RESUMO: Frente ao desenvolvimento tecnológico e ao surgimento de novos riscos e inseguranças, a proteção de dados pessoais é tema que ganha enorme relevância. Nesse sentido, o objetivo do presente trabalho é delimitar a natureza jurídica da responsabilidade civil prevista na Lei Geral de Proteção de Dados (Lei nº 13.709/2018), a fim de se verificar se a proteção jurídica nela estabelecida é suficiente para a reparação justa e efetiva dos titulares de dados que eventualmente sejam vítimas de irregularidades ocasionadas pelo tratamento indevido de dados pessoais. Quanto à metodologia utilizada para o seu desenvolvimento, utilizou-se preponderantemente da pesquisa bibliográfica, partindo-se de materiais já elaborados, tais como artigos científicos, livros e mesmo pesquisas jurisprudenciais. Conclui-se, ao final, que a LGPD se encontra na contramão dos avanços legislativos em matéria de responsabilidade civil, porquanto estabelece como regra geral a exigência de demonstração de elemento subjetivo por parte do agente causador do dano.

Palavras-chave: LGPD. Dados Pessoais. Responsabilidade Civil. Culpa. Risco.

ABSTRACT: Faced with technological development and the emergence of new risks and insecurities, the protection of personal data is a topic that has gained enormous relevance. In this sense, the objective of the present work is to delimit the legal nature of civil liability provided for in the General Data Protection Law (Law No. of data subjects who may be victims of irregularities caused by the improper treatment of personal data. As for the methodology used for its development, bibliographic research was predominantly used, starting from materials already prepared, such as scientific articles, books and even jurisprudential research. It is concluded, in the end, that the LGPD is in the opposite direction of legislative advances in terms of civil liability, as it establishes as a general rule the requirement to demonstrate a subjective element by the agent causing the damage.

Key-Words: LGPD. Personal Data. Civil responsability. Fault. Risk.

1 INTRODUÇÃO

A sociedade atual, apelidada de sociedade das informações, é fruto das constantes e quase que instantâneas mudanças tecnológicas ocorridas nos últimos tempos, que tem transformado significativamente o relacionamento entre as pessoas, entre o comércio e a prestação de serviços.

Ao lado dos diversos pontos positivos trazidos com o advento do desenvolvimento tecnológico, tem-se, também, alguns pontos negativos. O principal deles é, sem dúvida, a vulnerabilidade das informações e de dados individuais, que, além de serem rapidamente coletados, são, não raras vezes, objeto de vazamento e de utilização indevida.

Buscando conter os pontos negativos é que, recentemente, foi sancionada a Lei Geral de Proteção de Dados (Lei nº 13.709/2018), a qual tem como objetivo principal o de regulamentar o vínculo de relações que são estabelecidas entre titulares, controladores e operadores dos dados, buscando notadamente a instituição de um órgão administrativo que regulamente e fiscalize essas questões, bem como a positivação das atribuições de cada agente. Como mecanismos de proteção, estabeleceu, expressamente, determinados dispositivos que visam estabelecer a forma como deve se dar a responsabilidade civil de cada um dos agentes envolvidos no processo de tratamento dos dados.

A LGPD é um marco importante na proteção de dados. O referido diploma estabelece os princípios, os conceitos, os procedimentos, as normas e as punições em matéria de tratamento de dados.

No que tange ao instituto da responsabilidade civil, a LGPD delimita a atribuição e a forma de atuação dos agentes de tratamento de dados, buscando enfrentar problemas que são causados pela exploração dessas novas tecnologias. A lei, contudo, não estabelece expressamente se a responsabilidade civil nela prevista é subjetiva ou objetiva, circunstância que ainda hoje causa intensos debates doutrinários.

Nesse contexto, o objetivo desse trabalho é, a partir da evolução histórica do instituto da responsabilidade civil, delimitar a natureza jurídica da responsabilidade dos agentes de proteção de dados.

Para alcançar o objetivo geral, traçou como objetivos específicos, os seguintes:  identificar os conceitos fundamentais da Lei Geral de Proteção de Dados; verificar a legislação nacional no tocante a responsabilidade civil e a proteção de dados; analisar quais limites e especificidades para reparação dos danos pelos agentes de proteção de dados.

Quanto aos procedimentos técnicos utilizados para a produção do trabalho, utilizou-se de recursos da pesquisa bibliográfica. Partiu-se, pois, de materiais já elaborados – em especial livros e artigos científicos -, e, evidentemente, do estudo da legislação e da jurisprudência dos Tribunais Superiores.

2 O CONCEITO DE DADOS PESSOAIS

De início, a melhor compreensão do tema abordado no presente trabalho cobra que seja realizada, em breve síntese, a análise acerca do conceito de dados pessoais.

Em relação ao termo dado, tem-se que, de acordo com Doneda[1], esclarece que essa expressão é utilizada para designar uma informação antes mesmo de ela ser interpretada ou de passar por um processo de elaboração.

Na mesma linha dircursiva, Bioni[2] coloca que os, dados são simplesmente fatos brutos, sendo necessário que passem por mecanismos de processamento e organização a fim de que, aí sim, possam transmitir informações. 

A opinião de Laura Mendes[3] segue, também, a mesma linha: o dado diz respeito à uma informação em potencial. O enquadramento de um dado como informação somente pode se dar após o seu tratamento adequado.

No que tange ao termo pessoal, segundo bem esclarece Danilo Doneda[4], tem-se que este é utilizado para designar aqueles dados que se relacionam a uma determinada pessoa, isto é, que permitam identificá-la por meio de suas características, ou que apresentem dados sobre manifestações e/ou atos praticados por ela.

Importa, pois, segundo Doneda[5], que haja um vínculo entre o dado e o titular do dado. Não por outra razão, o autor explica que “os dados pessoais se confundem com a própria pessoa, em diversas circunstâncias presença física deste individuo seria até indispensável”.

De todo modo, sob o viés doutrinário, existem duas correntes distintas acerca do conceito de dado pessoal. Uma, de tendência expansionista; outra, de tendência reducionista. Para os adeptos da primeira corrente, há um alargamento da qualificação dos dados como sendo pessoais, de modo que é possível que sejam enquadrados dados cujos titulares são pessoas identificáveis, mas indeterminadas, ainda que o vínculo existente entre o dado e seu titular seja meramente indireto. Para os adeptos da segunda corrente, por outro lado, para se qualificar o dado como pessoal, é necessário que seu titular seja pessoa específica e que o vínculo entre o dado e o seu titular seja imediato e direto[6].

O conceito de dados pessoais, para os fins do presente trabalho, se dá com base na tendência expansionista. Abrange, portanto, aqueles dados que apresentem características de determinadas pessoas e que, em consequência, permitam identificá-la; e, além disso, também aqueles que, para além de indicarem atos, indicam e identificam também o modo de agir e o pensamento de determinado indivíduo.

É essa a tendência que se harmoniza com a Lei Geral de Proteção de Dados (Lei nº 13.709/18), consoante se extrai de seu art. 5º, inciso I, que dispõe que dado pessoal é a informação relacionada à pessoa natural identificada ou identificável.

Nesse sentido, salienta que a referida lei conceitua o dado pessoal de maneira ampla, acompanhando a vertente expansionista, sem se prender a um rol taxativo, possibilitando, assim, se qualificar um dado como pessoal sem dependência do seu formato e suporte, quer ele isolado quer ele em união de outro, levando-se em consideração, sempre, a possibilidade de identificação de uma pessoa natural.

Na mesma linha, Caio César Lima[7] explica que os “dados pessoais destoam uma miríade de informações, partindo desde dados cadastrais, até os mais intrínsecos”.

Dada a imensidão da abrangência dos dados pessoais, é de se notar que o próprio legislador, apesar de prever uma conceituação ampla acerca do conteúdo dos dados pessoais, dispõe que é possível que se estabeleça tratamento protetivo diferenciado, a depender da espécie de dado pessoal que se esteja tutelando.

Não por outra razão, de forma exemplificativa, prevê tratamento mais rigoroso em matéria de “dados pessoais sensíveis”. 

Os dados pessoais sensíveis são aqueles que aludem a uma pessoa identificada ou identificável e que, quando são conhecidos e processados, podem gerar alguma utilização lesiva ou discriminatória, indicando riscos de grande monta para o titular ou mesmo para a coletividade. Por isso, a sua qualificação como sensível implica em que recebam tratamento ainda mais restrito e cuidadoso no que tange ao controle sobre seus usos.

A própria Lei Geral de Proteção de Dados os conceitua nos seguintes termos:

Art. 5º Para os fins desta Lei, considera-se:

[...]

II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

De acordo com Mendes[8], essa categoria de dados foi consagrada pelo Convênio 108 e editado pelo Conselho da Europa em 1861, delimitando apenas que poderia ser objeto de uso desses dados, aqueles que tivessem no direito interno espaço resguardando as garantias adequadas para tal.

Como se encontra na consideração n. 51 do General Data Protection Regulation, esses dados são assim postos em razão de sua natureza, pois estão relacionados diretamente aos direitos e liberdades fundamentais e, por conseguinte, exigem uma proteção maior.

A proteção e correta categorização dos dados pessoais sensíveis ganha ainda maior relevância na atual realidade tecnológica e informacional. Isso porque, com a rápida disseminação da sociedade em massa, é inviável prever quais eventuais efeitos podem ocasionar de uma utilização indevida de um dado pessoal sensível específico.

Nessa linha, Bioni[9] alerta que há uma relação intrínseca entre a proteção de dados pessoais – especialmente os sensíveis – e o próprio direcionamento da/na vida dos indivíduos. É que a adequada proteção e utilização é tema que deve ser visto como transversal, porquanto atinge os mais variados segmentos sociais da vida de um indivíduo. Confira-se:

A inserção de dados pessoais do cidadão em bancos de informações tem se constituído em uma das preocupações do Estado moderno, onde o uso da informática e a possibilidade de controle unificado das diversas atividades da pessoa, nas múltiplas situações de vida, permitem o conhecimento de sua conduta pública e privada, até nos mínimos detalhes, podendo chegar à devassa de atos pessoais, invadindo área que deveria ficar restrita à sua intimidade; ao mesmo tempo, o cidadão objeto dessa indiscriminada colheita de informações, muitas vezes, sequer sabe da existência de tal atividade, ou não dispõe de eficazes meios para conhecer o seu resultado, retificá-lo ou cancelá-lo. E assim como o conjunto dessas informações, pode ser usado para fins lícitos, públicos e privados, na prevenção ou repressão de delitos, ou habilitando o particular a celebrar contratos com pleno conhecimento de causa, também pode servir, ao Estado ou ao particular, para alcançar fins contrários à moral ou ao Direito, como instrumento de perseguição política ou opressão econômica. (BIONI, 2011, p.195)

Na sociedade da informação, marca da pós-modernidade, o assunto merece ainda maior atenção.

É que, hoje, as informações são trocadas de forma ininterrupta. A internet se tornou parte do dia-a-dia das pessoas, e ela é, pois, uma ferramenta onipresente, que garante que todo o seu conteúdo seja difundido com maior alcance e menores custos. Essa ampla difusão acarreta, por exemplo, inúmeros problemas em torno da veracidade das informações que são divulgadas.

E mais, ainda, a sociedade da informação, marcada essencialmente por um elevado grau de evolução tecnológica, conta com dispositivos que permitem a identificação de dados pessoais – muitas vezes – em tempo real. É o caso, por exemplo, dos inúmeros aplicativos de smartphones que captam e compartilham dados da geolocalização de seus usuários.

Assim, tem-se que a evolução tecnológica faz com que não apenas se aumente o potencial alcance de uma dada informação divulgada, mas, também, que surjam, diariamente, um infinito número de novos dados pessoais de cada indivíduo. Nessa linha, Mendes[10]:

Hoje, independentemente de sua profissão e/ou papéis sociais que exerce, os indivíduos têm seus dados processados diuturnamente. Onde a vigilância passa de esporádica a cotidiana. Observa que a utilização massiva de dados pessoais por órgãos estatais e/ou privados, apresenta desafios novos no tocante ao direito à privacidade. A junção de técnicas diversas automatizadas permite que se obtenha informações sensíveis sobre os cidadãos e a criação de perfis virtuais verdadeiros, passam então a fundamentar a tomada decisões econômicas, políticas e sociais.

Essa circunstância confirma, portanto, a relevância da proteção dos dados pessoais – em especial os sensíveis.

3 A EVOLUÇÃO LEGISLATIVA DA TUTELA DOS DADOS PESSOAIS

Apesar de não se confundirem, a proteção jurídica dos dados pessoais é, inicialmente, dita como um desdobramento do direito à privacidade. Seu amparo jurídico é, inicialmente, o art. 5º, inciso X, da Constituição Federal e, mais tarde, também o art. 21 do Código Civil, os quais preveem, expressamente, a necessidade de que a vida particular e a intimidade dos indivíduos sejam resguardadas.

Após, dada a tendência à ramificação e à maior especialização da sociedade à luz do surgimento de diversos microssistemas protetivos, sobreveio a necessidade de se assegurar o direito à privacidade, especificamente, em relação a determinados ramos jurídicos, observadas as suas peculiaridades que lhe fossem inerentes. É dizer, a própria realidade passou a exigir que houvesse uma previsão específica e mais detalhada acerca da proteção da vida privada dos indivíduos em relação à determinados segmentos jurídicos.

Foi assim que o Código de Defesa do Consumidor, surgido no ano de 1990, passou a disciplinar expressamente o acesso a dados pessoais e a dados de consumo no âmbito das relações consumeristas. O art. 43 do referido código previu que as pessoas possuem direito a acessar as informações existentes sobre si em cadastros, fichas, registros, além de dados pessoais e de consumo que as marcas têm sobre elas. Ainda, a figura dos bancos de dados – que armazenam dados pessoais – recebeu tratamento detalhado e minucioso no âmbito desta codificação.

Com a rápida evolução tecnológica, viu-se que a tutela genérica acerca da proteção da vida privada e da intimidade não mais se mostravam suficientes para resguardar a segurança do âmbito particular dos indivíduos. A realidade da sociedade informacional trouxe, de um lado, diversos benefícios e, de outro, riscos até então inimagináveis. Nesse sentido, a propósito, são esclarecedoras as palavras de Rosane Leal Silva e Letícia Brum Silva:

Mas ao lado desse panorama de otimismo e de novas oportunidades também se revelam inéditos problemas e desafios decorrentes do grande fluxo informacional, especialmente quando as informações assumem a forma de dados pessoais e saem do controle do seu titular. Essa situação de vulnerabilidade tanto pode ocorrer quando os dados são espontaneamente disponibilizados nas interações sociais, como ocorre com publicações feitas em sites de redes sociais; nos casos em que são recolhidos pelo fornecedor para permitir a abertura de contas que garantirão o acesso a serviços e produtos ou nas situações de captura indevida por meio de algum programa espião. A pluralidade de formas de recolhimento de informações demonstra a complexidade do tema, pois mesmo o internauta mais cauteloso e com seletivas atuações no ambiente virtual não fica a salvo de sofrer ataques aos seus dados pessoais[11].

Não por outra razão, no ano de 2014 foi editada a Lei n. 12.965/2014, apelidada de Marco Civil da Internet. A referida lei foi pensada como forma de completar as lacunas legais ocasionadas pela evolução tecnológica mundial. Viu-se que, com o advento da internet, as distâncias – até então obstáculos para a disseminação de informações – passaram a ser mais curtas ou até inexistentes; o tempo despedido para a divulgação de informações também se encurtou substancialmente; e, progressivamente, o próprio acesso às notícias e informações foi, também, aumentando.

Especificamente em relação aos dados pessoais, a lei denominada de Marco Civil da Internet já tratava, expressamente, sobre a sua proteção no contexto do uso da internet. Este foi o teor do dispositivo legal:

Art. 3º A disciplina do uso da internet no Brasil tem os seguintes princípios:

(...)

II - proteção da privacidade;

III - proteção dos dados pessoais, na forma da lei;

A referida proteção, contudo, ainda não se mostrava suficiente para resguardar a vida privada dos indivíduos. Além do seu restrito âmbito de aplicação – proteção em relação ao uso da internet -, o referido diploma previu, expressamente, que a proteção dos dados pessoais dependia, ainda, da edição de um outro diploma legal.

Nesse contexto, a exigência da edição de uma lei específica para a proteção dos dados pessoais foi o que motivou a edição da Lei n° 13.709/2018, apelidada de Lei Geral de Proteção de Dados, a qual dispôs, especialmente, sobre a proteção dos dados pessoais e de dados que sejam capazes de viabilizar o reconhecimento de pessoas naturais.

Pouco tempo depois, já no ano de 2020, o Supremo Tribunal Federal reconheceu a relevância da proteção dos dados pessoais, assentando que a proteção dos dados pessoais já encontrava amparo na Carta da República, com apoio em interpretação judicial. Afirmou a Corte Suprema, ao julgar ações diretas de inconstitucionalidade (ADIs n. 6387, 6388, 6389 e 6390), que a proteção de dados pessoais possuía inegável status de direito fundamental na Constituição autônomo, estando implicitamente inserido nos incisos X e XII do art. 5º da CRFB/88, que sintetizam a chamada cláusula geral de privacidade. Este foi o resumo do acórdão (Relatora Ministra Rosa Weber, DJe de 12/11/2020):

MEDIDA CAUTELAR EM AÇÃO DIRETA DE INCONSTITUCIONALIDADE. REFERENDO.
MEDIDA PROVISÓRIA No 954/2020. EMERGÊNCIA DE SAÚDE PÚBLICA DE IMPORTÂNCIA INTERNACIONAL DECORRENTE DO NOVO CORONAVÍRUS (COVID-19). COMPARTILHAMENTO DE DADOS DOS USUÁRIOS DO SERVIÇO TELEFÔNICO FIXO COMUTADO E DO SERVIÇO MÓVEL PESSOAL, PELAS EMPRESAS PRESTADORAS, COM O INSTITUTO BRASILEIRO DE GEOGRAFIA E ESTATÍSTICA. FUMUS BONI JURIS. PERICULUM IN MORA. DEFERIMENTO.

1. Decorrências dos direitos da personalidade, o respeito à privacidade e à autodeterminação informativa foram positivados, no art. 2o, I e II, da Lei no 13.709/2018 (Lei Geral de Proteção de Dados Pessoais), como fundamentos específicos da disciplina da proteção de dados pessoais.

2. Na medida em que relacionados à identificação – efetiva ou potencial – de pessoa natural, o tratamento e a manipulação de dados pessoais hão de observar os limites delineados pelo âmbito de proteção das cláusulas constitucionais assecuratórias da liberdade individual (art. 5o, caput), da privacidade e do livre desenvolvimento da personalidade (art. 5o, X e XII), sob pena de lesão a esses direitos. O compartilhamento, com ente público, de dados pessoais custodiados por concessionária de serviço público há de assegurar mecanismos de proteção e segurança desses dados.

3. O Regulamento Sanitário Internacional (RSI 2005) adotado no âmbito da Organização Mundial de Saúde exige, quando essencial o tratamento de dados pessoais para a avaliação e o manejo de um risco para a saúde pública, a garantia de que os dados pessoais manipulados sejam “adequados, relevantes e não excessivos em relação a esse propósito” e “conservados apenas pelo tempo necessário.” (artigo 45, § 2o, alíneas “b” e “d”).

4. Consideradas a necessidade, a adequação e a proporcionalidade da medida, não emerge da Medida Provisória no 954/2020, nos moldes em que editada, interesse público legítimo no compartilhamento dos dados pessoais dos usuários dos serviços de telefonia.

5. Ao não definir apropriadamente como e para que serão utilizados os dados coletados, a MP no 954/2020 desatende a garantia do devido processo legal (art. 5o, LIV, da CF), na dimensão substantiva, por não oferecer condições de avaliação quanto à sua adequação e necessidade, assim entendidas como a compatibilidade do tratamento com as finalidades informadas e sua limitação ao mínimo necessário para alcançar suas finalidades.

6. Ao não apresentar mecanismo técnico ou administrativo apto a proteger, de acessos não autorizados, vazamentos acidentais ou utilização indevida, seja na transmissão, seja no tratamento, o sigilo, a higidez e, quando o caso, o anonimato dos dados pessoais compartilhados, a MP no 954/2020 descumpre as exigências que exsurgem do texto constitucional no tocante à efetiva proteção dos direitos fundamentais dos brasileiros.

7. Mostra-se excessiva a conservação de dados pessoais coletados, pelo ente público, por trinta dias após a decretação do fim da situação de emergência de saúde pública, tempo manifestamente excedente ao estritamente necessário para o atendimento da sua finalidade declarada.

8. Agrava a ausência de garantias de tratamento adequado e seguro dos dados compartilhados a circunstância de que, embora aprovada, ainda não vigora a Lei Geral de Proteção de Dados Pessoais (Lei no 13.709/2018), definidora dos critérios para a responsabilização dos agentes por eventuais danos ocorridos em virtude do tratamento de dados pessoais. O fragilizado ambiente protetivo impõe cuidadoso escrutínio sobre medidas como a implementada na MP no 954/2020.

9. O cenário de urgência decorrente da crise sanitária deflagrada pela pandemia global da COVID-19 e a necessidade de formulação de políticas públicas que demandam dados específicos para o desenho dos diversos quadros de enfrentamento não podem ser invocadas como pretextos para justificar investidas visando ao enfraquecimento de direitos e atropelo de garantias fundamentais consagradas na Constituição.

10. Fumus boni juris e periculum in mora demonstrados. Deferimento da medida cautelar para suspender a eficácia da Medida Provisória no 954/2020, a fim de prevenir danos irreparáveis à intimidade e ao sigilo da vida privada de mais de uma centena de milhão de usuários dos serviços de telefonia fixa e móvel.

11. Medida cautelar referendada[12].

Não obstante já encarado como verdadeiro direito fundamental em razão de entendimento jurisprudencial, no dia 10 de fevereiro de 2022, o Congresso Nacional promulgou a Emenda Constitucional n. 115/2022, acrescendo ao artigo 5º da Constituição Federal o inciso LXXIX, que prevê, nos termos da lei, "o direito à proteção dos dados pessoais, inclusive nos meios digitais".

Note-se que a referida positivação expressa no texto constitucional trouxe duas consequências relevantes. A primeira, garantiu que a proteção de dados pessoais assumisse o status de direito fundamental explícito, assegurando que receba tratamento de cláusula pétrea e seja reconhecido como direito irrenunciável, inalienável, inviolável e essencial à vida digna. A segunda, é que a promulgação da EC 115/2022 evidencia a distinção entre proteção de dados e privacidade, porquanto, se fossem expressões sinônimas, não haveria necessidade de positivar expressamente o direito à proteção de dados pessoais, porquanto o direito à privacidade já contava com previsão expressa no inciso X do artigo 5º da Constituição Federal.

Assim, o advento da EC 115/2022 fez com que a proteção de dados pessoais passasse a – definitivamente – ser concebida como direito autônomo, e não como simples desdobramento do direito à privacidade, sendo esse último comumente associado ao princípio da inviolabilidade, sobretudo das comunicações.

3.1. A proteção dos Dados Pessoais: um apêndice do direito à privacidade ou um direito autônomo?

Conforme se verificou no tópico acima, o início da história brasileira foi marcado pelo tratamento do direito à proteção de dados pessoais como um apêndice do direito à privacidade.

A discussão mundial em torno da essencialidade de determinados interesses essenciais para a vida humana tem como marco essencial o Pós-Guerra Mundial (1939) e a Declaração Universal de Direitos Humanos (1948).

No Brasil, já sob a égide do Código Civil de 1916, parcela da doutrina identificava em seus estudos determinados direitos da personalidade. No texto codificado, contudo, não havia qualquer referência em relação à proteção dos direitos da personalidade, porquanto, como se sabe, essa foi justamente uma das principais inovações do Código Civil de 2002[13].

Assim é que, dada a amplitude dos direitos da personalidade, tem-se que, à época, a despeito de não haver uma preocupação excessiva em relação à proteção dos dados pessoais, havia um objetivo comum de todo o ordenamento jurídico, qual seja, o de conformar a proteção da dignidade da pessoa humana[14].

Quando do advento da Constituição Federal de 1988, fora consagrado, agora expressamente e em sede constitucional, o direito à privacidade. Pouco tempo depois, a promulgação do Código Civil de 2002 trouxe, também, a previsão infraconstitucional do direito à privacidade.

Diante desse quadro, o direito à privacidade passou a ser analisado sob dois prismas. O primeiro, relaciona-o ao direito constitucional, de modo que o direito à privacidade é tratado como algo relacionado diretamente aos direitos fundamentais. O segundo, tratando a privacidade como um atributo individual e essencial para a concretização dos direitos da personalidade. Nesse sentido:

Como esses ângulos revelam conteúdos semelhantes e convergentes, que se destinam à promoção e tutela da dignidade da pessoa humana, entendemos que, no tocante à natureza jurídica, o direito à privacidade pode ser enquadrado como um direito fundamental da personalidade humana[15].

No âmbito doutrinário, foi o artigo “The right to privacy”, de 1890, que marcou o início das discussões sobre o direito à privacidade. No artigo, Warren e Brandeis denunciaram a invasão que diversos aparatos tecnológicos detinham sobre a vida privada dos indivíduos, esclarecendo, ainda, um outro aspecto do direito à privacidade[16]. Pela clareza solar das palavras, cita-se:

Em breve retrospecto, a discussão sobre privacidade foi inicialmente trazida ao direito pelos estadunidenses Warren e Brandeis que, no ano de 1890, publicaram artigo sobre o chamado right to be left alone (direito de estar só). A construção dos autores era uma resposta à inovação tecnológica, qual seja, a invenção da fotografia, que possibilitava novas formas de invasão da autonomia privada. Acontece que, com o passar dos anos, tal visão passou a ser insuficiente diante das novas formas de coleta e processamento de dados pelo Estado. E era essa a discussão em tela no caso Olmstead vs United States, no qual, ainda em 1928, Brandeis denunciou o risco da intromissão estatal sobre as informações pessoais. Como se vê, privacidade, proteção de dados e progresso tecnológico andam lado a lado.

Foi neste contexto que veio a citada decisão alemã, que adicionou a dimensão da autodeterminação informativa ao direito à privacidade, retirando a discussão de um âmbito estritamente privado e trazendo uma dimensão objetiva à intimidade. Diante da capacidade inédita de processamento de dados sobre os cidadãos proporcionada pela informática, a Corte reconheceu a existência do direito à autodeterminação informacional como forma de garantir, ao cidadão, o direito de, nas lições de Doneda [4], ter controle sobre a amplitude da divulgação ou utilização de aspectos da personalidade por meio de seus dados. Como se vê, há 37 anos, a Alemanha cumpria a missão de atualizar os direitos fundamentais em relação à tecnologia vigente[17].

No decorrer do século XX, com o amplo desenvolvimento tecnológico e o surgimento rápido e acelerado da chamada sociedade da informação, o direito à privacidade passa a sofrer uma mudança substancial.

Seu conteúdo é ampliado significativamente, de modo que, de um direito que possuía uma dimensão estritamente negativa e conotação quase que narcisista, o direito à privacidade passou a ser considerado como uma garantia de controle do indivíduo sobre as próprias informações e serviu como pressuposto para os regimes democráticos[18].

Por muito tempo, a proteção jurídica dos direitos da personalidade se deu com base no conteúdo do direito à privacidade. Isso porque, se a privacidade era compreendida como uma projeção da personalidade do indivíduo, então, por consequência, deveria ela ser tutelada pela legislação e pela jurisprudência como um verdadeiro direito fundamental[19].

Entendia-se que o bem jurídico tutelado pelo direito à privacidade era duplo: ao mesmo tempo em que protegia a integridade moral das pessoas, levando em consideração o componente como dignidade da pessoa humana, também cuidava de proteger as liberdades em amplo sentido[20].  

O próprio julgado histórico do Supremo Tribunal Federal que reconheceu a proteção de dados como um direito fundamental – antes do advento da EC 115/2022 -, o fez tratando-o como um apêndice do direito à privacidade. Veja-se:

(...) 6. Quero enfatizar, por fim, que não questiono, em momento algum, a relevância, a seriedade e a legitimidade do trabalho desempenhado pelo IBGE, desde a sua fundação na década de 1930, ao produzir dados e informações estatísticas com reconhecida qualidade técnica. Não estou a afirmar que de modo algum os dados objeto da Medida Provisória no 954/2020 possam ser compartilhados com o IBGE. O que explicito, neste juízo perfunctório, é que não se pode fazê-lo de uma forma que não garanta mecanismos de proteção compatíveis com as cláusulas constitucionais assecuratórias da liberdade individual (art. 5o, caput), da privacidade e do livre desenvolvimento da personalidade (art. 5o, X e XII).

Assim como o exigir que automóveis sejam providos de freios, airbags e espelhos retrovisores não significa criar obstáculos para a indústria automobilística, o exigir que normas que envolvam direitos fundamentais e da personalidade observem requisitos mínimos de adequação constitucional tampouco pode ser lido como embaraço à atividade estatal[21].

Entretanto, a amplitude do conteúdo do direito à privacidade não era suficiente para a proteção adequada dos dados pessoais. É o que há muito já alertava Danilo Doneda[22]:

É justamente neste desenvolvimento como um direito fundamental que percebemos que a necessidade de funcionalização levou ao seu desdobramento - em consonância com boa parte da experiência doutrinária, legislativa e jurisprudencial. Este desdobramento verifica-se, por exemplo, pela forma com que o tema foi tratado na elaboração da recente Carta dos Direitos Fundamentais da União Européia (hoje também integrante do projeto de Tratado Constitucional da União Europeia), cujo art. 7º trata do já tradicional direito ao “respeito pela vida familiar e privada”; ao passo que seu art. 8º é dedicado especificamente à “proteção dos dados pessoais”. A Carta, desta forma, reconhece a complexidade dos interesses ligados à privacidade e a disciplina em dois momentos (e artigos) distintos, o primeiro destinado a tutelar o momento individualista de intromissões exteriores; e o segundo para tutela da dinâmica dos dados pessoais em suas várias modalidades - sem que seja fragmentada a sua fundamentação, que é a dignidade do ser humano, matéria do capítulo I da carta que contém os dispositivos mencionados.

Viu-se a necessidade de se tratar o direito à proteção de dados de forma autônoma, porquanto constatou-se que os dados pessoais aparecem como instrumento que permitem ao seu titular desenvolver sua personalidade livremente, indicando um prolongamento individual e uma demonstração de suas relações pessoais e sociais[23].

Não por outra razão, o advento da EC n. 115/2022 representou um marco fundamental para a evolução da tutela dos dados pessoais, porquanto foi esse o momento em que – de forma definitiva – o direito à proteção de dados foi desvinculado do direito à privacidade.

Como consequência da alteração constitucional, tem-se, nos dizeres de Ingo Sarlet[24]:

Mesmo que se pudesse, como já o fizera o STF, reconhecer a proteção de dados como um direito fundamental implícito, daí extraindo todas as consequências atinentes à tal condição, o fato é que sua positivação formal, em sendo o caso, carrega consigo uma carga positiva adicional, ou seja, agrega (ou, ao menos, assim o deveria) valor positivo substancial em relação ao atual estado da arte no Brasil. 

Dentre as razões que aqui poderiam ser colacionadas, que aqui reiteramos (visto que, como boa parte do presente texto, em parte já veiculadas em uma das nossas colunas da ConJur há algum tempo) destacam-se: 

- a despeito das interseções e articulações com outros direitos, fica assegurada à proteção de dados a condição de direito fundamental autônomo, com âmbito de proteção próprio;

- ao direito à proteção de dados passa a ser atribuído de modo inquestionável o pleno regime jurídico-constitucional relativo ao seu perfil de direito fundamental em sentido material e formal já consagradas no texto da CF, bem como na doutrina e na jurisprudência constitucional brasileira, ou seja: 

1) como parte integrante da constituição formal, os direitos fundamentais possuem status normativo superior em relação a todo o restante do ordenamento jurídico nacional;

2) na condição de direito fundamental, assume a condição de limite material à reforma constitucional, devendo, ademais disso, serem observados os assim chamados limites formais, circunstanciais e temporais, nos termos do artigo 60, parágrafos 1 a 4º, da CF[1]; 

3) também as normas relativas ao direito à proteção de dados são — nos termos do artigo 5º, º 1º, CF — dotadas de aplicabilidade imediata (direta) e vinculam diretamente todos os atores públicos, bem como — sopesadas as devidas ressalvas — os atores privados.

4) Mediante a redação dada pela EC 115/22, o direito fundamental à proteção de dados pessoais passa a estar submetido a uma expressa reserva legal simples, que empodera o legislador infraconstitucional para efeito de estabelecer intervenções restritivas no âmbito de proteção do direito, implicando, por outro lado, a observância das exigências da reserva de lei, pena de inconstitucionalidade da restrição. 

5) O direito fundamental à proteção de dados assume particular relevância, pelo fato da existência de uma série de lacunas regulatórias, posto que a LGPD não contempla os setores da segurança nacional, segurança pública, investigação criminal, execução penal, apenas para citar os mais relevantes. Por tal razão, com o reconhecimento do referido direito fundamental, passa a inexistir uma "zona livre" de proteção dos dados pessoais na ordem jurídica brasileira. 

Acrescente-se, outrossim, que, a teor do artigo 5º, §§ 2º e 3º, CF, o marco normativo que concretiza e formata o âmbito de proteção e as funções e dimensões do direito (fundamental) à proteção de dados, é também integrado — embora tal circunstância seja usualmente negligenciada — pelos tratados internacionais de direitos humanos ratificados pelo Brasil, — destacando-se, para o efeito da compreensão adequada e manejo correto em nível doméstico — a Convenção Americana de São José da Costa Rica e o Pacto Internacional de Direitos Civis e Políticos, incluindo a sua interpretação pelas instâncias judiciárias e não judiciárias respectivas.

Hoje, portanto, não resta mais dúvida de que o direito à proteção de dados não mais pode ser compreendido como um mero apêndice do direito à privacidade.

Trata-se, pois, de inegável direito fundamental autônomo e que, portanto, merece proteção independentemente de sua relevância aferida com base em outros direitos fundamentais.

4 A RESPONSABILIZAÇÃO CIVIL COMO MECANISMO JURÍDICO DE PROTEÇÃO DOS DADOS PESSOAIS

Dada a relevância do direito à proteção dos dados pessoais – agora direito substancial e formalmente fundamental -, tem-se que o ordenamento jurídico brasileiro dispõe acerca das consequências jurídicas para casos em que houver violação à esse direito: a responsabilização administrativa, civil e penal do agente violador.

Para os fins do presente trabalho, importa, no momento, analisar as regras que dispõem acerca da responsabilização civil prevista na Lei Geral de Proteção de Dados.

A responsabilidade civil é comumente compreendida como um de dever jurídico de reparação, em razão do qual se impõe a alguém um dever de reparação de eventual prejuízo advindo da violação de outro dever jurídico alheio.

Nota-se, pois, que a relação entre o conceito etimológico e o conceito jurídico da palavra responsabilidade é bem próxima, pois ambas apontam para uma ideia de uma obrigação e de uma contraprestação, sendo que, ainda, o objetivo maior desta é a reparação do dano causado por uma conduta contrária ao direito[25].

Para Cavalieri Filho, a responsabilização civil de um agente exige a presença de dois deveres jurídicos: um originário e um sucessivo. Isso porque, conforme esclarece o autor, a responsabilidade civil consiste no dever jurídico gerado em razão da violação de um dever jurídico primário, tendo como finalidade a recomposição do dever jurídico violado. Nesse sentido:

A responsabilidade civil ocorre quando há violação de direito de uma pessoa por outrem, portanto, caberia a necessidade de indenização por extensão do dano. Nesse sentido a pessoa que pratica este ato na vida cível pode praticar por si só ou quando alguém sob sua responsabilidade o pratica. À pessoa que pratica dano a outrem por ato próprio atribuímos à responsabilidade direta, que é a regra geral. Muito embora, quando um agente é responsabilizado por um fato praticado por outro, o qual está sob sua custódia, acontecerá a responsabilidade indireta[26].

Para Rui Stoco, a ideia de não prejudicar o outro também é ponto presente no conceito de responsabilidade civil:

“A noção da responsabilidade pode ser haurida da própria origem da palavra, que vem do latim respondere, responder a alguma coisa, ou seja, a necessidade que existe de responsabilizar alguém pelos seus atos danosos. Essa imposição estabelecida pelo meio social regrado, através dos integrantes da sociedade humana, de impor a todos o dever de responder por seus atos, traduz a própria noção de justiça existente no grupo social estratificado. Revela-se, pois, como algo inarredável da natureza humana”[27].

Como se vê, um dos fundamentos da responsabilidade civil consiste, pois, no próprio ideal de se fazer justiça, porquanto o instituto impõe a todos o dever de responder por seus atos quando estes gerarem algum tipo de prejuízo. A responsabilidade civil é, portanto, instrumento de concretização da justiça no caso concreto.

Em breves linhas históricas, tem-se que a responsabilidade civil era, na Antiguidade, vinculada à própria punição estatal. Prevalecia, à época, a função punitiva do instituto, ocasião em que o que importava era mesmo a punição do ofensor. Com o passar do tempo, a responsabilidade civil acabou por deixar, gradativamente, de se vincular à punição do agente ofensor, e passou a se relacionar ao princípio elementar de que o dano injusto, assim entendida a lesão a interesse jurídico merecedor de tutela, deve ser reparado. Essa mudança de pensamento ocasionou uma substancial mudança na função função precípua da responsabilidade civil: a reparação patrimonial do dano sofrido. A função reparatória da responsabilidade civil foi, assim, ganhando força.

Essa função precípua de reparação patrimonial era, inicialmente, vinculada à exigência de um elemento subjetivo por parte do ofensor. É dizer, seguindo-se a ideologia liberal e individualista da modernidade, a responsabilidade subjetiva (com base na culpa) centrava-se na ideia de que ninguém poderia ser obrigado a reparar um dano se não houvesse sido o seu causador, agindo intencionalmente (dolo) ou, ao menos, descuidadamente (culpa). Assim, para a responsabilização de uma pessoa pelos danos causados a outra, exigia-se a presença de um elemento subjetivo na sua conduta, que é o dolo (intenção de causar o dano) ou a culpa “stricto sensu” (o descuido da conduta: negligência, imprudência ou imperícia).

Com o passar do tempo, o princípio da culpa, vinculado à ideia de liberdade individual, passou a não mais ser suficiente para a solução dos atos ilícitos surgidos a partir da Revolução Industrial, a qual, em razão da inserção da máquina no processo industrial e da produção em série, acabou por ocasionar novos problemas que não encontram solução adequada no princípio da culpa.

Foi daí que surgiu o princípio do risco, que fundamentou – e fundamenta ainda hoje – a responsabilidade civil objetiva, visando concretizar o valor fundamental da igualdade. O novo raciocínio é, portanto, que haja o dever de indenizar independente da comprovação de dolo ou culpa, bastando que, além do dano, seja comprovado o nexo causal entre ele e uma dada atividade.

No Código Civil de 2002, a cláusula geral de responsabilidade civil objetiva encontra-se positivada no parágrafo único do art. 927, o qual assim dispôs: “Haverá obrigação de reparar o dano, independentemente de culpa, nos casos especificados em lei, ou quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem”.

Dado o breve apanhado, verifica-se que a tendência jurídica brasileira é a de, cada vez mais, desvincular-se da função punitiva da reparação civil. E, se assim é, então a identificação do verdadeiro ofensor da violação nem sempre se faz necessária, porquanto, a partir do momento em que se tem um dano concreto de um ou mais indivíduos específicos, inegável que, no trato do conjunto social, se teve uma violação ao princípio da igualdade entre os membros da sociedade.  

Por isso, tendo em vista que, cada vez mais, busca-se a concretização do princípio da igualdade, tem-se que a intervenção para combater abusos foi se tornando uma medida cada vez mais necessária, e, no âmbito da responsabilidade civil, tornou o afastamento da culpa uma tendência.

No âmbito da Lei Geral de Proteção de Dados, verifica-se que a ideia fundamental da responsabilidade civil é de que o tratamento de dados feito pelo controlador ou pelo operador não deve ocasionar quaisquer consequências negativas ou causar qualquer dano ao titular. Caso isso ocorra, é necessário que o agente responsável repare a situação imediatamente.

A sensibilidade dos dados pessoais de cada indivíduo é, atualmente, um dos bens jurídicos que mais se encontra em risco. Não por outra razão, a LGPD prevê, detalhadamente, o procedimento a ser seguido para fins de se alcançar um tratamento regular de dados. Ainda, a própria lei prevê que o tratamento de dados é considerado irregular quando não seguir a LGPD ou quando não proporcionar o devido nível de segurança de dados. Tal segurança deve ser assegurada levando em consideração a forma com que o tratamento é realizado, os riscos que podem ser esperados e as tecnologias disponíveis no momento. Se acontecerem danos decorrentes da desobediência das diretrizes de segurança de dados, o agente responsável por essas falhas — seja o controlador, seja o operador — será responsabilizado.

Em matéria de reparação de danos decorrentes do tratamento de dados, a LGPD prevê, em seus arts. 42 a 45, a responsabilidade civil dos agentes de tratamento de dados, controlador e operador, em relação ao titular dos dados.

A despeito de ainda haver grande controvérsia sobre o tema, parece prevalecer que o legislador ordinário não acompanhou os avanços legislativos em tema de responsabilidade civil no âmbito da Lei Geral de Proteção de Dados. A propósito, são precisas as palavras de Gustavo Tepedino, Aline de Miranda Terra e Gisela Sampaio da Cruz Guedes sobre o tema:

"A lógica da responsabilidade objetiva é outra: não cabe discutir cumprimento de deveres, porque a responsabilidade objetiva não decorre do descumprimento de qualquer dever jurídico". Quando se discute cumprimento de deveres, o que no fundo está sendo analisado é se o agente atuou ou não com culpa. Assim, apesar de a LGPD não ser explícita em relação à natureza da responsabilidade dos agentes de tratamento de dados, como é o Código de Defesa do Consumidor ao adotar a responsabilidade objetiva, a interpretação sistemática da LGPD leva à conclusão de que o regime adotado por este diploma foi mesmo o da responsabilidade subjetiva.

Não obstante as semelhanças com o Código de Defesa do Consumidor, é essencial destacar que, enquanto o Código de Defesa do Consumidor tem pelo menos dois artigos expressamente indicando a natureza objetiva da responsabilidade (arts. 12 e 14 – ambos se valem da expressão “independentemente de culpa”, que deixa clara a opção do legislador pela responsabilidade objetiva), não há qualquer norma análoga na LGPD. O art. 42 da LGPD não faz referência expressa à culpa como elemento da responsabilidade civil, mas também não faz qualquer alusão ao risco como fundamento da responsabilidade objetiva"[28].

Ainda, mais a frente, os mesmos doutrinadores destacam que:

"O único dispositivo da LGPD que remetia para a responsabilidade objetiva foi retirado no trâmite legislativo, o que é um dado significativo para a interpretação da lei. O próprio histórico de tramitação do projeto de lei que deu origem à LGPD evidencia, portanto, a opção do legislador pela responsabilidade subjetiva. A versão inicial do Projeto de Lei n.º 5276 trazia, no Capítulo sobre "Transferências internacionais de dados”, uma regra geral expressa de responsabilidade solidária e objetiva desses agentes pelos danos causados em virtude do tratamento de dados (art. 35).

(...)

Diferentemente desse primeiro texto, todas as versões subsequentes do projeto, até a versão finalmente sancionada da LGPD, passaram a não mais mencionar, como regra geral, um regime de solidariedade ou objetividade na responsabilidade pelos danos decorrentes do tratamento de dados pessoais. A referência expressa à responsabilidade objetiva foi completamente eliminada do texto legal. Paralelamente a isso, ainda no período de tramitação do projeto, o caput do art. 42 da LGPD sofreu uma alteração importante: a expressão"em violação à legislação de proteção de dados pessoais" foi acrescentada, o que também evidencia a opção do legislador pela responsabilidade subjetiva. Os agentes de tratamento não responderão em toda e qualquer situação em que causarem danos a terceiros, mas apenas quando isso ocorrer em violação à legislação de proteção de dados pessoais, ou seja, quando a sua conduta não se adequar ao standard estabelecido pelo próprio legislador"[29].

Assim é que a regra geral da responsabilidade civil no âmbito da Lei Geral de Proteção de Dados é o art. 42, caput, o qual acaba por reproduzir aquilo que é definido no Código Civil de 2002 como forma de reparação de danos, que é a responsabilidade subjetiva.

A responsabilidade objetiva é prevista como exceção na LGPD, sendo aplicada, por determinação legal, às hipóteses em que se constatar a existência de uma vulnerabilidade estrutural de uma das partes.

No caso do tratamento de dados, a responsabilidade civil objetiva tem vez quando se tratar de situação fática regida por legislação específica – porquanto a própria LGPD dispõe que deve ser dada prevalência aos diplomas específicos.

Pode-se ressaltar, portanto, que a responsabilidade objetiva há de ser aplicada em, ao menos, duas hipóteses: tratamento de dados no âmbito das relações de consumo, por força do art. 45 da Lei, e tratamento de dados pelo poder público, conforme art. 37, §6º da Constituição.

5 CONCLUSÃO

Conforme se verificou, o direito à proteção dos dados pessoais era, inicialmente, tratado como verdadeiro apêndice do direito fundamental à privacidade. Isso porque, ainda que tenha sido reconhecido como direito autônomo em acórdão publicado pelo Supremo Tribunal Federal, o fato de inexistir disposição constitucional – à época -, fez com que a própria fundamentação do acórdão o retirasse, implicitamente, do direito fundamental à privacidade e à liberdade individual.

Nessa linha, foi de grande relevância a promulgação da Emenda Constitucional n. 115/2022, que erigiu, definitiva e explicitamente, o direito à proteção dos dados pessoais como um direito fundamental.

A despeito de atualmente o direito à proteção dos dados pessoais contar com previsão constitucional expressa, o Constituinte o estabeleceu como norma de eficácia limitada, exigindo, para a plenitude de seus efeitos, que haja a sua regulamentação por meio de lei ordinária.

Daí a relevância da Lei n° 13.709/2018, chamada de Lei Geral de Proteção de Dados, que estabelece conceitos relevantes, fundamentos, princípios, procedimentos de tratamento de dados, bem como a forma de responsabilização civil e administrativa de eventuais ofensores do direito tutelado. Tudo isso, evidentemente, com a finalidade de instituir um sistema que visa maior transparência e segurança, buscando, por consequência, evitar sobremaneira possíveis falhas e, quando assim não for possível, que seja garantida a justa reparação em favor do titular que teve seus dados violados.

Dada a finalidade do presente trabalho, buscou-se aprofundar no tema afeto à responsabilidade civil prevista na LGPD, situando-a no contexto evolutivo do próprio instituto e na função precípua que prevalece atualmente.

Viu-se que, no âmbito da reparação civil, a despeito das inúmeras discussões doutrinárias, a LGPD estabeleceu como regra geral a responsabilidade civil subjetiva, exigindo, em seu art. 42, caput, a necessidade de se demonstrar o elemento subjetivo do agente para que, aí sim, seja viável condená-lo à reparação de danos. De forma excepcional, a LGPD estabeleceu a possibilidade de prevalência da responsabilidade objetiva, quando for o caso de existir legislação específica para a situação fática que assim preveja.

Assim é que, conforme demonstrado, destacou-se que, para a correta aplicação do sistema de responsabilidade civil previsto na LGPD, o jurista deve, inicialmente, considerar a abertura – deixada pelo próprio legislador – para que prevaleça, em relação à legislação específica, o tratamento de responsabilização civil nela previsto. Após, inexistindo lei específica sobre o assunto, caberá a aplicação da regra geral estabelecida no art. 42, caput, da LGPD.

6 REFERÊNCIAS BIBLIOGRÁFICAS

ALEXY, Robert. Teoria dos Direitos Fundamentais. 1. ed. São Paulo: Malheiros Editores, 2006.

BAUMAN, Zygmunt. 44 cartas do mundo líquido moderno. Rio de Janeiro: Jorge Zahar, 2011.

BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro: Forense, 2018.

BRASIL. Constituição da República Federativa do Brasil. Promulgada em 05 de outubro de 1988. Disponível em <http://www.planalto.gov.br/ccivil_03/Constituicao/Constituicao.htm>. Acesso em 01 de Agosto de 2022

BRASIL. Lei Geral de Proteção de Dados Pessoais. Lei n. 13.709, de 14 de agosto de 2018. Disponível em:<http://www.planalto.gov.br/ccivil_03/_ato2015- 2018/2018/lei/L13709.htm>. Acesso em 01 de Agosto de 2022

BRASIL. Lei nº 10.406, de 10 de janeiro de 2002. Institui o Código Civil. Brasília, DF: Presidência  da            República.       Disponível em: http://www.planalto.gov.br/ccivil_03/LEIS/2002/L10406.htm. Acesso em 02 de Agosto de 2022

BRASIL. Lei nº 12.965, de 23 de abril de 2014. Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. Brasília, DF: Presidência da República. Disponível em: http://www.planalto.gov.br/CCIVIL_03/_Ato2011- 2014/2014/Lei/L12965.htm. Acesso em 02 de Agosto de 2022.

BRASIL. Lei nº 8.078, de 11 de setembro de 1990. Dispõe sobre a proteção do consumidor e dá outras providências. Brasília, DF: Presidência da República. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/l8078.htm. Acesso em 2 de agosto de 2022.

CANCELIER, Mikhail Vieira de Lorenzi. Infinito particular: Privacidade no século XXI e a manutenção do direito de estar só. Florianópolis, 2016.

CASTELLS, M. A sociedade em rede. 3. ed. São Paulo: Paz e Terra, 2000.

CAVALIERI FILHO, Sérgio. Programa de responsabilidade civil. 9. ed. rev. e ampl. São Paulo: Atlas, 2008.

CAVALIERI FILHO, Sérgio. Programa de responsabilidade civil. 10. ed.rev e ampl. São Paulo: Atlas, 2012.

COELHO, A. C. B. A Lei Geral de Proteção de Dados Pessoais Brasileira como meio de efetivação dos direitos da personalidade. João Pessoa: [s.n.], 2019.

DONEDA, Danilo. A proteção de dados pessoais como direito fundamental. Revista Espaço Jurídico 12/103. Joaçaba: Unoese, 2011.

DONEDA, Danilo. Da privacidade à proteção de dados pessoais. Rio de Janeiro: Renovar, 2006.

FILHO, M. M. Novo Código de Processo Civil Comentado. 3. ed. São Paulo: Atlas, 2018.

FILHO, S. C. Programa de Responsabilidade Civil. 13. ed. São Paulo: Atlas, 2019.

FORTES, Vinícius Borges. Os direitos de privacidade e a proteção de dados pessoais na internet. Rio de Janeiro: Editora Lumen Juris, 2016. JORNAL OFICIAL DA UNIÃO EUROPEIA. Regulamento (UE) 2016/679. Disponível em: <https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32016R0679&from=DA>. Acesso em 01 de Agosto de 2022

GODINHO, A. M. O fenômeno da constitucionalização: um novo olhar sobre o Direito Civil. Revista Libertas, Janeiro 2013.

GONÇALVES, C. R. Responsabilidade Civil. 17. ed. São Paulo: Saraiva, 2016.

GRINOVER, A. P. Código Brasileiro de Defesa do Consumidor - Comentado pelos Autores do Anteprojeto. 11. ed. Rio de Janeiro: Forense, 2017.

JÚNIOR, S. R. C. D. S. A Regulação jurídica da proteção de dados pessoais no Brasil. Trabalho de Conclusão de Curso (Bacharelado em Direito) PUC Rio. Rio de Janeiro: [s.n.], 2018.

LIMA, Caio César Carvalho. Marco Civil da Internet: Garantia da privacidade e dados pessoais à luz do marco civil da internet. Organizadores: George Salomão e Ronaldo Lemos. São Paulo: Atlas, 2014.

LÔBO, P. Direito Civil: parte geral. 6. ed. São Paulo: Saraiva, 2017.

MALDONADO, V. N.; BLUM, R. O. LGPD: Lei Geral de Proteção de Dados comentada. 1. ed. São Paulo: Revista dos Tribunais, 2019.

MARINELI, Marcelo Romão. Privacidade e redes sociais virtuais. Rio de Janeiro: Lumen Juris, 2017.

MENDES, Laura Schertel. Privacidade, proteção de dados e defesa do consumidor: linhas gerais de um novo direito fundamental. São Paulo: Saraiva, 2014.

MENDES, Laura Schertel. Transparência e privacidade: violação e proteção da informação pessoal na sociedade de consumo. Dissertação (Mestrado) - Faculdade de Direito da Universidade de Brasília. Brasília, 2008.

PINHEIRO, P. P. Proteção de Dados Pessoais: Comentários à Lei nº 13.709/2018. 1ed. São Paulo: Saraiva Educação, 2018.

RODOTÀ, Stefano. A vida na sociedade da vigilância – a privacidade hoje. Organização, seleção e apresentação de Maria Celina Bodin de Moraes. Tradução: Danilo Doneda e Luciana Cabral Doneda – Rio de Janeiro: Renovar, 2008.

ROSENVALD, N. As funções da responsabilidade civil: a reparação e a pena civil. 3. ed. São Paulo: Saraiva, 2017.

SANTOS, Manoel J. Pereira dos. Responsabilidade Civil na Internet e demais Meios de Comunicação. 2. ed. São Paulo: Saraiva, 2014.

STOCO, Rui. Tratado de responsabilidade civil: doutrina e jurisprudência. 7 ed.. São Paulo Editora Revista dos Tribunais, 2007.

SOUZA, Carlos Aurélio Mota de. O cidadão, a sociedade, a mídia e a justiça. In: MARTINS FILHO, Ives Gandra; MONTEIRO JUNIOR, Antônio Jorge (coordenadores). Direito à privacidade. Ideias e Letras: São Paulo, 2005.