RÔMULO DE MORAIS E OLIVEIRA[1]

(orientador)

RESUMO: A temática do trabalho possui como questão central o estudo da responsabilidade civil das empresas em face da Lei Geral de Proteção de Dados, dando-se ênfase à proteção dos dados pessoais sensíveis dos consumidores em tempos de massificação dos dados. Este estudo norteou-se a partir de um objetivo geral que foi o de verificar se a Lei Geral de Proteção de Dados (LGPD) assegura a reparação dos danos sofridos por aqueles que possuem dados pessoais em poder de empresas. A metodologia empregada foi a pesquisa jurídica exploratória, sendo os dados levantados por pesquisa bibliográfica e documental, valendo-se do método dedutivo, com vistas a revelar como a LGPD atua na proteção do consumidor. Dentre os resultados alcançados tem-se que a LGPD não fez menção à adoção da teoria da responsabilidade civil objetiva ou subjetiva, com exceção dos casos em que se aplicam claramente as normas de defesa do consumidor, ficando a cargo dos operadores do direito a tarefa de decidir qual seria o melhor instituto a ser aplicado na reparação dos danos causados no âmbito do tratamento de dados pessoais. Assim, concluiu-se que o silêncio da lei foi eloquente e que não cabe ao titular de dados a injusta tarefa de comprovar a culpa do agente de tratamento, sendo o instituto da responsabilidade civil objetiva o melhor caminho para garantir a reparação de danos no âmbito da LGPD e proteger de forma adequada os direitos dos titulares de dados pessoais.

Palavras-chave: Dados pessoais. Tratamento. Responsabilidade civil.

ABSTRACT: The theme of the work has as its central question the study of the civil liability of companies in the face of the General Law of Data Protection, emphasizing the protection of sensitive personal data of consumers in times of data massification. This study was guided by a general objective, which was to verify whether the General Law of Data Protection (LGPD) ensures the repair of damage suffered by those who have personal data held by companies. The methodology employed was exploratory legal research, with data collected through bibliographic and documentary research, using the deductive method to reveal how the LGPD acts in consumer protection. Among the results achieved is that the LGPD made no mention of adopting the theory of objective or subjective liability, with the exception of cases in which the rules of consumer protection clearly apply, leaving it to the operators of the law to decide which would be the best institute to be applied in the repair of damage caused in the processing of personal data. Thus, it was concluded that the silence of the law was eloquent and that it is not up to the data subject the unfair task of proving the guilt of the processing agent, with the institute of strict liability being the best way to ensure the repair of damages under the LGPD and adequately protect the rights of personal data subjects.

Keywords: Personal data. Processing. Liability.

1 INTRODUÇÃO

O assunto abordado no presente trabalho envolve o estudo da responsabilidade civil das empresas em face da Lei Geral de Proteçãos de Dados (LGPD).

Assim, tem-se por tema desta pesquisa a análise do tratamento dado pelas empresas aos dados pessoais sensíveis dos consumidores, surgindo, assim, o seguinte problema de pesquisa: as empresas que não observarem as regras acerca do tratamento sobre os dados pessoais dos consumidores, a partir do marco legal da LGPD, estarão sujeitas às normas de responsabilidade civil, podendo esta responsabilidade ser objetiva?

O estudo se justifica pois a difusão da tecnologia para os diversos campos da vida é algo inevitável, de forma que o ciberespaço, na contemporaneidade, passa a ser palco e meio pelo qual ocorre a chamada sociedade de informação. Por ser a vida tomada pela tecnologia, vê-se o consumidor compelido a transitar pelo meio virtual para o usufruto de produtos e serviços, tendo de se submeter a uma relação na qual, pela especial incapacidade técnica e controle acentuado dos fornecedores, deve ser considerado hipervulnerável.

A hipervulnerabilidade do consumidor na sociedade de informação é explorada de forma predatória, pois os seus dados são o novo ouro da contemporaneidade, uma vez que são utilizados para a tomada de decisões, estratégias de marketing e, em última instância, lucro. Por esse motivo, releva-se o estudo da tutela jurídica dos direitos da personalidade do consumidor na sociedade de informação pela LGPD.

Este estudo norteou-se a partir de um objetivo geral, que foi o de verificar se a Lei Geral de Proteção de Dados assegura a reparação dos danos sofridos por aqueles que possuem dados pessoais em poder de empresas.

O caminho percorrido para o desfecho da presente pesquisa guiou-se a partir de objetivos específicos que delinearam o trajeto metodológico adequado com o intuito de explorar pontos específicos e estratégicos da pesquisa, quais sejam: destacar o tratamento jurídico nacional dispensado aos dados pessoais dos indivíduos nos meios digitais a partir das disposições legais da LGPD; apontar quais os deveres recaem sobre as empresas detentoras de dados pessoais nas relações estabelecidas com os consumidores; e verificar como se dá a responsabilidade civil das empresas no tratamento dos dados pessoais dos consumidores a partir das regras normativas previstas na LGPD e no CDC, de modo a saber se esta responsabilidade é objetiva ou subjetiva.

Para fins didáticos, o trabalho foi dividido em três seções: na primeira seção foi estudado o tratamento jurídico sobre os dados pessoais dos indivíduos nos meios digitais. Na segunda, foi discutido o papel das empresas detentoras de dados pessoais a partir do marco legal da LGPG. Por fim, na terceira seção, foi abordado sobre o tratamento dos dados pessoais dos consumidores nos meios digitais e a responsabilidade civil das empresas.

Como metodologia foi empregado o método dedutivo, com vistas a revelar como a LGPD atua na proteção do consumidor, por meio de uma pesquisa documental, tendo como fonte a legislação brasileira, e bibliográfica, com a intenção de compreender o desenvolvimento da abordagem jurídica da matéria até o estágio atual. Para tanto, foram pesquisados artigos disponibilizados nos periódicos da Capes, livros e demais produções sobre a temática.

Assim, não restam dúvidas sobre a relevância deste estudo tendo em vista que a proteção de dados, cuja essencialidade já é rediscutida no cenário mundial, passou a ser abordada apenas recentemente no Brasil. Somente em setembro do ano de 2020 entrou em vigor a lei específica que tutela tão relevante segmento social, de forma que estudos sobre seus efeitos, em momento tão tenro, mostram-se pertinentes para a sociedade como um todo.

2 O TRATAMENTO JURÍDICO SOBRE OS DADOS PESSOAIS DOS INDIVÍDUOS NOS MEIOS DIGITAIS

Este capítulo aborda o tratamento jurídico sobre os dados pessoais dos indivíduos nos meios digitais. Para tanto, inicia trazendo a evolução histórica da proteção de dados no Brasil e a proteção dos direitos fundamentais de liberdade e de privacidade, passando-se, na sequência, a expor sobre a relação de transparência entre o titular dos dados pessoais e os controladores.

2.1 EVOLUÇÃO HISTÓRICA DA PROTEÇÃO DE DADOS E A PROTEÇÃO DOS DIREITOS FUNDAMENTAIS DE LIBERDADE E DE PRIVACIDADE

No Brasil ainda não há previsão constitucional expressa acerca do direito à proteção de dados pessoais. O controle de dados pessoais iniciou com previsões genéricas na Constituição da República Federativa do Brasil de 1988 (CRFB/1988), encontrando-se albergado indiretamente no dispositivo que versa sobre a intimidade, a vida privada, a honra e a imagem das pessoas cujas definições integram a privacidade, tal como se verifica no dispositivo constitucional que dispõe sobre o habeas data.

Doneda (2006) enfatiza que não havia complexo normativo unitário em relação à temática, mas sim diversas disposições no ordenamento jurídico, cujo sentido deveria ser extraído da cláusula geral da personalidade.

Embora não existisse legislação específica para regular a proteção de dados no Brasil até a publicação da Lei Geral de Proteção de Dados (LGPD), a proteção de dados pessoais era feita através de interpretação sistemática dos diplomas legais em vigência na época (SARTORI, 2016). A proteção de dados pessoais fora tratada na legislação nacional a partir de dispositivos constitucionais que balizaram tal proteção e por legislações especiais que tratam da temática de forma superficial.

No texto constitucional, o remédio constitucional denominado habeas data, previsto em seu art. 5°, inciso LXXII, é responsável por assegurar o direito de acesso às informações relativas ao cidadão que constam em registros e bancos de dados de entidades privadas, governamentais ou outros de caráter público, assim como o direito a ter referidos dados retificados. Doneda (2006) afirma, porém, que a utilização da ação constitucional não dispõe de instrumentos suficientes para garantir a proteção de dados devido ao seu caráter somente instrumental, corroborando a ausência de delineamento acerca do direito material à privacidade.

Na legislação infraconstitucional, a abordagem evolutiva da proteção de dados perpassou pela publicação do Código de Defesa do Consumidor – CDC, pela Lei de Cadastro Positivo, pela Lei de Acesso à Informação e pelo Marco Civil da Internet (MCI) até culminar com a publicação da LGPD.

O CDC, em seu art. 43, disciplina os bancos de dados e o cadastro dos consumidores. Em consonância com o CDC e a fim de complementá-lo, foi publicada a Lei nº 12.414/2011 (Lei do Cadastro Positivo), que disciplina a formação de cadastro e banco de dados por meio de dados relacionados às operações financeiras e adimplemento para fins de concessão de crédito de certa pessoa.

Ainda em relação à sequência evolutiva da legislação infraconstitucional no que pertine à proteção de dados no Brasil, em novembro de 2011 foi publicada a Lei de Acesso à Informação (Lei 12.527/2011), que foi a primeira lei sobre o tratamento de dados na internet e regulamentou o inciso XXXIII do art. 5° da CRFB/1988, salvaguardando o direito fundamental de o indivíduo ter acesso às informações armazenadas em bancos de dados vinculados a órgãos públicos.

A regra geral que obrigue que se busque pelo consentimento do cidadão para acesso ou divulgação de seus dados é destaque da legislação em epígrafe, somente sendo dispensada nos casos de cumprimento de ordem judicial, proteção aos direitos humanos e estudos científicos relevantes à sociedade, de interesse da população, casos em que o interesse público deve prevalecer sobre o interesse privado.

Em 2014, a Lei nº 12.965, que ficou conhecida como Marco Civil da Internet (MCI), inaugurou uma norma específica para princípios, garantias, direitos e deveres nas relações que ocorrem no ambiente eletrônico. Dentre os princípios previstos estão expressos em seu art. 3° a privacidade e a proteção de dados. Os pilares do MCI são a neutralidade da rede, a privacidade e a liberdade de expressão. Verifica-se na legislação menção expressa à necessidade do consentimento do usuário para a coleta, uso, armazenamento e tratamento de seus dados pessoais, tal como para a sua transferência para terceiros. Qualifica-se o consentimento como livre, expresso e informado.

Por não ser legislação específica sobre proteção de dados, muito conceitos não foram contemplados no MCI. Por esta razão, o Decreto nº 8.771/2015 foi promulgado para regulamentar a lei e disciplinar a proteção e tratamento de dados, porém manteve-se silente no que diz respeito à definição de dados pessoais. O panorama jurídico nacional à época ainda não se mostrava suficiente e satisfatório para que se implemente uma tutela da privacidade informacional de fato efetiva, posto que os instrumentos jurídicos disponíveis não abordavam especificamente a tutela de dados pessoais, já que a privacidade informacional possui um caráter mais específico do que outros desdobramentos deste direito da personalidade.

Após divulgação do vazamento de dados pessoais de usuários da rede social denominada Facebook, com captação de tais dados pela empresa Cambridge Analityca, que utilizara informações contidas em mais de 50 milhões de perfis para fins da campanha eleitoral americana (CONFESSORE, 2018), e da acusação de comercialização de dados pessoais por uma empresa pública federal brasileira de processamento de dados, o Congresso brasileiro convocou audiência pública para discutir o tema de proteção de dados por intermédio da Comissão de Transparência, Governança, Fiscalização e Controle e Defesa do Consumidor do Senado (SENADO NOTÍCIAS, 2018).

O governo brasileiro, então, optou pela criação de um diploma legal específico sobre a proteção de dados pessoais com vistas ao preenchimento da lacuna legislativa existente no Brasil acerca do tema, processo que se iniciou com o Projeto de Lei 53/2018 da Câmara dos Deputados e culminou com a LGPD, Lei n° 13.709/2018. Segundo Bernardo Souza e Ingrid Oliveira:

A LGPD assegurou a proteção de dados pessoais das pessoas naturais por meio da garantia dos direitos fundamentais da privacidade e transparência. Com a Lei, o conceito de privacidade ganha um novo significado, menos relacionado com o direito ao anonimato em maior ou menor grau e mais ligado ao empoderamento do indivíduo com relação aos seus dados pessoais (SOUZA; OLIVEIRA, 2021, p. 14).

Desse modo, o indivíduo, titular dos dados pessoais, passa a ser protagonista no tocante à sua privacidade e detentor do direito à proteção de dados, possuindo controle ou, no mínimo, transparência sobre a coleta, o uso, o tratamento e a destinação de suas informações pessoais.

A LGPD versa sobre a coleta e tratamento de dados pessoais dos cidadãos, bem como sobre as punições aplicáveis em casos de eventuais transgressões. Fundamenta-se na livre iniciativa, no desenvolvimento econômico e, consequentemente, tecnológico do país, em harmonia com a dignidade e com o exercício da cidadania.

Em seu art. 1° apresenta como objetivo a proteção da liberdade e privacidade, bem como a proteção ao livre desenvolvimento da pessoa natural. Trata-se segundo Souza e Oliveira,

[...] de uma nova abordagem do tema “privacidade”, baseada na boa-fé e no dever de informação, visa a estabelecer limites, garantir a segurança e total transparência  no processo de coleta e tratamento de dados pessoais, garantindo, assim, a proteção de dados do indivíduo (Souza; OLIVEIRA, 2021, p. 15).

Ana Frazão (2019) afirma que não só a privacidade é posta em risco pela economia movida a dados, mas também a própria individualidade e autonomia, devendo o resgate da dignidade dos titulares de dados e o cumprimento de direitos relacionados à autodeterminação informativa serem objetivos centrais da LGPD.

Conhecer alguns conceitos e terminologias trazidos pela legislação é fundamental para facilitar o enquadramento de casos concretos em situações nas quais seja imperativa a aplicação da lei.

Maia (2019) conceitua o titular de dados como toda pessoa natural a quem os dados pessoais passíveis de tratamento se referem e faz reflexão acerca da adoção do termo titularidade ao invés de propriedade na legislação, asseverando que a noção de titularidade não está restrita ao direito de propriedade, uma vez que os dados pessoais possuem aspectos extrapatrimoniais, além dos patrimoniais. Portanto, entende que tal opção legislativa revela a intenção do legislador de imprimir ao exercício do direito à proteção de dados caráter direto e imediato, haja vista que representa o direito fundamental à privacidade.

Dados pessoais são definidos como qualquer informação relacionada à pessoa natural que viabilize a sua identificação ou a faça identificável como, por exemplo, nome e sobrenome, idade, domicílio, números de telefone, infrações administrativas e penais, placas de automóvel, perfis de consumidores, número do Internet Protocol (IP), dados acadêmicos, dentre outros (GUILHERME, 2021).

Dados sensíveis, por sua vez, são os que se relacionam às características da personalidade do indivíduo e de suas escolhas individuais, a exemplo da origem racial ou étnica, religião, opinião política, filiação a sindicato, filiação a organizações de natureza religiosa, filosófica ou política, condições de saúde, dados genéticos ou biométricos, se vinculado a uma pessoa natural, consoante o art. 5°, inc. II da LGPD (GUILHERME, 2021).

Dados anonimizados referem-se a dados relativos a um titular que não possa ser identificado, mesmo valendo-se de meios técnicos razoáveis à época de seu tratamento. A anonimização, a seu turno, é o emprego de meios técnicos, no instante do tratamento, que consigam desvincular o dado de seu titular, perdendo a possibilidade de associação a um indivíduo, mesmo que indiretamente (PINHEIRO, 2018). Ressalta-se que certo dado só é considerado efetivamente anonimizado se não for mais possível a reconstrução das informações de forma a vinculá-la novamente ao seu titular. Caso a identificação ocorra, então ele não é, de fato, um dado anonimizado e sim, apenas dado pseudonimizado e estará, então, sujeito à LGPD.

Consentimento, segundo Maia (2019) é a manifestação feita de forma livre, informada e inequívoca através da qual o titular externa sua concordância com o tratamento dispensado a seus dados pessoais para determinados fins, não sendo permitidas autorizações generalizadas e sendo proibido o tratamento em caso de autorização obtida mediante comprovado vício de consentimento. Por livre entenda-se a liberdade do titular de não ser obrigado a consentir tratamento de seus dados. Por informada entenda-se a transparência na informação sobre o que o titular exatamente está consentindo para que ele possa tomar a decisão de forma consciente. Por fim, entende-se por inequívoca a manifestação do titular na qual não haja qualquer dúvida acerca da verdadeira aceitação das condições e
repercussões do tratamento de seus dados.

Isto posto, esclarecidas as principais alterações trazidas pela LGPD no âmbito do direito à privacidade, passa-se à análise sobre a relação de transparência entre o titular dos dados pessoais e os controladores.

2.2 DA RELAÇÃO DE TRANSPARÊNCIA ENTRE O TITULAR DOS DADOS PESSOAIS E OS CONTROLADORES

O art. 6º é o responsável por listar importantes princípios que devem nortear a aplicação da LGPD assegurando a relação de transparência entre o titular dos dados pessoais e os controladores.

O art. 6º da LGPD tem a seguinte redação no seu caput: “Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: [...]” (BRASIL, 2018, s.p.).

Veja-se que a boa-fé é mencionada não como um princípio específico, mas como uma característica que deve ser aliada ao princípio da transparência e a todos os demais que dele decorrem.

O princípio da transparência é uma diretriz fundamental num projeto de LGPD, já que fazer com que o tratamento seja claro, preciso, sem obscuridades é fundamental (PINHEIRO, 2018). Sem transparência, não se pode proceder a qualquer tipo de tratamento, exceto os resguardados pelos sigilos comercial e industrial. Portanto, segundo Maldonado e Blum (2020, p. 25), “a transparência é necessária para garantir a confiança nos procedimentos, permitindo a compreensão dos titulares que, se necessário, poderão desafiá-los e exercer seus direitos”.

A transparência é tão importante que a LGPD declara que o consentimento será nulo se as informações transmitidas ao titular forem enganosas ou abusivas. Também se exige a transparência para tratamentos especialmente feitos com base no legítimo interesse (art. 10, § 2º) e quando os dados forem de crianças e adolescentes (art. 14, § 6º) (SOMBRA, 2019).

Decorrentes do princípio da transparência tem-se o princípio da finalidade, o princípio da adequação e o princípio do livre acesso.

A finalidade refere-se à realização do tratamento servindo a propósitos legítimos, específicos e informados ao titular, sem que seja possível o tratamento posterior de maneira incompatível com essas finalidades (SOMBRA, 2019). Nos dizeres de Maldonado e Blum:

O princípio da finalidade conta com grande relevância prática, pois, por meio dele, é garantido ao titular, mediante informação prévia, as fronteiras de legalidade do tratamento de seus dados, delimitando os propósitos do tratamento, desde que lícitos, e de terceiros que poderão ou não ter acesso aos dados. Visa mitigar o risco de uso secundário à revelia do titular (MALDONADO; BLUM, 2020, p. 26).

Assim, considera-se o princípio da finalidade um dos mais importantes, já que a própria lei repete a expressão por 30 vezes, ligando-a ao consentimento e também a outros princípios (adequação, necessidade por duas vezes e qualidade, incs. II, III e V todos do art. 6º).

Este é o princípio que dará claro direcionamento ao titular do que será feito com seus dados e tem grande importância prática na medida em que pretende impedir tratamentos de dados à revelia do titular. Quanto aos propósitos legítimos, trata-se de atividades permeadas pela legalidade, bons costumes e boa-fé. É o atuar no sentido diametralmente oposto de atividades ilícitas, de má-fé (CRESPO, 2019).

A adequação refere-se à compatibilidade do tratamento com as finalidades informadas ao titular, conforme o contexto do tratamento e nada mais é que a correlação das finalidades do tratamento de dados com o contexto do tratamento, evitando desvirtuação. É, assim, o vínculo lógico de pertinência entre a finalidade objetivada do modo que foi informada ao titular dos dados (SOMBRA, 2019).

Há, aqui, uma clara necessidade de observação da finalidade objetivada, o que foi transmitido ao titular dos dados e como efetivamente ocorre o tratamento dos dados.

Já com o princípio do livre acesso almeja-se permitir que o titular de dados exerça um direito seu: o de ter acesso aos dados tratados pelo controlador. E isso deve ser feito de modo facilitado, sem obstáculos ou impedimentos, para a totalidade dos dados constantes nos registros do controlador (PENNA, 2020). Está, portanto, relacionado ao artigo 9º, que indica quais são os direitos do titular de dados, como saber qual a finalidade do tratamento, a duração, dados do controlador, com quem seus dados são compartilhados, etc.

Tem-se, por fim, o princípio da qualidade dos dados que também goza de grande importância, pois, segundo Maldonado e Blum:

Qualquer imprecisão, seja um dado pessoal equivocado, seja desatualizado, pode ser catastrófico ao titular, como ocasionar um erro de tratamento médico, recusa de crédito, vedação de participação em concursos públicos, eliminação em processo seletivo, ou, até mesmo, uma prisão injusta (MALDONADO; BLUM, 2020, p. 28).

Pior, uma vez coletado e tratado o dado pessoal impreciso, sem que seja sanada a respectiva imprecisão na fonte, o risco de que esse dado viciado seja tratado de forma permanentemente incorreta é bastante elevado (MALDONADO; BLUM, 2020). Assim, os controladores precisam adotar medidas, desde o momento da coleta, que, por padrão, garantam a precisão e, quando necessário, a atualização dos dados.

3 O PAPEL DAS EMPRESAS DETENTORAS DE DADOS PESSOAIS A PARTIR DO MARCO LEGAL DA LEI GERAL DE PROTEÇÃO DE DADOS

Este capítulo aborda o papel das empresas detentoras de dados pessoais a partir do marco legal da LGPD. Para tanto, inicia expondo a situação jurídica dos agentes de tratamento de dados pessoais e os direitos dos consumidores como titulares dos dados pessoais em poder das empresas.

3.1 DA SITUAÇÃO JURÍDICA DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS

Os agentes de tratamento são o controlador, que recepciona e mantém o registro dos dados pessoais dos titulares valendo-se do consentimento ou de hipóteses de exceção, e o operador é aquele que realiza tratamento de dados pessoais motivado por contrato ou obrigação legal (art. 5º, inc. IX, da LGPD). Ambos os agentes podem ser pessoas natural ou jurídica, de direito público ou privado. Já o encarregado é a pessoa natural, recomendada pelo controlador e deverá executar tarefas relacionadas ao público em geral, titulares de dados, com a Autoridade Nacional de Proteção de Dados, além de funcionários e fornecedores de sua empresa (PINHEIRO, 2018).

A legislação é aplicável a todos que tratam dados pessoais em território nacional, nas hipóteses em que os dados tenham sido capturados no território nacional, mesmo que o tratamento não seja feito no Brasil, ou quando empresas objetivem ofertar ou fornecer bens ou serviços ou o tratamento de dados de pessoas que se encontram no território nacional. Tais empresas podem ser pessoas físicas ou jurídicas, organizações públicas ou privadas.

Sobre os agentes de tratamento de dados, explicam Francoski e Tasso que:

Os Agentes de Tratamento terão a atenção voltada para a classificação dos bancos de dados, assim como dos campos de informação, avaliando se determinado dado é sensível ou não, qual foi o objetivo de coletá-lo e se é necessário mantê-lo ainda e por quanto tempo. Coletar informação desnecessária, ainda que não seja sensível, é aumentar seu risco no tratamento (Francoski; Tasso, 2021, s.p.).

Mais que cumprir a lei, é necessário ter meios para comprovar que todo o tratamento de dados é praticado adequadamente. O agente de tratamento de dados deverá, assim, demonstrar ter adotado procedimentos autorizados e exigidos pela lei, mas, principalmente, ser capaz de comprovar terem sido eficazmente implementados na organização. É que, mesmo tendo agido imbuído de boa-fé, sem se poder demonstrar esse intuito, de nada valerá perante autoridades de fiscalização ou em demandas administrativas e judiciais para, de alguma forma, atenuar sua responsabilidade (SOUZA; SILVA, 2019).

Além disso, o art. 42 da LGPD traz as hipóteses de responsabilização dos agentes de tratamentos quando causarem danos patrimoniais, morais, individuais ou coletivos, em razão do tratamento de dados que realizarem. E as exclusões de responsabilidade são limitadas à demonstração de que não fizeram o tratamento, que o dano aconteceu em razão de culpa exclusiva da vítima ou que nos termos do art. 43, “embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados” (BRASIL, 2018, s.p.). Isso só se poderá demonstrar, se houver boas práticas de governança, de compliance e de accountability. Sem estas, a exclusão da responsabilidade muito dificilmente será declarada.

O accountability é a responsabilização e prestação de contas como elementos a serem concretizados para demonstrar a conformidade com a lei (PENNA, 2020).

Accountability é um termo bastante comum na língua inglesa, sem tradução exata para o vernáculo. É comumente traduzido como responsabilidade das organizações e seus membros pelas atividades que praticam. É uma prestação de contas sobre o que fazem, como fazem e os efeitos destas ações, mas não em termos numéricos e sim com foco num viés de desempenho relativo à governança (CRESPO, 2019).

O conceito de accountability foi bastante estendido com o tempo, com divisões materiais e de alcance sobre sua aplicação. No entanto, aqui assume-se o conceito como a possibilidade de responsabilizar agente públicos ou privados em razão das suas atividades.

O General Data Protection Regulation (GDPR) trouxe o conceito de accountability para a proteção de dados e, na legislação brasileira, está insculpido no art. 6º, X, e foi denominado princípio da responsabilização e da prestação de contas.

Como dito alhures, é por este princípio que se impõe mais do que o cumprimento da lei, havendo a obrigação de se adotar medidas para que seja possível comprovar a efetivação da implementação de um programa de privacy compliance na organização. Desta forma, cabe ao agente de tratamento de dados fazer tudo o que for possível para cumprir as obrigações legais (TEPEDINO; FRAZÃO; OLIVA, 2020).

Claro que não se pode exigir perfeição nem nada que esteja em absoluta desproporcionalidade com os recursos financeiros e técnicos disponíveis. Mas é preciso providenciar uma estrutura de governança corporativa que garanta o cumprimento das normas de proteção de dados e que disponibilize um conjunto de documentos que podem provar que estas obrigações estão realmente sendo satisfeitas. Não basta, portanto, uma atuação imbuída de boa-fé, sendo imprescindível demonstrá-la de forma objetiva.

Os elementos concretos que podem personificar a existência de responsabilidade pelo tratamento de dados pessoais pode ser enxergada pela existência de políticas, normativas e procedimentos, pela existência de controles internos, pelo constante monitoramento para evitar falhas e para impedir sua reincidência, pela existência de procedimentos de auditoria, dos registros das atividades processantes (art. 37 da LGPD), dos registros da atuação independente de um encarregado de proteção de dados ou de um encarregado de proteção de dados - DPO (art. 41 da LGPD), da realização de assessments e relatórios de impacto (art. 38), de registros de incidentes de segurança (art. 48 da LGPD) e de violação de dados, além de treinamentos e planos de respostas a incidentes. Isso tudo pode ser extraído do art. 50 da LGPD, que trata dos programas de privacy compliance e das boas práticas nacionais e internacionais de um robusto programa de compliance (BRASIL, 2018).

Tudo isso, posto em prática, tenderá a evitar que existam punições em patamares altos, já que no juízo de gravidade de uma violação deverão ser levadas em conta as medidas técnicas adotadas (art. 48, § 3º, c.c. art. 50 da LGPD).

Como resumo, o dever de responsabilidade ou accountability imporá às organizações que, além de alterar suas rotinas em fluxos de tratamentos de dados pessoais, providenciem a estruturação de um verdadeiro programa de compliance com foco nos dados pessoais, de modo a demonstrar efetivamente sua implementação por meio de registros robustos e coerentes de atividades voltadas à proteção de dados pessoais (TEPEDINO; FRAZÃO; OLIVA, 2020).

Os desafios, portanto, vão muito além de seguir normas previstas em lei, passando pela necessidade de ter uma forte organização interna, desenhar processos, treinar pessoas, classificar informações e saber quais devem ser preservadas, por quanto tempo, quais devem ser descartadas e como isso é realizado, bem como estruturar as atividades para atender às diversas entidades que poderão fiscalizar as atividades de tratamento de dados pessoais, como também implementar formas de atendimento aos direitos dos titulares de dados pessoais.

Estes pontos supracomentados podem não exaurir tudo o que é preciso fazer para se proporcionar elementos de accountability, mas, certamente, já são desafios grandes o suficiente para trazer dificuldades de implementação pela grande maioria das organizações.

3.2 DOS DIREITOS DOS CONSUMIDORES COMO TITULARES DOS DADOS PESSOAIS EM PODER DAS EMPRESAS

Referente aos direitos dos titulares de dados, conforme art. 17 da LGPD, são direitos fundamentais dos titulares de dados o direito de liberdade, de intimidade e de privacidade, considerados gerais e exemplificativos, devendo ser interpretados conforme os dispositivos da legislação. Já o art. 18 da LGPD arrola no corpo de seus nove incisos direitos específicos dos titulares de dados. Os agentes de tratamento são os responsáveis pela verificação da manutenção desses direitos.

Dentre os direitos estabelecidos pela lei, diferenciam-se os já anteriormente previstos nas legislações referentes à proteção de dados dos direitos enumerados pela LGPD ainda não previstos anteriormente em legislação nacional. Citam-se como direitos considerados tradicionais, com previsão anterior expressa, dentre os enumerados no art. 18, a confirmação de que houve tratamento; o acesso aos dados; a correção/atualização de dados que se encontram incompletos, inexatos ou desatualizados. Os demais direitos são considerados novos (PINHEIRO, 2018).

Embora intitulado como direitos no próprio corpo da lei, Souza e Silva (2019) revelam que as disposições não representam propriamente direitos, uma vez que versam sobre questões procedimentais e instrumentais que podem ser adotadas pelos titulares de dados visando garantir o seu direito à privacidade. Tratam-se, dessa forma, de macanismos constitucionais com o objetivo de prevenir, mitigar e sanar danos, bem como garantir o exercício do direito à proteção de dados.

Não há, portanto, inovação de direitos atribuídos aos titulares de dados pessoais. O rol de direitos elencado no art. 18 representa conteúdo acerca da noção contemporânea de privacidade composta pela correção na coleta e no tratamento das informações; pela segurança física e lógica da coletânea dos dados; pela publicidade dos bancos de dados pessoais; pelo acesso aos dados pessoais; pela exatidão dos dados coletados e obrigatoriedade de sua atualização; pelo respeito ao princípio da finalidade e ao direito ao esquecimento (SOUZA; SILVA, 2019).

Com o objetivo de fortalecimento da garantia de segurança dos dados, várias obrigações aos agentes de tratamento são arroladas na LGPD, que vão desde procedimentos a serem cumpridos a mecanismos de prevenção e controle de danos. Ficam sujeitos a sanções em caso de infrações cometidas que perpassam por advertências, multas, suspensão ou até mesmo proibição de atividades de tratamento de dados, dependendo da gravidade do caso. No que tange à responsabilidade civil pela ocasião de danos, o diploma cumulou a possibilidade de responsabilizar o responsável pelo tratamento juntamente com os subcontratantes e responsabilidade solidária, sendo possível o direito de regressar sobre os demais agentes (CRESPO, 2019).

Aponta-se como ponto negativo da LGPD em relação à responsabilidade civil o fato de o ônus da comprovação do preenchimento dos três requisitos para a responsabilização, quais sejam ilicitude, dano e nexo de causalidade, ser dos lesados, conforme exposto no art. 82. Entende-se que o ideal seria atribuir responsabilidade objetiva à pessoa física ou jurídica detentora dos dados de terceiros, uma vez que elevaria o comprometimento com o tratamento adequado de dados, devendo sempre ser possível a inversão do ônus da prova.

4 O TRATAMENTO DOS DADOS PESSOAIS DOS CONSUMIDORES NOS MEIOS DIGITAIS E A RESPONSABILIDADE CIVIL DAS EMPRESAS

O artigo 42 é a principal disposição da LGPD que trata da responsabilidade civil dos agentes de tratamento, ou seja, controlador e operador. O encarregado não é considerado agente de tratamento, por força do inc. VIII do art. 5º da LGPD, respondendo de maneira diferenciada por seus próprios atos.

Já o controlador é aquele que detém todo o poder decisório sobre o tratamento de dados, enquanto o operador apenas executa as instruções passadas pelo primeiro, geralmente por força de contrato de prestação de serviços, parceria, sociedade em conta de participação etc. (SOMBRA, 2019).

A premissa do art. 42 é de que o controlador ou o operador respondem pelos danos que causarem, sejam eles materiais ou morais, individuais ou coletivos, por violação à LGPD. Segundo Frazão (2019), o uso da palavra “ou” entre controlador e operador destaca a ideia de que cada um é responsável pelos atos que praticou e pelos danos que causou, não havendo, por via de regra, a aplicação de responsabilidade civil solidária ou subsidiária entre eles.

A responsabilidade civil dos agentes de tratamento de dados se orienta pela regra geral contida nos arts. 186[2], 187[3] e 927[4] do Código Civil.

O nexo causal do dano encontra-se intrinsecamente ligado à violação da LGPD, sendo que, se não houve violação, não se torna aplicável o art. 42, não se configurando ato ilícito.

Na doutrina pátria clássica, o conceito de responsabilidade civil pode ser entendido como:

[...] a aplicação de medidas que obriguem alguém a reparar o dano moral ou patrimonial causado a terceiros em razão de ato do próprio imputado, de pessoa por quem ele responde, ou de fato de coisa ou de animal sob sua guarda, ou ainda, de simples imposição legal  (DINIZ, 2020, p. 3).

Do desdobramento do conceito acima, é apresentada a responsabilidade civil objetiva, consoante predispõe o parágrafo único do art. 927 do CC, como aquela responsabilidade que resta caracterizada independentemente da existência da culpa, bastando apenas que se comprove a ocorrência do dano e do nexo de causalidade (CAVALIERI FILHO, 2010).

Já a responsabilidade civil subjetiva tem os seus fundamentos na caracterização da culpa do agente (DINIZ, 2020). Assim, a culpa deve ser comprovada pela parte que sofreu o dano. A doutrina ensina que:

A responsabilidade civil subjetiva é caracterizada pela consubstanciação da culpa, uma concepção clássica do agente causador do dano através da caracterização da culpa. De modo que a prova da culpa do agente causador é indispensável para que surja o dever de indenizar. A responsabilidade é subjetiva pois depende do comportamento do indivíduo .

Os pressupostos para a ocorrência da responsabilidade civil objetiva apontam três fatos necessários para sua caracterização: a) ação (comissiva ou omissiva); b) dano; c) nexo de causalidade (entre o dano e a ação).

[...]

Não pode haver responsabilidade civil sem dano, que deve ser certo, a um bem ou interesse jurídico, sendo necessária a prova real e concreta dessa lesão.

c) Nexo de causalidade entre o dano e a ação (fato gerador da responsabilidade), pois a responsabilidade civil não poderá existir sem o vínculo entre a ação e o dano. Se o lesado experimenta um dano, mas este não resultou da conduta do réu, o pedido de indenização será improcedente [...]”. (DINIZ, 2020, p. 33-34).

Tem-se pois que a responsabilidade civil objetiva independe da culpa. Nessa situação a culpa é presumida.

Segundo Sergio Cavalieri Filho (2012, p. 67), nexo causal é o “elemento referencial entre a conduta e o resultado. É através dele que poderemos concluir quem foi o causador do dano”.

Contudo, a LGPD criou duas hipóteses de responsabilidade solidária nas quais o operador responderá junto com o controlador pelos danos causados, prevista no § 1º, quais sejam: (i) quando o operador violar da LGPD; e, (ii) quando o operador não seguiu as instruções de tratamento estabelecidas pelo controlador.  As duas hipóteses não são cumulativas, apesar de na maioria das vezes o ato de não seguir as instruções impacte diretamente nos princípios estabelecidos na LGPD, ou seja, geram violação indireta da lei (por exemplo, o operador que diferentemente das instruções, compartilhou os dados pessoais em vez de apenas os armazenar, violou o princípio da finalidade e adequação) (FERREIRA; FREITAS, 2020).

Na responsabilidade solidária, pode o credor da indenização cobrar o valor total da dívida toda de qualquer um dos responsáveis solidários, tal como preconiza o art. 264 do Código Civil.

Segundo Tepedino, Frazão e Oliva (2020, s.p.), “ao não seguir as instruções do controlador, o operador se equipara a ele por usurpar o poder decisório sobre o tratamento de dados, daí sua responsabilização, conforme o § 1º do inciso I”.

A primeira hipótese destaca a importância de o operador conhecer e aplicar a LGPD, não podendo depender do controlador para determinar suas ações, do ponto de vista do cumprimento da lei (SOMBRA, 2019).

A segunda hipótese de responsabilização solidária do operador se dá pelo não seguimento das instruções do controlador quanto ao tratamento de dados, o que aumenta a relevância de que tais instruções sejam claras e precisas, não podendo se permitir a existência de obscuridades ou dúvidas. Assim, a comunicação das instruções passará a ser a pedra de torque nas relações jurídicas entre controlador e operador no que toca ao tratamento de dados pessoais (TEPEDINO; FRAZÃO; OLIVA, 2020).

Por fim, se no tratamento de dados houver a participação de mais de um controlador, ambos serão solidariamente responsáveis pelo ressarcimento de dados, mas entre eles poderá haver ação de regresso, nos termos do art. 934 do Código Civil e do § 4^o do mesmo artigo.

Assim, é importante observar que à primeira vista, a LGPD pode parecer apontar para uma possível escolha pela responsabilidade civil de ordem subjetiva, visto que não há qualquer menção expressa ao risco inerente à atividade de tratamento de dados e, por outro lado, como expõem Francoski e Tasso (2020), a inversão do ônus da prova, prevista no § 2º do referido artigo, parece ser uma exceção concedida mediante decisão judicial que considerar o titular do dado hipossuficiente na relação com o agente de tratamento para fins de produção de prova.

O art. 43[5] da LGPD traz as excludentes de responsabilidades. O inc. III deste artigo, ao incluir a culpa do titular dos dados, ou de terceiros, como excludente de responsabilidade, também pode levar à conclusão de que a indicação do culpado, seja ele o titular do dado, o controlador ou operador, seria elemento indispensável para a caracterização do dano.

Entretanto, ao analisar os dispositivos citados, percebe-se que a LGPD não declara expressamente qual seria a responsabilidade a ser aplicada. Não há indícios diretos da aplicabilidade de uma conduta negligente, imperita ou imprudente; bem como não há indícios de uma responsabilização independente da culpa. Assim, segundo Ferreira e Freitas (2020), qualquer conclusão é um exercício de hermenêutica a ser realizado pelos operadores do direito.

O art. 45[6] da LGPD, por sua vez, não deixa dúvidas de que quando o tratamento de dados se dá em situações consumeristas aplica-se o CDC.

Também, o CDC é claro no que concerne à adoção do instituto da responsabilidade civil objetiva, conforme pode ser observado nos arts. 12 a 14. Assim, o que se pode deduzir da aplicabilidade do art. 45 da LGPD é que sempre que o titular do dado for qualificado como consumidor poderá invocar a responsabilidade objetiva para pleitear o seu direito.

Do exposto, respondendo ao questionamento levantado para este capítulo -   as empresas que não observarem as regras acerca do tratamento sobre os dados pessoais dos consumidores, a partir do marco legal da LGPD, estarão sujeitas às normas de responsabilidade civil, podendo esta responsabilidade ser objetiva? – tem-se que embora em um primeiro momento, a responsabilidade pareça subjetiva por não ser feita menção ao risco inerente à atividade de tratamento de dados, o que parece mais plausível é que seja aplicada a responsabilidade objetiva já que não cabe ao titular de dados a tarefa de fazer prova da culpa do agente de tratamento.

5 CONSIDERAÇÕES FINAIS

A presente pesquisa norteou-se a partir de um objetivo geral que foi o de verificar se a Lei Geral de Proteção de Dados assegura a reparação dos danos sofridos por aqueles que possuem dados pessoais em poder de empresas.

O caminho percorrido para o desfecho da presente pesquisa guiou-se a partir de objetivos específicos que delinearam o trajeto metodológico adequado com o intuito de explorar pontos específicos e estratégicos da pesquisa. Para tanto, foi dado destaque ao tratamento jurídico nacional dispensado aos dados pessoais dos indivíduos nos meios digitais a partir das disposições legais da LGPD; e, na sequência, apontou-se quais os deveres recaem sobre as empresas detentoras de dados pessoais nas relações estabelecidas com os consumidores.

Outros paradigmas nortearam a presente pesquisa, e um objetivo específico fundamental para se chegar à conclusão deste estudo foi o de verificar como se dá a responsabilidade civil das empresas no tratamento dos dados pessoais dos consumidores a partir das regras normativas previstas na LGPD e no CDC, de modo a saber se esta responsabilidade é objetiva ou subjetiva.

Verificou-se que a vida em sociedade depende de um complexo arcabouço jurídico capaz de determinar direitos e obrigações, além de garantir que as vítimas de lesões injustas sejam compensadas por quem lhes causou danos. Nos casos dos danos civis, o instituto da responsabilidade civil é indispensável para determinar quais as medidas necessárias para garantir sua reparação.

Na sequência constatou-se que a responsabilidade civil encontra na culpa a sua raiz e impingiu por muito tempo às vítimas o dever de provar que seu algoz, por ação, omissão, imprudência, negligência ou imperícia, realizou, voluntariamente, atitude capaz de lhe causar dano, características inerentes à responsabilidade subjetiva. No entanto, foi destacado que a teoria do risco foi a evolução necessária para a recepção da responsabilidade objetiva, onde não se faz mais necessária a comprovação do elemento culpa, mas apenas a existência do dano e o nexo de causalidade.

Tal teoria foi recepcionada irrestritamente pelo CDC, diante da hipossuficiência da relação de consumo. Com o surgimento de novas tecnologias, tem sido sugerida também como solução eficaz nos casos de decisões automatizadas, determinadas por algoritmos e inteligência artificial, que tenha o potencial de causar prejuízos a direitos humanos fundamentais, portanto, tem um risco alto inerente à sua operação.

Demonstrou-se também que embora a teoria da culpa ainda tenha destaque no art. 927 do Código Civil, o diploma também acolheu a teoria objetiva, em determinadas hipóteses, onde o risco inerente à atividade impõe a obrigação de reparar os danos eventualmente causados, independentemente da comprovação de culpa pelo agente que causou o dano.

Observou-se que a LGPD, por sua vez, não fez menção à adoção da teoria da responsabilidade civil objetiva ou subjetiva, com exceção dos casos em que se aplicam claramente as normas de defesa do consumidor, ficando a cargo dos operadores do direito a tarefa de decidir qual seria o melhor instituto a ser aplicado na reparação dos danos causados no âmbito do tratamento de dados pessoais.

Desta feita, para solucionar o caso, reputou-se importante considerar todos os princípios e fundamentos da lei que demonstram claramente a relação de hipossuficiência do titular de dados pessoais diante do agente de tratamento, bem como o fato de que o direito, principalmente no campo da tecnologia, evoluiu da responsabilidade subjetiva, que tem a reparação fundada na culpa, para uma tendência moderna à objetivação do instituto na teoria do risco. Não obstante, deve-se observar igualmente a obrigação que os agentes de tratamento têm em prestar contas de maneira proativa quanto à adoção de todas as medidas eficazes para o cumprimento da Lei.

Por fim, como desfecho, foi possível concluir que o silêncio da lei foi eloquente e que, neste contexto, não cabe ao titular de dados a injusta tarefa de comprovar a culpa do agente de tratamento, sendo o instituto da responsabilidade civil objetiva o melhor caminho para garantir a reparação de danos no âmbito da LGPD e proteger de forma adequada os direitos dos titulares de dados pessoais.

REFERÊNCIAS

BRASIL. Lei n. 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/ lei/L13709.htm. Acesso em: 3 Set. 2021.

CAVALIERE FILHO, Sérgio. Programa de Responsabilidade Civil. 10. ed. São Paulo: Atlas, 2012.

CONFESSORE, Nicholas. Cambridge Analytica and Facebook: The Scandal and the Fallout So Far. The New York Times, Nova Yorque, 04 de abril de 2018. Disponível em: https://www.nytimes.com/2018/04/04/us/politics/cambridge-analytica-scandal-fallout.html. Acesso em: 3 Set. 2021.

COTS, Márcio; OLIVEIRA, Ricardo. Lei Geral de Proteção de Dados Pessoais Comentada. São Paulo: Editora Revista dos Tribunais. 2021.

CRESPO, M.X.F. Compliance Digital. In: CRESPO, M.X.F. Governança, Compliance e Cidadania. 2. ed. São Paulo: Revista dos Tribunais, 2019.

DINIZ, Maria Helena. Curso de Direito Civil Brasileiro 37 ed. São Paulo: Saraiva. 2020. v. 7.

DONEDA, Danilo. Da privacidade à proteção de dados pessoais. Rio de Janeiro: Renovar, 2006.

FRANCOSKI, Denise; TASSO, Fernando.  Os Agentes de Tratamento e as Novas Perspectivas do Encarregado nos Órgãos Públicos - Parte I - A Lei Geral de Proteção de Dados Pessoais no Setor Público. In: FRANCOSKI, Denise; TASSO, Fernando. A Lei Geral de Proteção de Dados Pessoais: Lgpd. São Paulo: Editora Revista dos Tribunais. 2021.

FRAZÃO, Ana. Objetivos e alcance da Lei Geral de Proteção de Dados. In: FRAZÃO, Ana; TEPEDINO, Gustavo; OLIVA, Milena Donato (Coords.). Lei Geral de Proteção de Dados Pessoais e suas repercussões no Direito Brasileiro. São Paulo: Thompson Reuters, 2019.

GUILHERME, Luís Fernando do Vale de Almeida. Manual de Proteção de Dados: LGPD comentada. São Paulo: Almedina, 2021.

MAIA, Roberta Mauro Medina. A titularidade de dados pessoais prevista no art. 17 da LGPD: direito real ou pessoal? In: FRAZÃO, Ana; TEPEDINO, Gustavo; OLIVA, Milena Donato (coords.). Lei Geral de Proteção de Dados Pessoais e suas repercussões no Direito Brasileiro. São Paulo: Thompson Reuters, 2019.

MALDONADO, Viviane; BLUM, Renato. Art. 1º - Capítulo I. Disposições Preliminares. In: MALDONADO, Viviane; BLUM, Renato. Lgpd - Lei Geral de Proteção de Dados Comentada. São Paulo: Editora Revista dos Tribunais. 2020.

PENNA, Thomás Murta. Proteção de Dados vs blockchain: o armazenamento off-chain como garantia de direitos dos titulares de dados pessoais no Brasil. In: PEDROSA, Clara Bonaparte. Direito e Tecnologia: discussões para o século XXI. Belo Horizonte: Legal Hackers, 2020. p. 131-158.

PINHEIRO, Patrícia Peck. Proteção de dados pessoais: comentários à Lei n. 13.709/2018 (LGPD). São Paulo: Saraiva Educação, 2018.

SANTOS, Manoel J. Pereira dos. Considerações iniciais sobre a proteção jurídica das bases de dados. In: DE LUCCA, Newton; SIMÃO FILHO, Adalber to (coords.). Direito & Internet, v. II (Aspectos Jurídicos Relevantes). Bauru: Edipro, 2000.

SARTORI, Ellen Carina Mattias. Privacidade e dados pessoais: a proteção contratual da personalidade do consumidor na internet. Revista de Direito Civil Contemporâneo, São Paulo, v. 9, ano 3, p. 49-104, out./dez., 2016.

SENADO NOTÍCIAS. Projeto de Lei Geral de Proteção de Dados Pessoais é aprovado no Senado. 15.08.2018. Disponível em: https://www12.senado.leg.br/ noticias/materias/2018/07/10/projeto-de-lei-geral-de-protecao-de-dados-pessoais-e-aprovado-no-senado. Acesso em: 7 set. 2021.

SOMBRA, Thiago Luís Santos. Fundamentos da regulação da privacidade de proteção de dados: pluralismo jurídico e transparência em perspectiva. São Paulo: Revista dos Tribunais, 2019.

SOUZA, Bernardo; OLIVEIRA, Ingrid.  Ícones de Privacidade e Lei Geral de Proteção de Dados. In: SOUZA, Bernardo; OLIVEIRA, Ingrid. Visual Law. São Paulo: Editora Revista dos Tribunais. 2021. p. 7-23.

SOUZA, Eduardo Nunes de; SILVA, Rodrigo da Guia. Direitos do titular de dados pessoais na Lei 13.709/2018: uma abordagem sistemática. In: FRAZÃO, Ana; TEPEDINO, Gustavo; OLIVA, Milena Donato (Coords.). Lei Geral de Proteção de Dados Pessoais e suas repercussões no Direito Brasileiro. São Paulo: Thompson Reuters, 2019.

TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena Donato. Lei Geral de Proteção de Dados e suas repercussões no Direito Brasileiro. 2. ed. São Paulo: Revista dos Tribunais, 2020. (e-book).