos valores da Declaração Universal de Direitos Humanos, a Convenção Europeia de Direitos Humanos possuiu disposições em sentido da Declaração Universal de Direitos Humanos em relação a proteção da vida privada e familiar em relação ao direito de informação do cidadão.
Em 1979, alguns países da União Europeia iniciaram a implementação de leis nacionais a respeito de privacidade, entre eles Dinamarca, França, Alemanha, Luxemburgo e Noruega. Um ano após, em 1980, a Organização para Cooperação e Desenvolvimento Econômico – OECD, expediu diretrizes a respeito da proteção da privacidade e fluxo internacional de dados pessoais, sendo este um passo de extrema importância em direção a elaboração das primeiras legislações de privacidade e proteção de dados pessoais.
Posteriormente, em 1981, houve a Convenção 108, tendo como tema a consolidação das resoluções 72/22 e 74/29, sendo proposta pelo Conselho da Europa para a proteção dos titulares em relação ao processamento automáticos dos dados pessoais, sendo aberto tanto para membros da União Europeia quanto para não membros.
Por fim, em 1995, foi expedida a Diretiva 95/46/CE em razão da não abrangência completa da Convenção 108 a respeito da proteção a privacidade do cidadão, tendo sido a principal legislação sobre o tema privacidade e proteção de dados pessoais em mais de 20 anos[6].
A GDPR foi elaborada nesse contexto, contexto da necessidade de determinar a privacidade e proteção dos dados pessoais dos cidadãos em razão do seu caráter de fragilidade em relação às grandes empresas que realizariam o tratamento dos dados, conforme exposto por Viviane Nóbrega Maldonado e Renato Opice Blum:
[...] substituindo a Diretiva 95/46/CE, bem como leis e regulações nacionais nela baseadas. Diferentemente da Diretiva, a Regulação é autoaplicável e não requer a aprovação de leis nacionais compatíveis com suas determinações. Seu objetivo e eliminar inconsistências em leis nacionais, ampliar o escopo de proteção à privacidade e modernizar a legislação para desafios tecnológicos, econômicos e políticos atuais, com aqueles decorrentes do advento da internet[7].
A partir da elaboração da GDPR a elaboração da LGPD começou a tomar forma, uma vez que teve como base a lei europeia. A primeira semelhança é em relação aos seus princípios em razão da LGPD, assim como a GDPR, também prever a necessidade do consentimento do titular para que ocorra o tratamento dos dados pessoais por parte dos agentes de tratamento, tendo essa legislação o objetivo de proteger informações e dados pessoais como: cookies; informações pessoais dos titulares; e-mail; endereço de IP; dados biométricos e diversos outros.
Além do princípio do consentimento, a LGPD se assemelha à GDPR em relação a necessidade de transparência com o titular dos dados pessoais, previsto em seu artigo 13º[8] , assim como o princípio da limitação da finalidade para o tratamento dos dados pessoais, impondo um limite ao controlador para a realização do tratamento dos dados pessoais o titular.
Contudo, apesar das semelhanças, a legislação brasileira e a europeia possuem algumas diferenças, uma delas é em relação quantidade de princípios e bases legais. A primeira diferença entre as duas legislações é a respeito dos princípios, enquanto a LGPD possui 10 (dez) princípios de tratamento e privacidade, a GDPR possui apenas 9 (nove) princípios. Outra diferença é em relação às bases legais para justificar o tratamento de dados pessoais, enquanto a LGPD possui 10 (dez) bases legais, a GDPR possui apenas 6 (seis) bases legais. Outra diferença significativa entre ambas as legislações é a respeito do prazo para comunicação com a autoridade de dados no caso de incidente, no caso da GDPR essa comunicação deverá ocorrer dentro do prazo de 72 (setenta e duas) horas, enquanto a LGPD prevê em seu artigo 48, §1º [9] que a comunicação deverá ser feita em prazo razoável, sendo a expressão, prazo razoável, algo indeterminado.
Em outras palavras, a GDPR seria a “mãe” da LGPD, sendo a vanguarda da Lei Geral de Proteção de Dados, entretanto possui algumas diferenças entre elas.
3 Tratamento Dos Dados Pessoais
A LGPD dispõe a respeito do tratamento de dados pessoais, seja por pessoa natural ou jurídica , público ou privado, tendo como objetivo a proteção dos direitos fundamentais do cidadão sobre a privacidade e proteção de dados pessoais de pessoas físicas[10], ou seja, a LGPD apenas se aplica sobre o tratamento de dados pessoais de pessoas naturais, como nome, CPF, e-mail e outros, não se aplicando aos dados de pessoas jurídicas, como CNPJ.
Conforme expõe a Dra. Cecilia Rezende Freitas, advogada especialista em Privacidade e Proteção de dados do escritório de advocacia Emerenciano, Baggio & Associados – Advogado, “Tratamento de dados é toda e qualquer atividade que se realiza utilizando dados pessoais, desde sua visualização até seu descarte.”. Patrícia Peck, advogada, sócia-fundadora do escritório de advocacia Peck Advogados, escritório especialista em direito digital, incluindo privacidade e proteção de dados tratamento de dados, tratamento de dados é:
Toda operação realizada com algum tipo de manuseio de dados pessoais: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, edição, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração[11].
Deste modo, se entende que praticamente todas as pessoas, independentemente de sua escolaridade ou atuação profissional realizam tratamento de dados pessoais, uma vez que apenas a visualização e escuta de informações que contém dados pessoais de pessoa física já caracteriza tratamento de dados pessoais.
O tratamento de dados pessoais é realizado pelos agentes de tratamento podendo ser um controlador, a gente que recepciona os dados pessoais, ou por um operador de dados, quem é encarregado de realizar o tratamento dos dados pessoais[12].
O tratamento de dados pessoais é fiscalizado pela Autoridade Nacional de Proteção de Dados – ANPD. A ANPD foi criada para dar mais segurança aos titulares de dados pessoais de modo a saberem que os agentes e tratamento não terão força para realizarem o tratamento dos dados pessoais da forma que bem desejarem, ou seja, a ANPD é o órgão responsável pela orientação a respeito da LGPD, tendo um papel de elo entre ao agentes de tratamento e o titular de dados pessoais. [13]
Entretanto, conforme estipulado pelo Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado disponibilizado pela ANPD, não são considerados agente de tratamento, seja controlador ou operador, os indivíduos subordinados, sejam estes funcionários, servidores públicos ou equipes de trabalho de uma organização. Isto significa que um trabalho que é subordinado à empresa não pode ser considerado controlador ou operador de dados pessoais, mas sim a empresa que este é funcionário. [14]
Nos primórdios da humanidade não havia responsabilidade, o que existia nas antigas civilizações era apenas uma ideia de vingança, sendo o primeiro tipo de vingança a vingança coletiva, no qual um grupo se voltava contra o agressor motivados pela ofensa realizada a um de seus membros. “Historicamente, nos primórdios da civilização humana, dominava a vingança coletiva, que se caracterizava pela reação conjunta do grupo contra o agressor pela ofensa a um de seus componentes.”[15]
Com o passar do tempo a vingança realizada de modo coletivo deu lugar para a realizada de forma privada, sendo caracterizada por causar um dano posterior à parte que causou o dano originário, sendo utilizado como “lei” de responsabilidade civil o Código de Hamurabi, que consistia em causar a outrem o mesmo dano que me foi causado, dando origem a lei de Talião, a qual possui o famoso jargão “olho por olho, dente por dente”.
A lei de Talião foi extremamente revolucionária, uma vez que colocou proporção na vingança privada, o que anteriormente era completamente desproporcional, limitando o dano que será causado a ser causado na mesma intensidade e similar ao dano original.
Posteriormente evoluiu para uma reação individual, isto é, vingança privada, em que os homens faziam justiça pelas próprias mãos, sob a égide da Lei de Talião, ou seja, da reparação do mal pelo mal, sintetizada nas fórmulas “olho por olho, dente por dente”, “quem com ferro fere, com ferro será ferido”. Para coibir abusos, o poder público intervinha apenas para declarar quando e como a vítima poderia ter o direito de retaliação, produzindo na pessoa do lesante dano idêntico ao que experimentou.[16]
A vingança privada anterior à Talião não trazia nenhum tipo de benefício à sociedade, enfatizando apenas o desejo de retribuição da vítima, contudo, não era capaz de reparar a situação, apenas prejudicaria ambas as partes.
Após o período de Talião, seguiu a Lei das XII Tábuas, sendo criada no Império Romano, um momento em que a sociedade já reconhecia que havia uma figura de autoridade similar ao Estado nos dias atuais. Desta forma chegou-se à conclusão de que reparar o dano mediante prestação em pecúnia seria muito mais benéfico a ambas as partes, uma vez que a retaliação existente em razão da lei de Talião não era benéfica para nenhuma das partes, apenas causando um duplo dano às partes.
A responsabilidade não abrange apenas a responsabilidade civil, sendo também responsável pela responsabilidade penal. A responsabilidade penal consiste no agente cometer um ato ilícito no qual lesa os deveres de cidadão em relação a sociedade, resultando em um dano social, ou seja, infração de uma norma penal, sendo que a única forma de reparação é o cumprimento da pena imposta na lei aos sujeitos que a quebrarem, enquanto a responsabilidade civil é derivada de um dano a terceiro em situações que não ocorra a quebra de uma norma penal, conforme expõe Maria Helena Diniz.
Enquanto a responsabilidade penal pressupõe uma turbação social, ou seja, uma lesão aos deveres de cidadãos para com a ordem da sociedade, acarretando um dano social determinado pela violação da norma penal, exigindo para restabelecer o equilíbrio social investigação da culpabilidade do agente ou o estabelecimento da antissociabilidade do seu procedimento, acarretando a submissão pessoal do agente à pena que lhe for imposta pelo órgão judicante, tendendo, portanto, à punição, isto é, ao cumprimento da pena estabelecida na lei penal, a responsabilidade civil requer prejuízo a terceiro, particular ou Estado.[17]
A responsabilidade civil decorre do dano à propriedade privada, isto significa que em razão de haver sido dano à propriedade privada é possível que as partes indenizem uma a outra. A parte causadora do dano tem a opção de reparar o dano que fez, quando é possível, ou indenizar a parte lesa mediante o pagamento de uma quantia em dinheiro, sendo que em ambas as formas o prejuízo será compensado e não haverá mais o que se pedir em relação aos danos causados em razão do ato ilícito cometido pelo agente causador
Para Carlos Roberto Gonçalves, a palavra “responsabilidade” tem origem no latim respondere, o que dá fim a ideia de que seria uma segurança, uma garantia, de restituição da propriedade danificada, acaba-se com a certeza de compensação à parte lesada do que lhe foi danificado, contudo, nasce a obrigação de restituição e ressarcimento do mesmo[18]. Para Caio Mario da Silva Pereira utiliza o conceito exposto por Giorgio Giorgi, no qual conceitua que responsabilidade civil com sendo a “obrigação de reparar mediante indenização quase sempre pecuniária, o dano que o nosso fato ilícito causou a outrem”[19].
Mediante as definições expostas, conforme ensinado por Maria Helena Diniz, entende-se que a responsabilidade civil tem como função garantir ao lesado segurança e o direito de ressarcimento do que lhe foi danificado em razão do ato ilícito de terceiros.
Visa, portanto, garantir o direito do lesado à segurança, mediante o pleno ressarcimento dos danos que sofreu, restabelecendo-se na medida do possível o statu quo ante. Logo, o princípio que domina a responsabilidade civil na era contemporânea é o da restitutio in integrum, ou seja, da reposição completa da vítima à situação anterior à lesão, por meio de uma reconstituição natural, de recurso a uma situação material correspondente ou de indenização que represente do modo mais exato possível o valor do prejuízo no momento de seu ressarcimento, respeitando assim, sua dignidade.[20]
A responsabilidade civil, na maioria das vezes, no ordenamento brasileiro, deriva da culpa existente do ato do causador do dano, para haver responsabilidade civil é necessário que haja um nexo de causalidade somado com a ocorrência de um evento danoso, caso não haja um nexo de causalidade ou um evento danoso não haverá responsabilidade civil, podendo até mesmo configurar um mero ato de aborrecimento. Culpa é a falta da inobservância, do cuidado que seria demandado em determinada situação, em razão da negligência, imprudência ou imperícia. A negligência corresponde ocorre quando alguém deixa de tomar uma atitude que era esperada em razão da situação em questão, agindo com descuido, um exemplo é um policial que deixa uma arma carregada ao alcance de uma criança.
A imprudência deriva de uma ação precipitada, que ocorreu sem cautela, sendo o típico exemplo um motorista que dirige em alta velocidade e em detrimento desta atitude acaba atropelando um cidadão. Por fim, a imperícia decorre de uma falta de habilidade, falta de aptidão, e qualidade técnica, sendo um exemplo o médico que realiza uma cirurgia plástica sem ter o conhecimento necessário para tal.
No âmbito civilista existem dois tipos de prejuízos que um sujeito pode causar a outro, sendo estes o dano material e o dano moral. O dano material, como o próprio nome já menciona, é o dano causado aos bens materiais de outrem, desta forma o ato danoso, sendo um ótimo exemplo uma batida entre dois ou mais veículos. Um dos motoristas comete um ato de negligência, imprudência ou imperícia, e esta ação resultou no mesmo colidindo com o carro que está a sua frente. Deste modo, por haver nexo de causalidade somado com o dano causado a terceiro, houve dano material, devendo o causador reparar a vítima por danificar seu patrimônio.
Enquanto o dano material causa dano ao patrimônio alheio, o dano moral é totalmente ao contrário. Conforme os ensinamentos de Carlos Roberto Gonçalves:
Dano moral é o que atinge o ofendido como pessoa, não lesando seu patrimônio. É lesão de bem que integra os direitos da personalidade, como a honra, a dignidade, a intimidade, a imagem, o bom nome etc., como se infere dos arts. 1º, III, e 5º, V e X, da Constituição Federal, e que acarreta ao lesado dor, sofrimento, tristeza, vexame e humilhação[21].
Ainda, Orlando Gomes define que a expressão “dano moral” somente deve ser utilizada quando não há relação com âmbito patrimonial, uma vez que ao envolver patrimônio não se caracteriza mais dano moral, mas sim dano matéria:
Para Orlando Gomes, “a expressão ‘dano moral’ deve ser reservada exclusivamente para designar o agravo que não produz qualquer efeito patrimonial. Se há consequências de ordem patrimonial, ainda que mediante repercussão, o dano deixa de ser extrapatrimonial” (Obrigações, n. 195, p. 332 apud GONÇALVES, 2021, p. 159).[22]
O dano moral deve ser reparado de forma proporcional ao agravo, isto é, deve-se buscar que reparação no limite em que o dano foi causado. A própria Constituição Federal assegura à vítima o direito de indenização em razão da ocorrência do ato ilícito, seja este moral ou material[23].
Deste modo, conforme ensina Sérgio Cavalieri:
Dano moral seria aquele que não tem caráter patrimonial, ou seja, todo dano não material. Segundo Savatier, dano moral é qualquer sofrimento que não é causado por uma perda pecuniária. Para os que preferem um conceito positivo, dano moral é dor, vexame, sofrimento, desconforto, humilhação – enfim, dor da alma.[24]
O código civil traz em seu artigo 927 que aquele que violar direito ou causar prejuízo a outrem fica obrigado a repará-lo, e ao se falar em matéria de direito civil a reparação é sempre monetária. Por se tratar de uma sociedade capitalista, o dinheiro faz a economia girar, desta forma, o modo mais “justo” de se reparar alguém é uma reparação pecuniária, sendo esta proporcional ao prejuízo causado pelo autor do dano, não tendo necessariamente que haver dolo, sendo a culpa, muitas vezes o suficiente para gerar a necessidade de reparação à vítima.[25]
Após estes dispositivos fica claro que frustração e mero aborrecimento não se caracterizarem como dano moral, uma vez que fazem parte do cotidiano do ser humano e não são duradouras a ponto de abalar substancialmente o equilíbrio psicológico do sujeito. Assim decidiu o Tribunal de Justiça de São Paulo (“TJSP”) na não configuração de danos morais ao julgar uma apelação na qual o apelante pleiteava indenização de danos morais pela cobrança em duplicidade da quantia de R$ 45,33 (quarenta e cinco reais e trinta e três centavos) e demora do estorno do valor pago. Os julgadores entenderam que, apesar de haver a duplicidade do pagamento e ter ocorrido a demora da devolução do valor pago em duplicidade, o apelante não faz jus a indenização em razão de meros dissabores e aborrecimento não configurarem lesão moral.[26]
4.1 Responsabilidade Civil Subjetiva
A teoria clássica da responsabilidade civil era denominada “teoria da culpa” em razão de seu caráter obrigatório para configuração de responsabilidade civil, sendo esta nomeada como responsabilidade subjetiva, uma vez que a responsabilização em detrimento do dano não é algo certo de que acontecerá.
Em face da teoria clássica, a culpa era fundamento da responsabilidade. Esta teoria, também chamada de teoria da culpa, ou “subjetiva”, pressupõe a culpa como fundamento da responsabilidade civil. Em não havendo culpa, não há responsabilidade.
Diz-se, pois, ser “subjetiva” a responsabilidade quando se esteia na ideia de culpa. A prova da culpa do agente passa a ser pressuposto necessário do dano indenizável. Dentro desta concepção, a responsabilidade do causador do dano somente se configura se agiu com dolo ou culpa.[27]
A configuração da culpa, no caso da responsabilidade subjetiva, ocorre mediante uma ação de negligência, imprudência ou imperícia do agente, devendo o causador do ato ilícito indenizar a vítima, mesmo que o dano tenha ocorrido exclusivamente de caráter moral.
A responsabilidade civil subjetiva está completamente ligada a existência ou não da culpa no sentido lato sensu, quando comprovada a culpa do causador do agente, o fato passa a ser um fato de caráter indenizatório, devendo ser indenizado monetariamente, sendo assim, o agente só deverá indenizar a vítima se for comprovado que o mesmo agiu com culpa ou dolo no fato causador do dano.
O artigo 186 do Código Civil que o sujeito que causar dano a alguém, seja por negligência, imprudência ou imperícia está cometendo ato ilícito, e ao cometer ato ilícito este deve reparar o sujeito que sofreu o dano, mesmo que este seja exclusivamente de caráter moral.[28]
O código Civil, apesar de haver diversas situações que abordam a responsabilidade civil como objetiva, fixou-se como regra a utilização da responsabilidade civil subjetiva. Caio Mário da Silva Pereira, traz esse conceito da seguinte forma:
[...] o Código Civil, ao mesmo tempo que edita a regra geral da reparação, indica o seu fundamento. O art. 1.382 visa a “qualquer fato do homem como suscetível de acarretar uma responsabilidade”, mas acrescenta que somente é obrigado aquele por cuja culpa o dano aconteceu. Resumindo numa frase o conceito, sentencia: “É a culpa que é a fonte da responsabilidade”.[29]
Carlos Roberto Gonçalves vai no mesmo caminho supracitado por Caio Mario da Silva Pereira:
O Código Civil brasileiro filiou-se à teoria “subjetiva”. É o que se pode verificar no art. 186, que erigiu o dolo e a culpa como fundamentos para a obrigação de reparar o dano. Espínola, ao comentar o dispositivo correspondente a este no Código Civil de 1916, teve estas palavras: “O Código, obedecendo à tradição do nosso direito e à orientação das legislações estrangeiras, ainda as mais recentes, abraçou, em princípio, o sistema da responsabilidade subjetiva”.[30]
4.2 Responsabilidade Civil Objetiva
Enquanto a responsabilidade civil subjetiva precede na necessidade de existência de culpa do agente, o código civil também traz a responsabilidade legal, que também é denominada como responsabilidade objetiva. A responsabilidade objetiva é a ocorrência da existência de responsabilidade mesmo sem a existência de culpa ou dolo, deste modo, de acordo com a teoria da responsabilidade civil objetiva, todo dano, independentemente da existência de culpa deve ser indenizável, devendo ser reparado pelo agente que está ligado ao dano em razão da existência de nexo de causalidade.
Nos casos de responsabilidade objetiva, não se exige prova de culpa do agente para que seja obrigado a reparar o dano. Ela é de todo prescindível, porque a responsabilidade se funda no risco.
A classificação corrente e tradicional, pois, denomina objetiva a responsabilidade que independe de culpa. Esta pode ou não existir, mas será sempre irrelevante para a configuração do dever de indenizar. Indispensável será a relação de causalidade, entre a ação e o dano, uma vez que, mesmo no caso de responsabilidade objetiva, não se pode responsabilizar quem não tenha dado causa ao evento.[31]
Maria Helena Diniz ainda complementa o entendimento de Carlos Roberto Gonçalves a respeito da ausência de culpa na responsabilidade civil objetiva: “Hoje, pelos arts. 932, I a III, 933, 734 e 750, tais pessoas, mesmo que não haja culpa de sua parte, responderão pelos atos praticados por terceiros, consagrando-se a responsabilidade civil objetiva.”[32]
A responsabilidade objetiva é muito utilizada nas relações de negócios e de consumo, sendo um grande exemplo disso a relação entre as instituições financeiras e os clientes. As instituições financeiras, em razão de sua força e da atividade que exercem, são responsáveis objetivamente pelos danos que são gerados em razão de um caso fortuito interno, como fraudes e outros delitos que são praticados por terceiros. Neste caso de relação de consumo, caso houvesse apenas a responsabilidade civil subjetiva, os consumidores nunca seriam indenizados nos casos de fraudes, em razão da não existência de culpa ou dolo das instituições financeiras. Desta forma, a responsabilidade civil objetiva protege o consumidor, conforme entendimento do Superior Tribunal de Justiça: “As instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias.”[33]
O ponto central no que se refere à responsabilidade civil ser objetiva ou subjetiva não corresponde a qual tipo de responsabilidade civil se deve ou escolher, mas sim se deve utilizar os dois modos, conjugando-os e dinamizando-os, utilizando a responsabilidade civil subjetiva como norma, uma vez que o agente deve ser responsabilizado de acordo com a sua ação ou omissão, seja esta dolosamente ou culposamente. Contudo, a utilização da responsabilidade civil subjetiva como norma não exclui a utilidade da responsabilidade civil objetiva, a qual é mais utilizada à estrutura dos negócios.
5 RESPONSABILIDADE CIVIL NA LGPD NO CASO DE VAZAMENTO DE DADOS PESSOAIS
A Lei Geral de Proteção de Dados, em comparação com demais legislações que abordam o tema de responsabilidade civil, é relativamente nova, uma vez que entrou em vigor parcialmente em 2018 e só em 2020 que entrou em vigência total. Deste modo, ainda há muita discussão sobre como se dá a responsabilidade na legislação em questão, uma vez que ainda não há um entendimento pacificado sobre o assunto.
A responsabilidade civil na LGPD é abordada desde o seu artigo 42 até o seu artigo 45. O caput de seu artigo 42 aborda a respeito da obrigação do controlador, ou operador, de indenizar o titular dos dados pessoais no caso de tratamento irregular dos seus dados pessoais.[34]
O tratamento irregular de dados pessoais consiste em qualquer tratamento de dados que não esteja de acordo com o que é estipulado pela LGPD, como por exemplo envio de e-mail marketing sem o consentimento do titular de dados, uma vez que envio de e-mail marketing demanda da utilização da base legal de consentimento do titular dos dados, conforme prevista no artigo 7º inciso II da LGPD. Outra situação de tratamento irregular de dados pessoais é utilizar os dados pessoais do titular para situação diversa da que foi informada ao mesmo, uma vez que o tratamento de dados pessoais foi justificado para uma finalidade, o controlador só pode realizar o tratamento dos dados para a finalidade informada para o titular, caso haja tratamento diverso do que foi informado ao titular está sendo realizado um tratamento de dados pessoais de forma irregular.
Ainda, no caso de tratamento irregular dos dados pessoais, causando danos ao titular dos dados pessoais, não responde apenas o controlador dos dados, o operador dos dados pessoais responde solidariamente pelos danos causados ao titular. Entretanto, o operador dos dados pessoais responde solidariamente apenas nas hipóteses de não seguir as obrigações da LGPD ou então não seguir as orientações estipuladas pelo controlador dos dados pessoais, situação em que o operador equipara-se a controlador, tendo assim, obrigação de solidária ao controlador na reparação dos danos causados ao titular. Da mesma forma ocorre no caso de controladores conjuntos, os controladores envolvidos no tratamento de dados que decorreu em dano ao titular dos dados pessoais responderão solidariamente aos danos causados, conforme previsto no artigo 42, incisos I e II, respectivamente, da LGPD.[35]
Nos casos citados acima, cabe ao titular dos dados o ônus prova, uma vez que o processo exigindo reparação dos danos é interposto pelo autor da ação, devendo informar os danos que sofreu e o tratamento irregular realizado pela empresa que figura no polo passivo da ação. Contudo, caso a produção da prova se torne muito onerosa para o autor ou houver hipossuficiência para a produção das provas, pode o juiz, no processo civil inverter o ônus da prova em favor do autor, cabendo ao polo passivo da ação provar que realizou o tratamento de dados pessoais de forma correta, conforme presente no parágrafo 2º do artigo 42 da LGPD.
Contudo, há outras situações pelas quais, tanto o controlador quanto o operador, não serão responsabilizados pelos danos causados ao titular em virtude de tratamentos indevidos dos dados pessoais. Estas são as excludentes de responsabilidade previstas nos incisos do artigo 43 da LGPD. Há três situações de excludentes de responsabilidade previstas na LGPD: I) que não atende o tratamento de dados que lhe é atribuído; II) que embora tenha feito o tratamento de dados que lhe é atribuído, não houve violação à legislação de proteção de dados; ou III) que o dano é decorrente de culpa exclusiva de terceiro. Segundo Bruno Mirage, essas excludentes de responsabilidade são hipóteses que rompem o nexo de causalidade entre o tratamento de dados e o dano sofrido, conforme inciso I e III do artigo 43, da LGPD, ou, excluem a ilicitude da conduta realizada pelo agente de tratamento, conforme inciso II do artigo 43, da LGPD.[36]
No caso de vazamento de dados pessoais, assim como no caso de qualquer incidente de segurança, o controlador e operador dos dados pessoais deve agir conjuntamente para sanar o problema e diminuir a propagação dos dados ao titular. Vazamento de dados pessoais nem sempre é em detrimento de ação do irregular dos agentes de tratamento, entretanto, a maioria das situações envolvendo vazamento de dados pessoais acarretada de alguma falha do agente de tratamento, seja falha de seus sistemas de segurança ou até mesmo uma falha humana. De qualquer forma, conforme citado no início do trabalho em questão, para que haja caráter indenizatório é necessário que haja dano ao titular dos dados, ou seja, caso o vazamento de dados pessoais acarrete dano ao titular, este deverá ser indenizado proporcionalmente aos dados que lhe foram causados.
Um caso famoso de vazamento de dados pessoais ocorreu em setembro de 2022, no Brasil, o caso de vazamento de dados pessoais pelo Banco Central, no qual foram vazados mais de 130.000 (cento e trinta mil) chaves Pix, resultado de falhas nos sistemas de segurança do Banco Central. O Banco Central afirma que houve vazamento apenas de dados cadastrais, não sendo possível a movimentação de recursos do banco, contudo, chaves Pix são cadastradas com e-mail, telefone ou CPF do titular da conta, deste modo os titulares podem ter sofrido danos em razão deste vazamento. Caso em detrimento deste vazamento de dados pessoais o titular comece a receber dezenas de ligações diárias, este poderá exigir reparação em razão do dano que está sofrendo, devendo o controlador e/ou operador indenizá-lo, pois há nexo de causalidade entre o dano e o evento. Deste modo, mesmo comprovado vazamento de dados pessoais, caso não haja dano ao titular de dados, não há o que se falar em dever de indenização.
Sendo assim, percebe-se que a responsabilidade civil dos agentes de tratamento de dados pessoais, via de regra, não é objetiva, isto é, para que o agente de tratamento seja responsabilizado pelo vazamento de seus dados pessoais é necessário que haja culpa, situação decorrente de negligência, imprudência ou imperícia, conjuntamente com a existência de dano ao titular.
O artigo 45 da LGPD traz a seguinte redação: “Art. 45. As hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente.”[37]
Dito isso, caso a relação de entre controlador e operador seja uma relação de consumo, como fornecimento de água ou energia elétrica, a responsabilidade civil será regida pela mesma responsabilidade presente no Código de Defesa do Consumidor, sendo a responsabilidade civil objetiva, uma vez que o fornecedor responde independentemente da existência de culpa, conforme previsto no caput dos artigos 12 e 14 do CDC.[38]
Em outubro de 2022, o TJSP julgou um Recurso de Apelação referente ao um caso de vazamento de dados pessoais de titulares derivada de uma relação de prestação de serviços de uma empresa de fornecimento de energia elétrica. O autor ingressou com a ação exigindo danos morais no valor de R$20.000,00 (vinte mil reais) em razão do incidente de segurança ter ocasionado tentativa de pagamentos de débitos automáticos no montante de R$307.444,66 (trezentos e sete mil, quatrocentos e quarenta e quatro reais e sessenta e seis centavos), assim como diversa ligações de pessoas desconhecidas. O julgador decidiu que, apesar da relação de consumo entre titular e controlador caracterizar responsabilidade objetiva, a mera tentativa de realização de pagamentos de débitos automáticos dano moral, uma vez que não houve vazamento de dados sensíveis, dando provimento ao recurso da fornecedora de energia elétrica e julgando improcedente a ação proposta pelo titular.[39]
A decisão exposta acima é clara ao que tange a não procedência do pedido de indenização da autora, caso a responsabilidade civil fosse objetiva, a autora do caso teria direito a indenização de qualquer forma. O fato de a empresa de eletricidade não ter sido obrigada a indenizar indica que a mera constatação de vazamento de dados pessoais não gera automaticamente a obrigação de indenizar quem teve os dados vazados, ou seja, não configura automaticamente o dano, uma vez que não houve compartilhamento irregular de dados ou que o vazamento dos dados pessoais tenha ocorrido em detrimento de tratamento irregular dos dados pessoais. O caput artigo 44 da LGPD traz a seguinte redação: “Art. 44. O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar [...]””[40]
Ou seja, se a organização empregou todos os meios possíveis para que não houvesse vazamento de dados pessoais não seria justo que esta tivesse responsabilidade no caso de vazamento de dados pessoais que não seja por tratamento de dados irregular seu.
Analisando o artigo 45 da LGPD, entende-se que a responsabilidade civil resultante da relação entre agentes de tratamento é subjetiva, uma vez que a legislação prevê que no caso das relações de consumo a responsabilidade será a mesma sujeita às regras do CDC, responsabilidade objetiva, logo a responsabilidade civil prevista na relação de tratamento de dados pessoais que não decorra de uma relação de consumo, será subjetiva, motivo pelo qual ocorre a necessidade da existência de nexo de causalidade, dano e culpa do agente de tratamento, em caso da não existência de nexo de causalidade, dano, ou culpa, não haverá responsabilidade do agente de tratamento.
O trabalho em questão estabeleceu como ocorrer a responsabilidade civil do agente de tratamento no caso de vazamento de dados pessoais. Ao notar que ocorreu um vazamento de dados pessoais, o controlador deve imediatamente informar o titular dos dados pessoais para que se tenha ciência do ocorrido e realizar o plano de resposta ao incidente de segurança.
Os agentes de tratamento serão o controlador e o operador, salvo exceções, sendo essas: caso o operador realize tratamento contrário ao que foi determinado pelo controlador, e cause dano ao titular, assim, outra situação é no caso do controlador realizar um tratamento de dados ilegal, nessas situações, tanto controlador, quanto operador, serão responsabilizados solidariamente.
Após o conhecimento do incidente, cabe aos agentes de tratamento aplicar as medidas de segurança para reparar os danos causados aos titulares de dados pessoais com aplicação do plano de resposta ao incidente de segurança.
O plano de respostas ao incidente de segurança deverá ser realizado em etapas, sendo a primeira a avaliação preliminar do incidente de segurança visando a identificação de informações sobre eventuais sistemas impactados, sua criticidade, quais os danos aparentes e o risco de a situação agravar caso não haja uma resposta imediata.
Deve-se procurar identificar a causa do incidente, as pessoas envolvidas (incluindo responsáveis pela ação e titulares, vulnerabilidades exploradas, visando determinar ações para as sanar o problema, assim como avisar o titular de dados o mais rápido possível do vazamento de dados pessoais, para que este possa evitar ser vítima de golpes. Pode ser importante engajar especialistas dos setores afetados para colaborar e isso deve ser feito a critério do Encarregado de Proteção de Dados ou Comitê de Proteção de Dados, conforme seja o caso, a qualquer momento que julgar adequado e viável.
No caso de incidentes de segurança decorrentes de atividade humana, os procedimentos poderão envolver sindicância administrativa, processos disciplinares, entre outras medidas dispostas na legislação aplicável ao caso.
Contudo, mesmo havendo vazamento de dados pessoais não certeza que o agente de tratamento terá de indenizar o titular de dados. Muitos pedidos de dano moral são julgados improcedentes em razão de não cumprirem com os requisitos para a configuração de dano moral. Para ser caracterizado dano moral é necessário que haja vergonha, humilhação e ofensa a honra do titular, o que dependendo dos tipos de dados que são vazados não se configura dano moral. No caso de vazamento de dados sensíveis, sendo estes os dados que referente a origem racial e ética, saúde, vida e orientação sexual, filiação partidária e religiosa sejam vazamos, pode-se falar a respeito de dano moral, uma vez que a publicização desse tipo de dados pessoais poderá acarretar em discriminação, situações vexatórias e ofensa a honra do titular. Em relação ao dano material, este é julgado procedente com uma certa frequência, uma vez que não há a necessidade de ofensa a honra, trata-se mais de monetária, como é o caso da realização de golpes, como o caso supracitado.
A respeito da responsabilidade civil, conforme informado ao decorrer do trabalho, via de regra a responsabilidade civil na LGPD segue a regra subjetiva, com exceção das relações de consumo, conforme dito no artigo 45 da LGPD, seguirá a regra prevista no Código do Consumidor, logo, como as relações de consumo seguem a regra da responsabilidade civil objetiva, ao tratamento de dados decorrentes das relações de consumo também seguirão a regra da responsabilidade civil objetiva.
7.REFERÊNCIAS BIBLIOGRÁFICAS
BRASIL. Autoridade Nacional de Tratamento de Dados Pessoais. Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Brasília, DF, mai. 2021. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/inclusao-de-arquivos-para-link-nas-noticias/2021-05-27-guia-agentes-de-tratamento_final.pdf. Acesso em 03 jun. 2022.
BRASIL. Constituição da República Federativa do Brasil de 1988. Brasília, DF: Presidência da República. Disponível em: https://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm. Acesso em: 06 nov. 2022.
BRASIL. Lei n. 10.406, de 10 de janeiro de 2022. Institui o Código Civil. Brasília, DF: Presidência da República. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/2002/l10406compilada.htm. Acesso em: 06 nov. 2022.
BRASIL. Lei nº 13.079 de 14 de ago. 2018. Lei Geral de Proteção de Dados Pessoais. Brasília, DF: Presidência da República. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acessado em 15 de abr. de 2022.
BRASIL. Superior Tribunal de Justiça (STJ). Súmula 479. Data de Julgamento: 27 jun. 2012, Dje 01 ago. 2012. Disponível em: https://scon.stj.jus.br/SCON/sumstj/toc.jsp?livre=%27479%27.num.&O=JT. Acessado em: 29 out. 2022.
CAVALIERI FILHO, Sergio. Programa de Responsabilidade Civil. São Paulo: Grupo GEN, 2011. E-book. ISBN 9786559770823. Disponível em: https://integrada.minhabiblioteca.com.br/#/books/9786559770823/. Acesso em: 01 nov. 2022.
DINIZ, Maria H. Curso de direito civil brasileiro: responsabilidade civil. São Paulo: Saraiva, v. 7, 2022. E-book. ISBN 9786555598650. Disponível em: https://integrada.minhabiblioteca.com.br/#/books/9786555598650/. Acesso em: 29 out. 2022.
EUROPEAN DATA PROTECTION BOARD (EDPB). Guidelines 07/2020 on the concepts of controller and processor in the GDPR. EDPB, set. 2020. Disponível em: https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202007_controllerprocessor_en.pdf. Acesso: 06 jun. 2022.
GONÇALVES, Carlos R. Direito civil brasileiro - responsabilidade civil. São Paulo: Saraiva, v. 4, 2021. E-book. ISBN 9786555590500. Disponível em: https://integrada.minhabiblioteca.com.br/#/books/9786555590500/. Acesso em: 29 out. 2022.
LIMA, Cíntia Rosa Pereira D. Comentários à Lei Geral de Proteção de Dados. Grupo Almedina (Portugal), 2020. E-book. ISBN 9788584935796. Disponível em: https://integrada.minhabiblioteca.com.br/#/books/9788584935796/. Acesso em: 01 nov. 2022.
MALDONADO, Viviane Nóbrega; BLUM, Renato Opice. LGPD: Lei Geral de Proteção de Dados comentada. 2. ed. São Paulo: Thomson Reuters Brasil, 2019.
MIRAGEM, Bruno. Responsabilidade Civil. São Paulo: Grupo GEN, 2021. E-book. ISBN 9788530994228. Disponível em: https://integrada.minhabiblioteca.com.br/#/books/9788530994228/. Acesso em: 31 out. 2022.
OPICE BLUM. LGPD: como saber se você é controlador ou operador? Cartilha set. 2021. Disponível em: https://opiceblum.com.br/wp-content/uploads/2019/07/cartilha_agentes_de_tratamento_27.09_v.final_.pdf. Acesso: 08 jun. 2022.
PECK, Patrícia. Proteção de dados pessoais. São Paulo: Saraiva, 2020. E-book. ISBN 9788553613625. Disponível em: https://integrada.minhabiblioteca.com.br/#/books/9788553613625/. Acesso em: 31 out. 2022.
PEREIRA, Caio Mario da S. Responsabilidade Civil. 12. ed. São Paulo: Grupo GEN, 2018. E-book. ISBN 9788530980320. Disponível em: https://integrada.minhabiblioteca.com.br/#/books/9788530980320/. Acesso em: 02 nov. 2022.
PINHEIRO, Patrícia P. Proteção de dados pessoais: comentários à Lei n. 13.709/2018 (LGPD). São Paulo: Saraiva, 2021. E-book. ISBN 9786555595123. Disponível em: https://integrada.minhabiblioteca.com.br/#/books/9786555595123/. Acesso em: 29 out. 2022.
REALE, Miguel. Filosofia do Direito. 20. ed. São Paulo: Saraiva, 2013. E-book. ISBN 9788502136557. Disponível em: https://integrada.minhabiblioteca.com.br/#/books/9788502136557/. Acesso em: 31 out. 2022.
SÃO PAULO. Tribunal de Justiça do Estado de São Paulo (TJSP). Apelação Cível 1017805-41.2020.8.26.0068. Relator (a): Melo Bueno. Órgão Julgador: 35ª Câmara de Direito Privado; Foro de Barueri - 4ª Vara Cível. Data do Julgamento: 03 out. 2022. Data de Registro: 18 out. 2022.
SÃO PAULO. Tribunal de Justiça do Estado de São Paulo (TJSP). Apelação Cível 1001358-07.2019.8.26.0005. Relator (a): Morais Pucci. Órgão Julgador: 35ª Câmara de Direito Privado. Foro Regional V - São Miguel Paulista - 3ª Vara Cível. Data do Julgamento: 31 out. 2022. Data de Registro: 31 out. 2022.
UNIÃO EUROPÉIA. Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016. Regulamento relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. EU, 25 mai. 2018. Disponível em: https://eur-lex.europa.eu/legalcontent/PT/TXT/PDF/?uri=CELEX:32016R0679&from=PT. Acesso em 31. out. 2022.
[1]“Art. 5º Para os fins desta Lei, considera-se: I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável; II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento; [...]” (BRASIL. Lei nº 13.079 de 14 de ago. 2018. Lei Geral de Proteção de Dados Pessoais. Brasília, DF: Presidência da República. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acessado em 15 de abr. de 2022).
[2]MIRAGEM, Bruno. Responsabilidade Civil. São Paulo: Grupo GEN, 2021, p. 493. E-book. ISBN 9788530994228. Disponível em: https://integrada.minhabiblioteca.com.br/#/books/9788530994228/. Acesso em: 31 out. 2022.
[3]“Art. 43. O consumidor, sem prejuízo do disposto no art. 86, terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes” (BRASIL. Lei nº 13.079 de 14 de ago. 2018. Lei Geral de Proteção de Dados Pessoais. Brasília, DF: Presidência da República. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acessado em 15 de abr. de 2022).
[4]“Art. 7º O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos: [...] VIII - informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que:” (BRASIL. Lei nº 13.079 de 14 de ago. 2018. Lei Geral de Proteção de Dados Pessoais. Brasília, DF: Presidência da República. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acessado em 15 de abr. de 2022).
[5]"Art. 16. Na provisão de aplicações de internet, onerosa ou gratuita, é vedada a guarda: I - dos registros de acesso a outras aplicações de internet sem que o titular dos dados tenha consentido previamente, respeitado o disposto no art. 7º; ou II - de dados pessoais que sejam excessivos em relação à finalidade para a qual foi dado consentimento pelo seu titular, exceto nas hipóteses previstas na Lei que dispõe sobre a proteção de dados pessoais” (Ibidem, art. 16).
[6]MALDONADO, Viviane Nóbrega; BLUM, Renato Opice. LGPD: Lei Geral de Proteção de Dados comentada. 2. ed. São Paulo: Thomson Reuters Brasil, 2019, p. 21.
[7]Ibidem.
[8]“Artigo 13º - Informações a facultar quando os dados pessoais são recolhidos junto do titular - 1. Quando os dados pessoais forem recolhidos junto do titular, o responsável pelo tratamento faculta-lhe, aquando da recolha desses dados pessoais, as seguintes informações: a) A identidade e os contatos do responsável pelo tratamento e, se for caso disso, do seu representante; b) Os contatos do encarregado da proteção de dados, se for caso disso; c) As finalidades do tratamento a que os dados pessoais se destinam, bem como o fundamento jurídico para o tratamento; d) Se o tratamento dos dados se basear no artigo 6.º, n.º 1, alínea f), os interesses legítimos do responsável pelo tratamento ou de um terceiro; e) Os destinatários ou categorias de destinatários dos dados pessoais, se os houver; f) Se for caso disso, o fato de o responsável pelo tratamento tencionar transferir dados pessoais para um país terceiro ou uma organização internacional, e a existência ou não de uma decisão de adequação adotada pela Comissão ou, no caso das transferências mencionadas nos artigos 46.º ou 47.º, ou no artigo 49.º, n.º 1, segundo parágrafo, a referência às garantias apropriadas ou adequadas e aos meios de obter cópia das mesmas, ou onde foram disponibilizadas. 2. Para além das informações referidas no n.º 1, aquando da recolha dos dados pessoais, o responsável pelo tratamento fornece ao titular as seguintes informações adicionais, necessárias para garantir um tratamento equitativo e transparente: a) Prazo de conservação dos dados pessoais ou, se não for possível, os critérios usados para definir esse prazo; b) A existência do direito de solicitar ao responsável pelo tratamento acesso aos dados pessoais que lhe digam respeito, bem como a sua retificação ou o seu apagamento, e a limitação do tratamento no que disser respeito ao titular dos dados, ou do direito de se opor ao tratamento, bem como do direito à portabilidade dos dados; c) Se o tratamento dos dados se basear no artigo 6.º, n.º 1, alínea a), ou no artigo 9.º, n.º 2, alínea a), a existência do direito de retirar consentimento em qualquer altura, sem comprometer a licitude do tratamento efetuado com base no consentimento previamente dado; d) O direito de apresentar reclamação a uma autoridade de controlo; e) Se a comunicação de dados pessoais constitui ou não uma obrigação legal ou contratual, ou um requisito necessário para celebrar um contrato, bem como se o titular está obrigado a fornecer os dados pessoais e as eventuais consequências de não fornecer esses dados; f) A existência de decisões automatizadas, incluindo a definição de perfis, referida no artigo 22.º, n.º 1 e 4, e, pelo menos nesses casos, informações úteis relativas à lógica subjacente, bem como a importância e as consequências previstas de tal tratamento para o titular dos dados. 3. Quando o responsável pelos tratamentos pessoais tiver a intenção de proceder ao tratamento posterior dos dados pessoais para um fim que não seja aquele para o qual os dados tenham sido recolhidos, antes desse tratamento o responsável fornece ao titular dos dados informações sobre esse fim e quaisquer outras informações pertinentes, nos termos do n.º 2. 4. Os n.º 1, 2 e 3 não se aplicam quando e na medida em que o titular dos dados já tiver conhecimento das informações” (UNIÃO EUROPÉIA. Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016. Regulamento relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. EU, 25 mai. 2018. Disponível em: https://eur-lex.europa.eu/legalcontent/PT/TXT/PDF/?uri=CELEX:32016R0679&from=PT. Acesso em 31. out. 2022).
[9]“Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
§1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo: [...]” (BRASIL. Lei nº 13.079 de 14 de ago. 2018. Lei Geral de Proteção de Dados Pessoais. Brasília, DF: Presidência da República. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acessado em 15 de abr. de 2022).
[10]BRASIL. Lei nº 13.079 de 14 de ago. 2018. Lei Geral de Proteção de Dados Pessoais. Brasília, DF: Presidência da República. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acessado em 15 de abr. de 2022.
[11]PECK, Patrícia. Proteção de dados pessoais. São Paulo: Saraiva, 2020, p. 34. E-book. ISBN 9788553613625. Disponível em: https://integrada.minhabiblioteca.com.br/#/books/9788553613625/. Acesso em: 31 out. 2022.
[12]PINHEIRO, Patrícia P. Proteção de dados pessoais: comentários à Lei n. 13.709/2018 (LGPD). São Paulo: Saraiva, 2021, p. 16. E-book. ISBN 9786555595123. Disponível em: https://integrada.minhabiblioteca.com.br/#/books/9786555595123/. Acesso em: 29 out. 2022.
[13]Ibidem, p. 20-23.
[14]BRASIL. Autoridade Nacional de Tratamento de Dados Pessoais. Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Brasília, DF, mai. 2021, p. 10. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/inclusao-de-arquivos-para-link-nas-noticias/2021-05-27-guia-agentes-de-tratamento_final.pdf. Acesso em 03 jun. 2022.
[15]DINIZ, Maria H. Curso de direito civil brasileiro: responsabilidade civil. São Paulo: Saraiva, v. 7, 2022, p. 14. E-book. ISBN 9786555598650. Disponível em: https://integrada.minhabiblioteca.com.br/#/books/9786555598650/. Acesso em: 29 out. 2022.
[16]Ibidem.
[17]DINIZ, Maria H. Curso de direito civil brasileiro: responsabilidade civil. São Paulo: Saraiva, v. 7, 2022, p. 18. E-book. ISBN 9786555598650. Disponível em: https://integrada.minhabiblioteca.com.br/#/books/9786555598650/. Acesso em: 29 out. 2022.
[18]PEREIRA, Caio Mario da S. Responsabilidade Civil. 12. ed. São Paulo: Grupo GEN, 2018, p. 12. E-book. ISBN 9788530980320. Disponível em: https://integrada.minhabiblioteca.com.br/#/books/9788530980320/. Acesso em: 29 out. 2022.
[19]GONÇALVES, Carlos R. Direito civil brasileiro - responsabilidade civil. São Paulo: Saraiva, v. 4, 2021. E-book. ISBN 9786555590500. Disponível em: https://integrada.minhabiblioteca.com.br/#/books/9786555590500/. Acesso em: 29 out. 2022.
[20] DINIZ, Maria H., op. cit., p. 13.
[21]GONÇALVES, Carlos R. Direito civil brasileiro - responsabilidade civil. São Paulo: Saraiva, v. 4, 2021, p. 154. E-book. ISBN 9786555590500. Disponível em: https://integrada.minhabiblioteca.com.br/#/books/9786555590500/. Acesso em: 29 out. 2022.
[22]Ibidem.
[23]“Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes: [...] V - é assegurado o direito de resposta, proporcional ao agravo, além da indenização por dano material, moral ou à imagem; [...]” (BRASIL. Constituição da República Federativa do Brasil de 1988. Brasília, DF: Presidência da República. Disponível em: https://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm. Acesso em: 06 nov. 2022).
[24]CAVALIERI FILHO, Sergio. Programa de Responsabilidade Civil. São Paulo: Grupo GEN, 2011, p. 127. E-book. ISBN 9786559770823. Disponível em: https://integrada.minhabiblioteca.com.br/#/books/9786559770823/. Acesso em: 01 nov. 2022.
[25]“Art. 927. Aquele que, por ato ilícito (arts. 186 e 187), causar dano a outrem, fica obrigado a repará-lo. Parágrafo único. Haverá obrigação de reparar o dano, independentemente de culpa, nos casos especificados em lei, ou quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem” (BRASIL. Lei n. 10.406, de 10 de janeiro de 2022. Institui o Código Civil. Brasília, DF: Presidência da República. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/2002/l10406compilada.htm. Acesso em: 06 nov. 2022).
[26]“Apelação Cível. Ação indenizatória por danos materiais e morais. Sentença de parcial procedência. Apelo do autor. Cobrança em duplicidade por compra realizada em supermercado. O mero dissabor e o inegável aborrecimento vivenciados pela cobrança em duplicidade da quantia de apenas R$ 45,33 e a demora no estorno não se confundem com lesão moral indenizável. Não verificada a ocorrência de abalo moral intensamente desgastante sujeito à indenização pretendida. Danos morais não evidenciados. Apelação não provida” (TJSP. Apelação Cível 1001358-07.2019.8.26.0005. Relator (a): Morais Pucci. Órgão Julgador: 35ª Câmara de Direito Privado. Foro Regional V - São Miguel Paulista - 3ª Vara Cível. Data do Julgamento: 31 out. 2022. Data de Registro: 31 out. 2022).
[27]GONÇALVES, Carlos R. Responsabilidade civil. São Paulo: Saraiva, 2022. E-book. ISBN 9786553620056. Disponível em: https://integrada.minhabiblioteca.com.br/#/books/9786553620056/. Acesso em: 01 nov. 2022.
[28]“Art. 186. Aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que exclusivamente moral, comete ato ilícito” (BRASIL. Lei n. 10.406, de 10 de janeiro de 2022. Institui o Código Civil. Brasília, DF: Presidência da República. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/2002/l10406compilada.htm. Acesso em: 06 nov. 2022).
[29]PLANIOL; RIPERT; BOULANGER, 1946, apud PEREIRA, Caio Mario da S. Responsabilidade Civil. 12. ed. São Paulo: Grupo GEN, 2018, p. 41. E-book. ISBN 9788530980320. Disponível em: https://integrada.minhabiblioteca.com.br/#/books/9788530980320/. Acesso em: 02 nov. 2022.
[30]GONÇALVES, Carlos R. Responsabilidade civil. São Paulo: Saraiva, 2022, p. 33. E-book. ISBN 9786553620056. Disponível em: https://integrada.minhabiblioteca.com.br/#/books/9786553620056/. Acesso em: 02 nov. 2022.
[31]Ibidem, p. 32.
[32]DINIZ, Maria H. Curso de direito civil brasileiro: responsabilidade civil. São Paulo: Saraiva, v. 7, 2022, p. 15. E-book. ISBN 9786555598650. Disponível em: https://integrada.minhabiblioteca.com.br/#/books/9786555598650/. Acesso em: 02 nov. 2022.
[33]BRASIL. Superior Tribunal de Justiça (STJ). Súmula 479. Data de Julgamento: 27 jun. 2012, Dje 01 ago. 2012. Disponível em: https://scon.stj.jus.br/SCON/sumstj/toc.jsp?livre=%27479%27.num.&O=JT. Acessado em: 29 out. 2022.
[34]“Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo” (BRASIL. Lei nº 13.079 de 14 de ago. 2018. Lei Geral de Proteção de Dados Pessoais. Brasília, DF: Presidência da República. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acessado em 15 de abr. de 2022).
[35]“Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. [...]
§2º O juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa” (BRASIL. Lei nº 13.079 de 14 de ago. 2018. Lei Geral de Proteção de Dados Pessoais. Brasília, DF: Presidência da República. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acessado em 15 de abr. de 2022).
[36]MIRAGEM, Bruno. Responsabilidade Civil. São Paulo: Grupo GEN, 2021, p. 497. E-book. ISBN 9788530994228. Disponível em: https://integrada.minhabiblioteca.com.br/#/books/9788530994228/. Acesso em: 02 nov. 2022.
[37]BRASIL. Lei nº 13.079 de 14 de ago. 2018. Lei Geral de Proteção de Dados Pessoais. Brasília, DF: Presidência da República. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acessado em 15 de abr. de 2022.
[38]“Art. 12. O fabricante, o produtor, o construtor, nacional ou estrangeiro, e o importador respondem, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos decorrentes de projeto, fabricação, construção, montagem, fórmulas, manipulação, apresentação ou acondicionamento de seus produtos, bem como por informações insuficientes ou inadequadas sobre sua utilização e riscos” (Ibidem).
“Art. 14. O fornecedor de serviços responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e riscos.
[...]” (Ibidem).
[39]“RESPONSABILIDADE CIVIL – PRESTAÇÃO DE SERVIÇOS DE FORNECIMENTO DE ENERGIA ELÉTRICA – INDENIZAÇÃO POR DANOS MORAIS – Vazamento de dados pessoais não sensíveis – Falha na prestação de serviços quanto à segurança de dados que, por si só, não caracteriza danos morais - Ofensa à personalidade - Comprovação - Inexistência –Indenização incabível. Precedentes - Ação parcialmente procedente – Recurso provido” (TJSP. Apelação Cível 1017805-41.2020.8.26.0068. Relator (a): Melo Bueno. Órgão Julgador: 35ª Câmara de Direito Privado; Foro de Barueri - 4ª Vara Cível. Data do Julgamento: 03 out. 2022. Data de Registro: 18 out. 2022).
[40]BRASIL. Lei nº 13.079 de 14 de ago. 2018. Lei Geral de Proteção de Dados Pessoais. Brasília, DF: Presidência da República. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acessado em 15 de abr. de 2022.
Graduando em Direito na Universidade Presbiteriana Mackenzie.
Conforme a NBR 6023:2000 da Associacao Brasileira de Normas Técnicas (ABNT), este texto cientifico publicado em periódico eletrônico deve ser citado da seguinte forma: MOREIRA, Caio Matheus Cintra. Responsabilidade civil dos agentes de tratamento no caso de vazamento de dados pessoais Conteudo Juridico, Brasilia-DF: 14 jun 2023, 04:52. Disponivel em: https://conteudojuridico.com.br/consulta/ArtigOs/61691/responsabilidade-civil-dos-agentes-de-tratamento-no-caso-de-vazamento-de-dados-pessoais. Acesso em: 23 dez 2024.
Por: Francisco de Salles Almeida Mafra Filho
Por: BRUNO SERAFIM DE SOUZA
Por: Fábio Gouveia Carneiro
Por: Juliana Melissa Lucas Vilela e Melo
Por: Juliana Melissa Lucas Vilela e Melo
Precisa estar logado para fazer comentários.