Editora responsável: Profa. Dra. Fayga Bedê
O presente artigo se propõe a investigar o tema da responsabilidade civil por danos decorrentes do tratamento de dados pessoais, fazendo-o nos termos e nos limites em que regulado pela Lei Federal nº 13.709, de 14 de agosto de 2018, cognominada Lei Geral de Proteção de Dados Pessoais (LGPD). A indagação central a ser respondida, por não ter sido definida de forma clara pelo legislador infraconstitucional, diz respeito ao tipo de responsabilidade civil previsto na LGPD, se de índole objetiva ou subjetiva. Pretende-se analisar, em complemento, se a regra de Hand, formulada pelo magistrado estadunidense Learned Hand, pode ser útil à delimitação da responsabilidade por negligência dos agentes de tratamento de dados pessoais.
O método de pesquisa utilizado será o qualitativo-dedutivo, com vistas à confirmação das hipóteses suscitadas para a resolução da problemática exposta. Para tanto, serão estabelecidos os conceitos de responsabilidade civil objetiva e subjetiva, bem como analisados os aspectos centrais da legislação especial relacionados à referida responsabilidade, notadamente no que diz respeito aos agentes de tratamento de dados pessoais. Não tendo o legislador esclarecido a natureza da responsabilidade civil regulada pela LGPD, será investigado se o tratamento de dados pessoais pode ser inserido no rol de atividades de risco, a atrair a incidência do art. 927, parágrafo único, do Código Civil brasileiro.
Encontrou-se uma relação entre a responsabilidade civil prevista na lei protetiva de dados pessoais e a regra de Hand, sugerindo-se que a compreensão do juiz estadunidense Learned Hand pode ser útil à delimitação da responsabilidade civil decorrente do tratamento de dados pessoais. Evidenciou-se, ainda, que o tratamento de dados pessoais é atividade múltipla, nem sempre passível de enquadramento na seara das atividades de risco.
Utilização da regra de Hand como critério útil para aquilatar a responsabilidade civil dos agentes de tratamento de dados pessoais em casos de responsabilidade por negligência.
This article proposes to investigate the issue of civil liability for damages arising from the processing of personal data, under the terms and limits in which it is regulated by Federal Law No. 13.709, of August 14, 2018, known as the General Law of Personal Data Protection (LGPD). The central question to be answered, as it is not clearly defined by the infra-constitutional legislator, says with the type of civil liability provided for in the LGPD, whether objective or subjective. It is intended to analyze, in addition, whether Hand's rule, formulated by the American magistrate Learned Hand, can be useful to delimit the responsibility for negligence of agents processing personal data.
The research method used will be qualitative-deductive, with a view to confirming the hypotheses raised for the resolution of the exposed problem. For this purpose, the concepts of objective and subjective civil liability will be established, as well as the central aspects of the special legislation related to that liability, notably with regard to agents for processing personal data, will be analyzed. Since the legislator has not clarified the nature of civil liability regulated by the LGPD, it will be investigated whether the processing of personal data can be included in the list of risky activities, attracting the incidence of art. 927, sole paragraph, of the Brazilian Civil Code.
A relationship was found between civil liability provided for in the law protecting personal data and Hand's rule, suggesting that the understanding of the American judge Learned Hand can be useful for the delimitation of civil liability arising from the processing of personal data. It was also evidenced that the processing of personal data is a multiple activity, not always capable of being included in the area of risky activities.
Use of the Hand rule as a useful criterion to assess the civil liability of personal data processing agents in cases of negligence liability.
Este artículo se propone investigar el tema de la responsabilidad civil por daños y perjuicios derivados del tratamiento de datos personales, en los términos y límites en los que se regula por la Ley Federal N ° 13.709, de 14 de agosto de 2018, conocida como Ley General de Protección de Datos Personales (LGPD). La pregunta central a responder, al no estar claramente definida por el legislador infraconstitucional, dice con el tipo de responsabilidad civil prevista en la LGPD, ya sea objetiva o subjetiva. Se pretende analizar, además, si la Regla de Hand, formulada por el magistrado estadounidense Learned Hand, puede ser útil para delimitar la responsabilidad por negligencia de los agentes que procesan datos personales.
El método de investigación utilizado será cualitativo-deductivo, con el fin de confirmar las hipótesis planteadas para la resolución del problema expuesto. A tal efecto, se establecerán los conceptos de responsabilidad civil objetiva y subjetiva, así como se analizarán los aspectos centrales de la legislación especial relacionada con dicha responsabilidad, en particular en lo que se refiere a los agentes del tratamiento de datos personales. Dado que el legislador no ha aclarado la naturaleza de la responsabilidad civil regulada por la LGPD, se investigará si el tratamiento de datos personales puede incluirse en la lista de actividades de riesgo, atrayendo la incidencia del art. 927, párrafo único, del Código Civil brasileño.
Se encontró una relación entre la responsabilidad civil prevista en la ley de protección de datos personales y la Regla de Hand, sugiriendo que la comprensión del juez estadounidense Learned Hand puede ser útil para la delimitación de la responsabilidad civil derivada del tratamiento de datos personales. También se evidenció que el tratamiento de datos personales es una actividad múltiple, no siempre susceptible de ser incluida en el área de actividades de riesgo.
Uso de la Regla de Hand como criterio útil para evaluar la responsabilidad civil de los agentes procesadores de datos personales en casos de responsabilidad por negligencia.
O progresso tecnológico vivenciado nos últimos anos, notadamente a partir da década de 1980, alterou profundamente as relações sociais, antes restritas a círculos pequenos – ou não muito grandes – de pessoas. Mais recentemente, as redes sociais passaram a agrupar milhares, não raro milhões de pessoas, as quais se dizem, sem muita cerimônia, amigas ou seguidoras umas das outras.
Os impactos da inovação tecnológica foram sentidos em todas as áreas, com destaque para a economia. O modo de fazer negócios foi impactado irreversível e fortemente pelas novas tecnologias, sendo relevante notar que, hoje, as maiores empresas do mundo são aquelas que têm na tecnologia a base do seu negócio
Embora haja muitas vantagens no desenvolvimento tecnológico, mesmo na forma como ele influenciou a vida das pessoas, não é menos certo que há também problemas a serem resolvidos. Basta dizer, por exemplo, que os temas relacionados à privacidade ganharam extensa notoriedade, exatamente porque é possível saber qualquer informação, sobre qualquer pessoa e em qualquer lugar do mundo.
Até mesmo o processo eleitoral em democracias consolidadas, como a dos Estados Unidos da América do Norte, passou a sofrer o influxo e a interferência das novas tecnologias, valendo mencionar o ruidoso caso envolvendo o
Por esses e outros exemplos que poderiam ser largamente relacionados, os mais diversos países passaram a se preocupar com a proteção de dados pessoais dos seus cidadãos, cunhando leis na tentativa de proteger a privacidade e a intimidade das pessoas
A LGPD dedicou toda uma Seção (III) do seu Capítulo VI (Dos agentes de tratamento de dados pessoais) ao tema da responsabilidade e do ressarcimento de danos. São quatro artigos dedicados a disciplinar a responsabilidade civil pelos danos decorrentes da atividade de tratamento dos dados pessoais.
A Lei Geral de Proteção de Dados Pessoais, embora represente inequívoco avanço na importante seara da defesa aos direitos fundamentais da privacidade e da intimidade, poderia ter avançado mais no que concerne ao tratamento da responsabilidade civil dos agentes de tratamento. Isso porque, embora as normas encartadas na Seção III do Capítulo VI da LGPD sejam inequivocamente inspiradas no Código de Proteção e Defesa do Consumidor (Lei Federal nº 8.078/1990), o legislador da proteção de dados foi tímido, ao não deixar claro que a responsabilidade civil em apreço é de ordem objetiva – exatamente como fez o legislador do CDC
Apesar disso, passou-se a defender que a responsabilidade civil por danos decorrentes das atividades de tratamento de dados pessoais seria objetiva por força do quanto disposto no art. 927, parágrafo único, do Código Civil brasileiro. O raciocínio é simples: em sendo o tratamento de dados pessoais uma atividade de risco, a responsabilidade civil dele decorrente seria de natureza objetiva, por imposição do citado dispositivo civilista.
A questão, todavia, parece não ser assim tão simplória. Com efeito, em sendo a atividade de tratamento dos dados pessoais extremamente vasta e heterogênea, é necessário investigar se, e quando, poderá ser considerada como inserta na categoria das atividades de risco tratadas no art. 927, parágrafo único, do Código Civil brasileiro.
Em se concluindo pela não incidência da responsabilidade objetiva em todos os casos, ganha relevância a fórmula (ou regra) de Hand, criada pelo juiz estadunidense Learned Hand, ainda em 1947, quando da apreciação do caso
Não se ignora que a proteção de dados pessoais esteja na ordem do dia e que tenha papel fundamental na defesa do livre desenvolvimento da pessoa humana. A pergunta que se coloca, contudo, e que se pretende responder neste artigo é se tal defesa deve ser feita a qualquer custo, independentemente do quão relevantes sejam as probabilidades de dano aos titulares dos dados pessoais e do quão graves tais prejuízos, em ocorrendo, seriam.
A relação que se estabelecerá a seguir é relevante na exata medida das dificuldades que os agentes de tratamento encontram para garantir a segurança dos dados pessoais. Os investimentos em segurança da informação são altíssimos e nem sempre poderão assegurar que os dados pessoais tratados estarão a salvo de ataques que ponham em risco aquelas informações e os seus respectivos titulares.
Prova disso são as notícias, cada vez mais numerosas, declarando o vazamento de dados pessoais, os quais expõem, por exemplo, números do cadastro de pessoas físicas, endereços físicos e de
A fim de que a exposição seja o mais inteligível possível e que as conclusões alcançadas possam ser apreendidas como decorrência do silogismo que se construirá, cuidar-se-á de expor questões prévias relevantes, notadamente os conceitos de agentes de tratamento, tratamento de dados pessoais e responsabilidade civil, seja ela de ordem objetiva seja de ordem subjetiva.
No presente estudo, far-se-á a utilização de pesquisa bibliográfica, explicativa e descritiva, com ênfase em livros, artigos científicos, decisões judiciais, legislação positiva e demais fontes disponíveis.
O método de pesquisa utilizado será o qualitativo-dedutivo, com vistas à confirmação das hipóteses suscitadas para a resolução da problemática exposta.
Cada vez mais, a vida das pessoas se desloca de um âmbito meramente físico, biológico, para assumir contornos difusos e jamais imaginados, a ponto de alguns estudiosos mencionarem a existência de um corpo eletrônico. Não obstante seja uma simplificação perigosa a assertiva segundo a qual as pessoas são apenas os seus dados, é impossível ignorar a influência do câmbio incessante de informações na construção da identidade e no modo como os indivíduos se veem e são vistos
Há, de fato, uma espécie de projeção da personalidade em ambientes exclusivamente virtuais, como se uma parte de cada um, mais ou menos completa, fosse deixada nos incontáveis bancos de dados existentes ao redor do mundo. É possível saber, por exemplo, com razoável segurança, quais são os gostos desse ou daquele consumidor de vinhos, se ele prefere os tintos, da uva
A relevância dessas informações, e, sobretudo, o nível de impacto à privacidade e à intimidade que elas podem gerar
A modernidade traz consigo uma relação tensa entre segurança e perigo, confiança e risco, pondo em xeque a presunção de que o progresso tornaria os dissabores menos numerosos e permitiria a formação de uma ordem social prenhe de felicidade e estabilidade
O tema ora abordado é de tal maneira central na modernidade, que a proteção de dados pessoais, categoria autônoma, vem sendo reconhecida pela melhor doutrina
Para que se compreenda, contudo, o alcance da novel legislação, cujas regras impositivas podem parecer distantes da maioria das pessoas, é preciso apreender os principais conceitos encartados na LGPD, que tocam o presente trabalho. Além de fundamentais para que se entendam as conclusões ao final obtidas, servirão para que se compreenda a amplitude da legislação protetiva de dados pessoais. A conclusão, seguramente obtida a partir da exposição desses conceitos, será de que há muito mais operações de tratamento de dados pessoais do que a maioria dos indivíduos supõe.
São dois os agentes de tratamento previstos e disciplinados pela Lei Geral de Proteção de Dados Pessoais: o controlador e o operador. Este, de acordo com o art. 5º, inciso VII, é a “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador” (
Dado pessoal, de seu turno, é qualquer informação relacionada a uma pessoa natural identificada ou passível de identificação (cf. art. 5º, inciso I, da LGPD), ao passo que tratamento de dado pessoal é toda e qualquer atividade realizada com aquelas informações. Outra não é a ilação que decorre do art. 5º, inciso X, da Lei Geral, que, em elenco meramente exemplificativo, conceitua tratamento como “toda operação realizada com dados pessoais”.
Por evidência dedutiva, titular de dados pessoais é a pessoa natural identificada ou identificável, cujos dados pessoais são objeto de tratamento (cf. art. 5º, inciso V, LGPD).
A leitura dos dispositivos legais citados é suficiente para que se compreenda que o tratamento de dados pessoais envolve atividades e alcança pessoas em nível muito maior do que o ordinariamente imaginado. Toda e qualquer operação com dados pessoais, desde que não esteja incluída nas exceções do art. 4º da LGPD, será disciplinada pela Lei Geral, inclusive com vistas à responsabilização dos agentes de tratamento envolvidos.
Sobre o tema, em obra dedicada ao estudo da Lei Geral de Proteção de Dados Pessoais (
Conclui-se, desse modo, que a LGPD adotou a definição expansionista, ao definir dado pessoal como “informação relacionada a pessoa natural identificada ou identificável”. De maneira incensurável, o legislador de 2018 cuidou de não citar exemplos de dados pessoais – como fez o Regulamento do Marco Civil da Internet (Decreto n.º 8.771/2016) –, franqueando aos intérpretes da Lei Geral a determinação do sentido e do alcance da norma.
Logo se percebe que a LGPD, pela amplitude dos principais conceitos que a informam (titular, dados pessoais, tratamento e agentes de tratamento), atingirá um semnúmero de relações jurídicas, com impactos diretos e intensos nas ordens econômica e social. É impositivo, portanto, que os titulares de dados pessoais e, principalmente, os agentes de tratamento conheçam os pormenores da responsabilidade civil que poderão tocá-los em caso de violação aos ditames da norma geral.
É importante ressaltar, a propósito, que a definição do tipo de responsabilidade decorrente do exercício de determinada atividade econômica tem impacto decisivo no número de agentes dispostos a desenvolvê-la, na quantidade de recursos a serem investidos. Isso porque, em se tratando de responsabilidade objetiva, que prescinde da existência de culpa para a responsabilização do agente, o risco da atividade tende a ser maior, reduzindo o número de pessoas dispostas a investir no seu desenvolvimento. Caso a responsabilidade seja do tipo que exige a presença de culpa (subjetiva) para a imposição do dever de indenizar, o risco da atividade é menor, fazendo que mais pessoas se habilitem a desenvolvê-la.
Em outras palavras, quanto mais severas forem as regras disciplinadoras de determinada atividade humana, menor será o número de indivíduos dispostos a explorála. O contrário é igualmente verdadeiro, de forma que mais pessoas tendem a investir no desenvolvimento de atividades que tenham um grau de regulação menor.
A responsabilidade civil subjetiva tem como regra a imputação do dever do agente ofensor de indenizar, desde que presentes três elementos: conduta culposa, dano e nexo de causalidade (entre a conduta e o dano). Em se tratando de responsabilidade civil objetiva, apenas dois dos três elementos referidos são necessários, quais sejam, o dano e o nexo de causalidade; não se cogita, nessa hipótese, a conduta culposa do agente ofensor na causação do dano.
De uma maneira geral, os sistemas jurídicos ocidentais consideram ambas as espécies de responsabilização na esfera cível: aquela que tem, na conduta culposa, um pré-requisito, denominada de responsabilidade subjetiva, e aquela que dispensa o elemento culpa como essencial para a responsabilização do agente (responsabilidade objetiva).
Em verdade, ocorreu uma evolução da responsabilidade exclusivamente subjetiva, alicerçada sobre a culpa, para hipóteses de responsabilidade objetiva, isto é, independentemente de culpa, justamente por se concluir que aquela já não era bastante para atender aos reclames de justiça e à evolução social
Nem todos os sistemas jurídicos tratam a matéria da mesma forma, havendo aqueles em que o prestígio à responsabilidade subjetiva é mais acentuado, em contraste com outros nos quais a responsabilidade sem culpa [objetiva] grassa a passos largos.
No Brasil, ainda impera a responsabilidade subjetiva, como é possível constatar da leitura dos arts. 186 e 927 do Código Civil de 2002. De acordo com o primeiro dispositivo legal mencionado, “Aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que exclusivamente moral, comete ato ilícito.” O art. 927, de seu lado, prescreve: “Aquele que, por ato ilícito (arts. 186 e 187), causar dano a outrem, fica obrigado a repará-lo.” (
A novidade na legislação cível ficou por conta do parágrafo único do art. 927, que estabelece uma cláusula geral de responsabilidade objetiva, fazendo-o nos seguintes termos: “Haverá obrigação de reparar o dano, independentemente de culpa, nos casos especificados em lei, ou quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem.” (
Facilmente se percebe que há duas hipóteses para a incidência da responsabilidade objetiva no panorama legislativo brasileiro: a primeira, mais restrita, quando a lei assim determinar
O problema está, consoante será enfrentado adiante, em estabelecer,
Tais questionamentos não foram respondidos pela legislação protetiva de dados pessoais. De efeito, embora seja nítida a inspiração do legislador da LGPD no Código de Defesa do Consumidor, optou-se por não se estabelecer, aprioristicamente, que as atividades de tratamento dos dados pessoais impõem responsabilidade objetiva, em caso de danos, aos agentes de tratamento.
Tudo indica que a opção do legislador não consubstancia um erro ou, ainda, um mero esquecimento. Trata-se, ao revés, de opção deliberada, que levou em consideração justamente a multiplicidade e a heterogeneidade das atividades relacionadas ao tratamento de dados pessoais, bem como os impactos que o tipo de responsabilidade tem sobre a atividade econômica.
Não se pode perder de vista que o tratamento de dados pessoais tem grande importância para o hodierno desenvolvimento da atividade econômica. Destarte, a definição do tipo de responsabilidade decorrente do tratamento de dados pessoais terá impactos induvidosos sobre a economia, não se tratando, pois, de uma questão meramente dogmática.
Já se disse, em mais de uma oportunidade, que o legislador infraconstitucional, ao cuidar da responsabilidade civil e do ressarcimento de danos provenientes “do exercício de atividade de tratamento de dados pessoais” (arts. 42 a 45), buscou inspiração no Código de Proteção e Defesa do Consumidor (arts. 12 a 17). Somente a leitura dos dispositivos legais citados é suficiente para validar essa conclusão.
Não obstante a inspiração seja clara, o legislador de 2018 (LGPD) resolveu, de forma diversa, a questão da responsabilidade pelos danos causados aos titulares de dados pessoais. Enquanto o
Em redação pouco esclarecedora, o art. 42 da Lei Geral diz apenas que o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
Em obra sobre a legislação protetiva de dados pessoais (
Adotou-se, com efeito, uma orientação distinta daquela prevista no CDC, que claramente prescreveu a responsabilidade objetiva dos fornecedores pelo fato do produto e do serviço. Sendo ambos os instrumentos normativos (CDC e LGPD) inspirados pela defesa ao polo vulnerável da relação jurídica, entende-se que a previsão clara da responsabilidade objetiva constituiria um enorme passo civilizatório, fiel garante, vale dizer, do direito fundamental à privacidade.
Ainda que o legislador da proteção de dados pessoais tivesse optado pela responsabilidade subjetiva, melhor seria se o tivesse feito de maneira expressa, inequívoca. Isso porque, da forma como elaborada a Lei Geral, sem deixar clara qual é a natureza da responsabilidade dos agentes de tratamento, dúvidas não há de que haverá discussões as mais variadas e intensas sobre qual é a natureza da responsabilidade dos agentes de tratamento no contexto da proteção de dados pessoais.
Entende-se, a despeito da obscuridade legal, que a responsabilidade dos agentes de tratamento é objetiva, por força do disposto no art. 927, parágrafo único, do Código Civil, haja vista que o tratamento de dados pessoais,
Assim, embora o entendimento versado em obra pretérita permaneça válido – inclusive porque embasado nos apontamentos da Comissão Especial da Câmara dos Deputados constituída para proferir parecer sobre o Projeto de Lei n.º 4.060/2012, do qual se originaria a LGPD –, ele merece temperamentos. Isso porque a atividade de tratamento de dados pessoais é bastante heterogênea, havendo aqueles que tratam informações pessoais de maneira esporádica e marginal à sua atividade econômica fim, e aqueles que têm no tratamento de dados pessoais a própria razão de ser da sua atividade.
Dois exemplos
Parece evidente que a realidade de uma e outra empresa, ambas agentes de tratamento em franco exercício de atividades envolvendo o tratamento de dados pessoais, não é a mesma. Daí porque é necessário dizer que, embora o figurino legal (art. 42,
Note-se que, no caso da academia de ginástica, o tratamento de dados pessoais dos alunos é uma atividade marginal, que não cabe na dicção legal do citado dispositivo (art. 927, parágrafo único, CCB): “atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem” (
Sobre a natureza da atividade implicar risco superior aos direitos de outrem, não pairam dúvidas de que é condição satisfeita pela atividade de tratamento dos dados pessoais. A questão está em saber, no caso concreto, se tal atividade preenche de sentido a cláusula aberta “atividade normalmente desenvolvida”, de modo a aquilatar se, naquela específica situação, os riscos envolvidos são especialmente consideráveis. A distinção ora estabelecida pode ser confirmada pelo Enunciado 448 da V Jornada de Direito Civil do Conselho da Justiça Federal
Pretende-se dizer, com isso, que a incidência da responsabilidade objetiva em matéria de tratamento de dados pessoais não decorre, unicamente, do fato de o agente tratar dados pessoais. É necessário considerar outras questões, notadamente a centralidade do tratamento dos dados pessoais na atividade do agente envolvido
Pode-se afirmar, portanto, que, embora a responsabilidade civil objetiva dos agentes de tratamento decorra de uma interpretação sistemática da LGPD (art. 42,
Nos casos submetidos à apreciação judicial, caberá ao Poder Judiciário definir se a responsabilidade aplicável terá cunho objetivo ou subjetivo. Nessa hipótese, é possível que os tribunais estabeleçam atividades que, por sua natureza, e pela habitualidade com que são exercidas por determinados agentes de tratamento, implicam, aprioristicamente, a adoção da responsabilidade objetiva. Pode-se citar como exemplo o tratamento de dados pessoais por laboratórios de análises clínicas ou ainda por operadoras de planos e seguros de assistência à saúde. Referidos agentes, além de terem no tratamento de dados pessoais uma atividade central, normalmente desenvolvida, lidam com dados sensíveis
Nada obsta, de outro lado, que a Autoridade Nacional de Proteção de Dados (ANPD), no exercício de suas competências, estabeleça rol exemplificativo de atividades que, por sua própria natureza e habitualidade, impõem responsabilidade objetiva aos agentes que as exercem. Essa conclusão decorre do disposto no art. 55-J, inciso XIII, da LGPD, segundo o qual compete à ANPD editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei.
A ANPD poderá, no exercício de sua competência sobre a edição de regulamentos e procedimentos atinentes ao relatório de impacto à proteção de dados pessoais, identificar, aprioristicamente, os casos em que o tratamento de dados representa risco incomum à garantia dos direitos dos titulares. Em tal hipótese, referidas atividades podem ser tidas, a priori, como atrativas da responsabilidade objetiva do agente.
Estabelecida a premissa segundo a qual nem sempre haverá responsabilidade objetiva dos agentes de tratamento de dados pessoais, cumpre estabelecer como, e em que medida, a fórmula ou regra de Hand poderá servir de parâmetro para a responsabilização daqueles agentes.
O juiz estadunidense Learned Hand se deparou, em 1957, com a necessidade de decidir se o proprietário de um rebocador (
O magistrado decidiu que a proprietária do rebocador
Estabelecidas tais premissas, o juiz cunhou uma fórmula para avaliar a responsabilidade do agente causador de um dano, asseverando que haverá o dever de indenizar quando o ônus da precaução (B) for menor do que a probabilidade (P) de ocorrência do dano multiplicada por sua gravidade (L), isto é, B < P.L.
Em apressada síntese, pode-se dizer que a regra de Hand prevê uma ponderação dos custos e dos benefícios de determinada conduta, tudo com vistas a aferir se o nível de negligência
A regra se aplica perfeitamente à responsabilidade subjetiva decorrente do tratamento de dados pessoais no Brasil. A confirmar tal conclusão, é de imperativa citação o art. 44, parágrafo único, da LGPD: “Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano.” (
O art. 46, de seu lado, impõe aos agentes de tratamento de dados pessoais a adoção de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
No entanto, é consabido, as medidas tendentes a violar os dados pessoais caminham em velocidade muito maior do que é possível evitá-las. Não fosse isso bastante, são maciços – e, não raro, inacessíveis – os investimentos necessários para proteger os dados pessoais de acessos não autorizados.
Tanto é assim, que o § 1º do art. 46 da LGPD estipula a faculdade de a Autoridade Nacional de Proteção de Dados (ANPD) estabelecer
É intuitivo concluir, no exemplo da academia de ginástica do bairro, que não tem no tratamento de dados pessoais sua atividade normalmente desenvolvida, a impossibilidade de se lhe exigir a aplicação de vultosos recursos em sistema informatizado de proteção dos dados mantidos no seu único computador de mesa.
Admita-se, para fins de aplicação das variáveis da regra de Hand, os seguintes dados hipotéticos:
Probabilidade de o sistema da academia de ginástica do bairro ser objeto da ação criminosa de
Gravidade dos danos causados em caso de invasão do sistema: R$ 10.000,00.
Ônus de aquisição de
Conclui-se que o custo do sistema (R$ 2.000,00) é muitíssimo superior às medidas de redução do dano previsto, R$ 100,00 (1% de R$ 10.000,00), de sorte que estaria descartada, pela regra de Hand, a conduta negligente da academia de ginástica do bairro. Em casos desse gênero, com base na multicitada fórmula, não seria cabível a responsabilização civil do agente de tratamento.
Desfecho em tudo diverso se daria se a probabilidade do risco e a gravidade dos danos causados fossem exponencialmente superiores ao do exemplo anterior. De efeito, se a probabilidade da ação criminosa fosse da ordem de 20% e a gravidade dos danos no importe de R$ 500.000,00, chegar-se-ia a um dano previsto de R$ 100.000,00. O investimento no
Os exemplos citados consideraram a aplicação da regra de Hand em estágio único, e não em dois estágios. Quando se consideram dois estágios, inicialmente se cria um padrão geral (
Não obstante o entendimento, sobretudo o explanado pela doutrina estrangeira, no sentido de que a aplicação da regra em dois estágios ostenta elevado valor teórico, não se pode ignorar as dificuldades práticas que tal procedimento encerra
Uma questão interessante que se coloca diz respeito à definição das variáveis que comporão o cálculo proposto pela fórmula de Hand, especificamente no que diz respeito à probabilidade do dano (risco) e à sua quantificação. Sobre isso, tem-se que o relatório de impacto à proteção de dados pessoais será de extrema valia.
De acordo com o art. 5º, inciso XVII, da LGPD, o relatório de impacto à proteção de dados pessoais é a documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco. A Lei Geral ainda veicula prescrição, em seu art. 38, parágrafo único, estabelecendo o conteúdo mínimo do relatório de impacto:
Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.
Parágrafo único. Observado o disposto no
Como facilmente se percebe, o relatório de impacto será capaz de oferecer os dados necessários à definição da probabilidade do dano e da sua quantificação em caso de violação à Lei Geral
A ANPD poderá, inclusive, utilizar as informações contidas nos relatórios de impacto à proteção de dados pessoais para definir os padrões técnicos mínimos atinentes às medidas de segurança a serem observadas pelos agentes de tratamento, bem como para fixar, em regulamento, quais atividades, pelo risco que implicam, submetem tais agentes à responsabilidade objetiva por danos causados aos titulares de dados pessoais.
Por tudo isso, a regra de Hand, aplicada em procedimento de estágio único, tem o mérito de promover a objetivação do conceito de homem razoável, ou de prevenção
Como se vê, a regra de Hand pode encontrar perfeita aplicação ao sistema de responsabilidade civil previsto na Lei Geral de Proteção de Dados Pessoais, tornando menos tormentosa a vida dos magistrados que precisarão decidir se, em determinado caso, foram adotadas as providências que um homem médio teria levado a efeito para impedir danos a outrem.
Deve-se registrar, todavia, que a utilização da fórmula [matemática] de Hand, conquanto possa ser útil, não deverá ser tomada como único critério possível para estabelecer ou afastar o dever de indenizar. Em verdade, sua utilidade consiste basicamente em oferecer uma lógica objetiva para fins de análise da conduta do agente de tratamento, perscrutando se, dadas as variáveis estabelecidas na fórmula, teria ele agido de acordo com o que se espera de um homem prudente.
É válida, a esse respeito, a advertência de
Não obstante sejam reais as dificuldades expostas por
A Lei Geral de Proteção de Dados Pessoais surge da necessidade de se garantirem direitos fundamentais dos indivíduos, notadamente privacidade e intimidade. Busca, ainda, consoante enuncia logo em seu art. 1º, proteger o livre desenvolvimento da personalidade da pessoa natural, providência dificultada pelos dilemas que a modernidade impõe às mais diversas organizações sociais.
Por isso, a LGPD possui dispositivos específicos para regular a responsabilidade civil por danos relacionados à atividade de tratamento dos dados pessoais, cujos conceitos, como se viu, são os mais amplos possíveis. É riquíssima e heterogênea a gama de atividades que envolvem o tratamento de dados pessoais, sendo certo que, para alguns agentes de tratamento, é central o papel que os dados pessoais ocupam no desenvolvimento de seus misteres.
Embora tenha buscado clara inspiração nas regras consumeristas, a LGPD peca por não especificar, de forma expressa, como faz o CDC, o tipo de responsabilidade civil decorrente de violações à legislação protetiva de dados pessoais, se de ordem objetiva ou subjetiva.
Em verdade, é possível que o legislador, atento à diversidade e à heterogeneidade das operações de tratamento existentes – e a existir –, tenha preferido não delimitar imediatamente a espécie de responsabilidade em questão, se objetiva ou subjetiva, deixando tal definição ao alvedrio da regra geral de responsabilidade objetiva prevista no art. 927, parágrafo único, do Código Civil.
Destarte, apenas “quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem”, será a hipótese de se falar em responsabilidade objetiva dos agentes de tratamento.
A definição do tipo de responsabilidade imposta pela LGPD aos operadores e aos controladores de dados pessoais é uma variável certamente considerada pelos agentes econômicos no momento de aquilatar o risco das atividades em que pretendem investir. A questão, dessarte, supera em muito o mero academicismo, tendo impactos relevantes no desenvolvimento da atividade econômica.
Firme em tais premissas, identificou-se a necessidade de distinguir os agentes de tratamento que têm nas atividades com dados pessoais uma conduta marginal daqueles para os quais os dados são fundamentais ao exercício normal de suas atividades. No segundo caso, deve imperar a regra da responsabilidade objetiva, fundada no parágrafo único, art. 927 do Código Civil. Isso não se pode dizer, entretanto, do primeiro caso, em que o tratamento de dados pessoais é meramente lateral e, portanto, não subsumível à hipótese de “atividade normalmente desenvolvida pelo autor do dano”.
Quando submetida ao escrutínio do Poder Judiciário, a questão será aferida casuisticamente, verificando-se se as atividades desenvolvidas pelo agente de tratamento se sujeitam ao disposto no parágrafo único do art. 927 do Código Civil. Tudo isso sem prejuízo de que julgamentos reiterados em determinado sentido possam levar à formação de precedentes capazes de tornar a análise judicial menos atrelada ao caso concreto.
A ANPD, de igual modo, no exercício de suas competências, poderá definir previamente atividades e agentes de tratamento para os quais será imperiosa a aplicação da responsabilidade objetiva, utilizando-se, para tanto, dos relatórios de impactos à proteção de dados pessoais.
Nos casos em que as atividades do agente de tratamento não estão incursas nos mencionados critérios definidores da responsabilidade objetiva, deve-se cogitar a incidência da responsabilidade subjetiva, que exige a presença de culpa. Nessa hipótese, será prevalente, para fins de imposição do dever de indenizar, verificar a adoção de medidas razoáveis – ou padrões técnicos mínimos, para se utilizar a dicção da Lei Geral, cf. art. 45, § 1º – capazes de evitar a ocorrência do dano.
É exatamente nesse contexto que assoma a relevância da regra de Hand, cujo principal mérito consiste em objetivar os critérios capazes de definir se, em determinado caso concreto, houve negligência punível. As variáveis da fórmula (probabilidade, gravidade do dano e ônus da precaução) poderão ser obtidas pela utilização dos mesmos critérios versados no relatório de impacto à proteção de dados pessoais, ainda que em concurso com a ajuda de técnicos especialistas.
A adoção dos critérios estabelecidos na regra de Hand, no que respeita à responsabilidade civil dos agentes de tratamento, ganha contornos ainda mais evidentes quando se considera que a própria evolução tecnológica dificulta o uso de medidas eficazes para a proteção dos titulares de dados pessoais. É assim porque, mesmo com investimentos vultosos em medidas tecnológicas de proteção, estarão sempre à frente desse cenário as providências encetadas por aqueles que pretendem violar a privacidade e a intimidade das pessoas.
Nesse contexto, mesmo quando o agente de tratamento dos dados pessoais adota medidas protetivas tidas como efetivas, poderá ver-se enredado em algum episódio de violação das regras previstas na Lei Geral. Em casos assim, não seria viável impor, sem maiores considerações, o dever de indenizar, sob pena de se sacrificar aquele que foi razoavelmente prudente no exercício de suas atividades.
Conclui-se, pois, que a análise dos dispositivos específicos da LGPD, que tratam da responsabilidade civil, revelou ser a regra de Hand perfeitamente aplicável ao sistema de responsabilidade estabelecido pela norma protetiva de dados. Deve, pois, ser utilizada pelos magistrados ao momento de decidir se determinada conduta do agente de tratamento de dados pessoais consubstanciou negligência bastante forte para impor o dever de indenizar os titulares de dados pessoais prejudicados por violação à LGPD.
Embora útil, a regra de Hand, porque incapaz de assimilar a multiplicidade de elementos envolvidos na análise de uma situação jurídica concreta, não poderá ser tomada como critério isolado para impor ou afastar o dever de indenizar. Com efeito, é possível que as peculiaridades do caso imponham tal obrigação – de ressarcir os danos causados –, mesmo quando a fórmula aponte em sentido oposto. O contrário poderá ser igualmente viável.
Disso não decorre, por todo o exposto no presente artigo, a inutilidade da formulação do juiz estadunidense, que, como visto, ao objetivar um meio de apurar aquilo que se espera de um homem razoável, num contexto adequado de prevenção, indicará um norte para a definição da negligência dos agentes de tratamento, nos termos da LGPD, quando o caso for de responsabilidade subjetiva.
Uma simples consulta às empresas mais valiosas do mundo (
A
Nesse sentido, é o posicionamento de
Para
Sobre a questão, a análise de
De acordo com
Dissertando sobre o tema,
Exemplo de previsão legal expressa da responsabilidade objetiva pode ser vista nos artigos 937 e 938 do Código Civil brasileiro.
Não se ignora a prescrição inserta no art. 45 da LGPD, segundo a qual “As hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente.” Assim, o primeiro exemplo citado estaria sob a regência da responsabilidade objetiva prevista no CDC. De qualquer sorte, por razões didáticas, adota-se a exemplificação ora exposta.
Dados pessoais ordinários são aqueles comuns, gerais, contrapostos pela LGPD aos dados pessoais sensíveis (art. 5º, inciso II).
“A regra do art. 927, parágrafo único, segunda parte, do CC aplica-se sempre que a atividade normalmente desenvolvida, mesmo sem defeito e não essencialmente perigosa, induza, por sua natureza, risco especial e diferenciado aos direitos de outrem. São critérios de avaliação desse risco, entre outros, a estatística, a prova técnica e as máximas de experiência.” (
As lições de
O conceito de dado pessoal sensível se acha encartado no art. 5º, inciso II, da LGPD: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
“§ 1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no
De acordo com
Deve-se ressalvar, todavia, que a fixação das variáveis para a aplicação da regra de Hand nem sempre será simples, podendo exigir, em certos casos, o concurso de especialistas de múltiplas áreas do conhecimento, a exemplo de segurança da informação, engenharia de