A RESPONSABILIDADE CIVIL NA LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS E A REGRA DE HAND

Rômulo Marcel Souto dos Santos; André Studart Leitão; Erik Navarro Wolkart

resúmenes

secciones

referencias

imágenes

RESUMO

Objetivo: O presente artigo se propõe a investigar o tema da responsabilidade civil por danos decorrentes do tratamento de dados pessoais, fazendo-o nos termos e nos limites em que regulado pela Lei Federal nº 13.709, de 14 de agosto de 2018, cognominada Lei Geral de Proteção de Dados Pessoais (LGPD). A indagação central a ser respondida, por não ter sido definida de forma clara pelo legislador infraconstitucional, diz respeito ao tipo de responsabilidade civil previsto na LGPD, se de índole objetiva ou subjetiva. Pretende-se analisar, em complemento, se a regra de Hand, formulada pelo magistrado estadunidense Learned Hand, pode ser útil à delimitação da responsabilidade por negligência dos agentes de tratamento de dados pessoais.

Metodologia: O método de pesquisa utilizado será o qualitativo-dedutivo, com vistas à confirmação das hipóteses suscitadas para a resolução da problemática exposta. Para tanto, serão estabelecidos os conceitos de responsabilidade civil objetiva e subjetiva, bem como analisados os aspectos centrais da legislação especial relacionados à referida responsabilidade, notadamente no que diz respeito aos agentes de tratamento de dados pessoais. Não tendo o legislador esclarecido a natureza da responsabilidade civil regulada pela LGPD, será investigado se o tratamento de dados pessoais pode ser inserido no rol de atividades de risco, a atrair a incidência do art. 927, parágrafo único, do Código Civil brasileiro.

Resultados: Encontrou-se uma relação entre a responsabilidade civil prevista na lei protetiva de dados pessoais e a regra de Hand, sugerindo-se que a compreensão do juiz estadunidense Learned Hand pode ser útil à delimitação da responsabilidade civil decorrente do tratamento de dados pessoais. Evidenciou-se, ainda, que o tratamento de dados pessoais é atividade múltipla, nem sempre passível de enquadramento na seara das atividades de risco.

Contribuições: Utilização da regra de Hand como critério útil para aquilatar a responsabilidade civil dos agentes de tratamento de dados pessoais em casos de responsabilidade por negligência.

Palavras-chave: Tratamento de dados pessoais, LGPD, responsabilidade civil, regra de Hand.

ABSTRACT

Objective: This article proposes to investigate the issue of civil liability for damages arising from the processing of personal data, under the terms and limits in which it is regulated by Federal Law No. 13.709, of August 14, 2018, known as the General Law of Personal Data Protection (LGPD). The central question to be answered, as it is not clearly defined by the infra-constitutional legislator, says with the type of civil liability provided for in the LGPD, whether objective or subjective. It is intended to analyze, in addition, whether Hand's rule, formulated by the American magistrate Learned Hand, can be useful to delimit the responsibility for negligence of agents processing personal data.

Methodology: The research method used will be qualitative-deductive, with a view to confirming the hypotheses raised for the resolution of the exposed problem. For this purpose, the concepts of objective and subjective civil liability will be established, as well as the central aspects of the special legislation related to that liability, notably with regard to agents for processing personal data, will be analyzed. Since the legislator has not clarified the nature of civil liability regulated by the LGPD, it will be investigated whether the processing of personal data can be included in the list of risky activities, attracting the incidence of art. 927, sole paragraph, of the Brazilian Civil Code.

Results: A relationship was found between civil liability provided for in the law protecting personal data and Hand's rule, suggesting that the understanding of the American judge Learned Hand can be useful for the delimitation of civil liability arising from the processing of personal data. It was also evidenced that the processing of personal data is a multiple activity, not always capable of being included in the area of risky activities.

Contributions: Use of the Hand rule as a useful criterion to assess the civil liability of personal data processing agents in cases of negligence liability.

Keywords: Personal data processing, LGPD, negligence, rule of Hand.

RESUMEN

Objetivo: Este artículo se propone investigar el tema de la responsabilidad civil por daños y perjuicios derivados del tratamiento de datos personales, en los términos y límites en los que se regula por la Ley Federal N ° 13.709, de 14 de agosto de 2018, conocida como Ley General de Protección de Datos Personales (LGPD). La pregunta central a responder, al no estar claramente definida por el legislador infraconstitucional, dice con el tipo de responsabilidad civil prevista en la LGPD, ya sea objetiva o subjetiva. Se pretende analizar, además, si la Regla de Hand, formulada por el magistrado estadounidense Learned Hand, puede ser útil para delimitar la responsabilidad por negligencia de los agentes que procesan datos personales.

Metodología: El método de investigación utilizado será cualitativo-deductivo, con el fin de confirmar las hipótesis planteadas para la resolución del problema expuesto. A tal efecto, se establecerán los conceptos de responsabilidad civil objetiva y subjetiva, así como se analizarán los aspectos centrales de la legislación especial relacionada con dicha responsabilidad, en particular en lo que se refiere a los agentes del tratamiento de datos personales. Dado que el legislador no ha aclarado la naturaleza de la responsabilidad civil regulada por la LGPD, se investigará si el tratamiento de datos personales puede incluirse en la lista de actividades de riesgo, atrayendo la incidencia del art. 927, párrafo único, del Código Civil brasileño.

Resultados: Se encontró una relación entre la responsabilidad civil prevista en la ley de protección de datos personales y la Regla de Hand, sugiriendo que la comprensión del juez estadounidense Learned Hand puede ser útil para la delimitación de la responsabilidad civil derivada del tratamiento de datos personales. También se evidenció que el tratamiento de datos personales es una actividad múltiple, no siempre susceptible de ser incluida en el área de actividades de riesgo.

Contribuciones: Uso de la Regla de Hand como criterio útil para evaluar la responsabilidad civil de los agentes procesadores de datos personales en casos de responsabilidad por negligencia.

Palabras clave: Tratamiento de datos personales, LGPD, responsabilidad civil, regla de Hand.

Carátula del artículo

Artigos

A RESPONSABILIDADE CIVIL NA LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS E A REGRA DE HAND

CIVIL RESPONSIBILITY IN THE GENERAL PERSONAL DATA PROTECTION LAW AND THE HAND RULE

RESPONSABILIDAD CIVIL EN LA LEY GENERAL DE PROTECCIÓN DE DATOS PERSONALES Y LA REGLA DE HAND

Rômulo Marcel Souto dos Santos romulomarcel@gmail.com

Universidade Federal do Ceará, BR

André Studart Leitão andrestudart@gmail.com

Universidade Presbiteriana Mackenzie, BR

Erik Navarro Wolkart eriknavarrowolkart@gmail.com

Pontifícia Universidade Católica de São Paulo, BR

Revista Opinião Jurídica, vol. 20, núm. 34, pp. 60-84, 2022
Centro Universitário Christus

Recepção: 24 Novembro 2021

Aprovação: 21 Dezembro 2021

DOI: https://doi.org/10.12662/2447-6641oj.v20i34.p60-84.2022

1 INTRODUÇÃO

O progresso tecnológico vivenciado nos últimos anos, notadamente a partir da década de 1980, alterou profundamente as relações sociais, antes restritas a círculos pequenos – ou não muito grandes – de pessoas. Mais recentemente, as redes sociais passaram a agrupar milhares, não raro milhões de pessoas, as quais se dizem, sem muita cerimônia, amigas ou seguidoras umas das outras.1

Os impactos da inovação tecnológica foram sentidos em todas as áreas, com destaque para a economia. O modo de fazer negócios foi impactado irreversível e fortemente pelas novas tecnologias, sendo relevante notar que, hoje, as maiores empresas do mundo são aquelas que têm na tecnologia a base do seu negócio2.

Embora haja muitas vantagens no desenvolvimento tecnológico, mesmo na forma como ele influenciou a vida das pessoas, não é menos certo que há também problemas a serem resolvidos. Basta dizer, por exemplo, que os temas relacionados à privacidade ganharam extensa notoriedade, exatamente porque é possível saber qualquer informação, sobre qualquer pessoa e em qualquer lugar do mundo.

Até mesmo o processo eleitoral em democracias consolidadas, como a dos Estados Unidos da América do Norte, passou a sofrer o influxo e a interferência das novas tecnologias, valendo mencionar o ruidoso caso envolvendo o Facebook e a Cambridge Analytica nas eleições estadunidenses de 20163.

Por esses e outros exemplos que poderiam ser largamente relacionados, os mais diversos países passaram a se preocupar com a proteção de dados pessoais dos seus cidadãos, cunhando leis na tentativa de proteger a privacidade e a intimidade das pessoas4. Foi justamente nesse contexto que surgiu a General Data Protection Regulation (GDPR), regulamento da União Europeia sobre privacidade e proteção de dados pessoais – implementado em maio de 2018 – e do qual emergiu, já em 2018, a Lei Geral de Proteção de Dados Pessoais (LGPD) brasileira (Lei Federal nº 13.709, de 14 de agosto de 2018).

A LGPD dedicou toda uma Seção (III) do seu Capítulo VI (Dos agentes de tratamento de dados pessoais) ao tema da responsabilidade e do ressarcimento de danos. São quatro artigos dedicados a disciplinar a responsabilidade civil pelos danos decorrentes da atividade de tratamento dos dados pessoais.

A Lei Geral de Proteção de Dados Pessoais, embora represente inequívoco avanço na importante seara da defesa aos direitos fundamentais da privacidade e da intimidade, poderia ter avançado mais no que concerne ao tratamento da responsabilidade civil dos agentes de tratamento. Isso porque, embora as normas encartadas na Seção III do Capítulo VI da LGPD sejam inequivocamente inspiradas no Código de Proteção e Defesa do Consumidor (Lei Federal nº 8.078/1990), o legislador da proteção de dados foi tímido, ao não deixar claro que a responsabilidade civil em apreço é de ordem objetiva – exatamente como fez o legislador do CDC5.

Apesar disso, passou-se a defender que a responsabilidade civil por danos decorrentes das atividades de tratamento de dados pessoais seria objetiva por força do quanto disposto no art. 927, parágrafo único, do Código Civil brasileiro. O raciocínio é simples: em sendo o tratamento de dados pessoais uma atividade de risco, a responsabilidade civil dele decorrente seria de natureza objetiva, por imposição do citado dispositivo civilista.

A questão, todavia, parece não ser assim tão simplória. Com efeito, em sendo a atividade de tratamento dos dados pessoais extremamente vasta e heterogênea, é necessário investigar se, e quando, poderá ser considerada como inserta na categoria das atividades de risco tratadas no art. 927, parágrafo único, do Código Civil brasileiro.

Em se concluindo pela não incidência da responsabilidade objetiva em todos os casos, ganha relevância a fórmula (ou regra) de Hand, criada pelo juiz estadunidense Learned Hand, ainda em 1947, quando da apreciação do caso United States vs. Carroll Towing Company. Naquela ocasião, ficou definida uma fórmula que busca traduzir aquilo que se entende por comportamento razoável.

Não se ignora que a proteção de dados pessoais esteja na ordem do dia e que tenha papel fundamental na defesa do livre desenvolvimento da pessoa humana. A pergunta que se coloca, contudo, e que se pretende responder neste artigo é se tal defesa deve ser feita a qualquer custo, independentemente do quão relevantes sejam as probabilidades de dano aos titulares dos dados pessoais e do quão graves tais prejuízos, em ocorrendo, seriam.

A relação que se estabelecerá a seguir é relevante na exata medida das dificuldades que os agentes de tratamento encontram para garantir a segurança dos dados pessoais. Os investimentos em segurança da informação são altíssimos e nem sempre poderão assegurar que os dados pessoais tratados estarão a salvo de ataques que ponham em risco aquelas informações e os seus respectivos titulares.6

Prova disso são as notícias, cada vez mais numerosas, declarando o vazamento de dados pessoais, os quais expõem, por exemplo, números do cadastro de pessoas físicas, endereços físicos e de e-mail, informações bancárias e quejandos. Não é possível olvidar que os tais vazamentos atingem, de forma praticamente indiscriminada, agentes de tratamento dos mais diversos portes, alguns deles investidores de muitos milhões de dólares em sistemas de proteção robustos, mas, ainda assim, insuficientes.

A fim de que a exposição seja o mais inteligível possível e que as conclusões alcançadas possam ser apreendidas como decorrência do silogismo que se construirá, cuidar-se-á de expor questões prévias relevantes, notadamente os conceitos de agentes de tratamento, tratamento de dados pessoais e responsabilidade civil, seja ela de ordem objetiva seja de ordem subjetiva.

No presente estudo, far-se-á a utilização de pesquisa bibliográfica, explicativa e descritiva, com ênfase em livros, artigos científicos, decisões judiciais, legislação positiva e demais fontes disponíveis.

O método de pesquisa utilizado será o qualitativo-dedutivo, com vistas à confirmação das hipóteses suscitadas para a resolução da problemática exposta.

2 CONCEITOS INDISPENSÁVEIS: TITULAR, DADOS PESSOAIS, TRATAMENTO E AGENTES DE TRATAMENTO

Cada vez mais, a vida das pessoas se desloca de um âmbito meramente físico, biológico, para assumir contornos difusos e jamais imaginados, a ponto de alguns estudiosos mencionarem a existência de um corpo eletrônico. Não obstante seja uma simplificação perigosa a assertiva segundo a qual as pessoas são apenas os seus dados, é impossível ignorar a influência do câmbio incessante de informações na construção da identidade e no modo como os indivíduos se veem e são vistos7.

Há, de fato, uma espécie de projeção da personalidade em ambientes exclusivamente virtuais, como se uma parte de cada um, mais ou menos completa, fosse deixada nos incontáveis bancos de dados existentes ao redor do mundo. É possível saber, por exemplo, com razoável segurança, quais são os gostos desse ou daquele consumidor de vinhos, se ele prefere os tintos, da uva Malbec, ou ainda os brancos, especialmente se feitos com a uva Chardonnay. É plausível, ainda, que certa empresa desenvolvedora de um aplicativo de GPS (Global Positioning System) saiba perfeitamente a rotina de um determinado indivíduo, inclusive com acesso a informações delicadas, como a hora em que ele sai de casa, aquela em que pega os filhos na escola ou em que deixa a esposa no trabalho.

A relevância dessas informações, e, sobretudo, o nível de impacto à privacidade e à intimidade que elas podem gerar8, fez que inúmeros países ao redor do mundo cuidassem de elaborar legislações protetivas dos dados pessoais. Pode-se dizer que a Lei Geral de Proteção de Dados Pessoais é uma resposta do ordenamento jurídico brasileiro à evolução tecnológica que se impôs no decurso das últimas décadas e que tem como objetivo central, enunciado logo em seu art. 1º, “proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural” (BRASIL, 2018, online).

A modernidade traz consigo uma relação tensa entre segurança e perigo, confiança e risco, pondo em xeque a presunção de que o progresso tornaria os dissabores menos numerosos e permitiria a formação de uma ordem social prenhe de felicidade e estabilidade9.

O tema ora abordado é de tal maneira central na modernidade, que a proteção de dados pessoais, categoria autônoma, vem sendo reconhecida pela melhor doutrina10 como direito fundamental assegurado pela Constituição Federal de 1988.

Para que se compreenda, contudo, o alcance da novel legislação, cujas regras impositivas podem parecer distantes da maioria das pessoas, é preciso apreender os principais conceitos encartados na LGPD, que tocam o presente trabalho. Além de fundamentais para que se entendam as conclusões ao final obtidas, servirão para que se compreenda a amplitude da legislação protetiva de dados pessoais. A conclusão, seguramente obtida a partir da exposição desses conceitos, será de que há muito mais operações de tratamento de dados pessoais do que a maioria dos indivíduos supõe.

São dois os agentes de tratamento previstos e disciplinados pela Lei Geral de Proteção de Dados Pessoais: o controlador e o operador. Este, de acordo com o art. 5º, inciso VII, é a “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador” (BRASIL, 2018, online). Aquele, a teor do disposto no inciso VI do mesmo art. 5º, é a “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais” (BRASIL, 2018, online).

Dado pessoal, de seu turno, é qualquer informação relacionada a uma pessoa natural identificada ou passível de identificação (cf. art. 5º, inciso I, da LGPD), ao passo que tratamento de dado pessoal é toda e qualquer atividade realizada com aquelas informações. Outra não é a ilação que decorre do art. 5º, inciso X, da Lei Geral, que, em elenco meramente exemplificativo, conceitua tratamento como “toda operação realizada com dados pessoais”.

Por evidência dedutiva, titular de dados pessoais é a pessoa natural identificada ou identificável, cujos dados pessoais são objeto de tratamento (cf. art. 5º, inciso V, LGPD).

A leitura dos dispositivos legais citados é suficiente para que se compreenda que o tratamento de dados pessoais envolve atividades e alcança pessoas em nível muito maior do que o ordinariamente imaginado. Toda e qualquer operação com dados pessoais, desde que não esteja incluída nas exceções do art. 4º da LGPD, será disciplinada pela Lei Geral, inclusive com vistas à responsabilização dos agentes de tratamento envolvidos.

Sobre o tema, em obra dedicada ao estudo da Lei Geral de Proteção de Dados Pessoais (SANTOS, 2020, p. 78-79), esclareceu-se que o legislador de 2018 preferiu uma definição expansionista para os dados pessoais, tendo-os como qualquer informação capaz de identificar, ainda que indiretamente, a pessoa [identificável] à qual dizem respeito. Sendo assim, somente a possibilidade de identificação do titular, em certo contexto, será bastante para que a informação seja considerada um dado pessoal.

Conclui-se, desse modo, que a LGPD adotou a definição expansionista, ao definir dado pessoal como “informação relacionada a pessoa natural identificada ou identificável”. De maneira incensurável, o legislador de 2018 cuidou de não citar exemplos de dados pessoais – como fez o Regulamento do Marco Civil da Internet (Decreto n.º 8.771/2016) –, franqueando aos intérpretes da Lei Geral a determinação do sentido e do alcance da norma.

Logo se percebe que a LGPD, pela amplitude dos principais conceitos que a informam (titular, dados pessoais, tratamento e agentes de tratamento), atingirá um semnúmero de relações jurídicas, com impactos diretos e intensos nas ordens econômica e social. É impositivo, portanto, que os titulares de dados pessoais e, principalmente, os agentes de tratamento conheçam os pormenores da responsabilidade civil que poderão tocá-los em caso de violação aos ditames da norma geral.

É importante ressaltar, a propósito, que a definição do tipo de responsabilidade decorrente do exercício de determinada atividade econômica tem impacto decisivo no número de agentes dispostos a desenvolvê-la, na quantidade de recursos a serem investidos. Isso porque, em se tratando de responsabilidade objetiva, que prescinde da existência de culpa para a responsabilização do agente, o risco da atividade tende a ser maior, reduzindo o número de pessoas dispostas a investir no seu desenvolvimento. Caso a responsabilidade seja do tipo que exige a presença de culpa (subjetiva) para a imposição do dever de indenizar, o risco da atividade é menor, fazendo que mais pessoas se habilitem a desenvolvê-la.

Em outras palavras, quanto mais severas forem as regras disciplinadoras de determinada atividade humana, menor será o número de indivíduos dispostos a explorála. O contrário é igualmente verdadeiro, de forma que mais pessoas tendem a investir no desenvolvimento de atividades que tenham um grau de regulação menor.

3 RESPONSABILIDADE CIVIL OBJETIVA E SUBJETIVA

A responsabilidade civil subjetiva tem como regra a imputação do dever do agente ofensor de indenizar, desde que presentes três elementos: conduta culposa, dano e nexo de causalidade (entre a conduta e o dano). Em se tratando de responsabilidade civil objetiva, apenas dois dos três elementos referidos são necessários, quais sejam, o dano e o nexo de causalidade; não se cogita, nessa hipótese, a conduta culposa do agente ofensor na causação do dano.

De uma maneira geral, os sistemas jurídicos ocidentais consideram ambas as espécies de responsabilização na esfera cível: aquela que tem, na conduta culposa, um pré-requisito, denominada de responsabilidade subjetiva, e aquela que dispensa o elemento culpa como essencial para a responsabilização do agente (responsabilidade objetiva).

Em verdade, ocorreu uma evolução da responsabilidade exclusivamente subjetiva, alicerçada sobre a culpa, para hipóteses de responsabilidade objetiva, isto é, independentemente de culpa, justamente por se concluir que aquela já não era bastante para atender aos reclames de justiça e à evolução social11.

Nem todos os sistemas jurídicos tratam a matéria da mesma forma, havendo aqueles em que o prestígio à responsabilidade subjetiva é mais acentuado, em contraste com outros nos quais a responsabilidade sem culpa [objetiva] grassa a passos largos.

No Brasil, ainda impera a responsabilidade subjetiva, como é possível constatar da leitura dos arts. 186 e 927 do Código Civil de 2002. De acordo com o primeiro dispositivo legal mencionado, “Aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que exclusivamente moral, comete ato ilícito.” O art. 927, de seu lado, prescreve: “Aquele que, por ato ilícito (arts. 186 e 187), causar dano a outrem, fica obrigado a repará-lo.” (BRASIL, 2002, online).

A novidade na legislação cível ficou por conta do parágrafo único do art. 927, que estabelece uma cláusula geral de responsabilidade objetiva, fazendo-o nos seguintes termos: “Haverá obrigação de reparar o dano, independentemente de culpa, nos casos especificados em lei, ou quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem.” (BRASIL, 2002, online).

Facilmente se percebe que há duas hipóteses para a incidência da responsabilidade objetiva no panorama legislativo brasileiro: a primeira, mais restrita, quando a lei assim determinar12; a segunda, mais difusa, sempre que a atividade normalmente desenvolvida pelo ofensor puder ser tida como de risco.

O problema está, consoante será enfrentado adiante, em estabelecer, casuisticamente, quais atividades poderão ser inseridas na cláusula aberta veiculada pela legislação cível. Seria o tratamento de dados pessoais, atividade ampla e heterogênea, realizada pelos mais variados agentes de tratamento, sempre subsumível ao parágrafo único do art. 927 do Código Civil brasileiro? Em caso afirmativo, seria possível igualmente asseverar que toda e qualquer atividade de tratamento de dados pessoais implicará atividade de risco, atraindo, por consequência, a incidência da regra ora comentada?

Tais questionamentos não foram respondidos pela legislação protetiva de dados pessoais. De efeito, embora seja nítida a inspiração do legislador da LGPD no Código de Defesa do Consumidor, optou-se por não se estabelecer, aprioristicamente, que as atividades de tratamento dos dados pessoais impõem responsabilidade objetiva, em caso de danos, aos agentes de tratamento.

Tudo indica que a opção do legislador não consubstancia um erro ou, ainda, um mero esquecimento. Trata-se, ao revés, de opção deliberada, que levou em consideração justamente a multiplicidade e a heterogeneidade das atividades relacionadas ao tratamento de dados pessoais, bem como os impactos que o tipo de responsabilidade tem sobre a atividade econômica.

Não se pode perder de vista que o tratamento de dados pessoais tem grande importância para o hodierno desenvolvimento da atividade econômica. Destarte, a definição do tipo de responsabilidade decorrente do tratamento de dados pessoais terá impactos induvidosos sobre a economia, não se tratando, pois, de uma questão meramente dogmática.

4 A RESPONSABILIDADE CIVIL NA LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS

Já se disse, em mais de uma oportunidade, que o legislador infraconstitucional, ao cuidar da responsabilidade civil e do ressarcimento de danos provenientes “do exercício de atividade de tratamento de dados pessoais” (arts. 42 a 45), buscou inspiração no Código de Proteção e Defesa do Consumidor (arts. 12 a 17). Somente a leitura dos dispositivos legais citados é suficiente para validar essa conclusão.

Não obstante a inspiração seja clara, o legislador de 2018 (LGPD) resolveu, de forma diversa, a questão da responsabilidade pelos danos causados aos titulares de dados pessoais. Enquanto o caput do art. 12 do CDC deixa evidente a responsabilidade objetiva do fabricante, produtor, construtor, nacional ou estrangeiro, e importador, que “respondem, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores” (BRASIL, 1990, online), o art. 42 da LGPD não faz o mesmo.

Em redação pouco esclarecedora, o art. 42 da Lei Geral diz apenas que o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

Em obra sobre a legislação protetiva de dados pessoais (SANTOS, 2020, p. 271-272), defendeu-se que a LGPD poderia ter previsto, de forma inequívoca, a natureza da responsabilidade civil dos agentes de tratamento, se objetiva, se subjetiva. Essa questão foi, inclusive, objeto de intensos debates nas comissões que analisaram a matéria, bem como nas audiências públicas realizadas, tendo o legislador, todavia, preferido uma redação menos elucidativa.

Adotou-se, com efeito, uma orientação distinta daquela prevista no CDC, que claramente prescreveu a responsabilidade objetiva dos fornecedores pelo fato do produto e do serviço. Sendo ambos os instrumentos normativos (CDC e LGPD) inspirados pela defesa ao polo vulnerável da relação jurídica, entende-se que a previsão clara da responsabilidade objetiva constituiria um enorme passo civilizatório, fiel garante, vale dizer, do direito fundamental à privacidade.

Ainda que o legislador da proteção de dados pessoais tivesse optado pela responsabilidade subjetiva, melhor seria se o tivesse feito de maneira expressa, inequívoca. Isso porque, da forma como elaborada a Lei Geral, sem deixar clara qual é a natureza da responsabilidade dos agentes de tratamento, dúvidas não há de que haverá discussões as mais variadas e intensas sobre qual é a natureza da responsabilidade dos agentes de tratamento no contexto da proteção de dados pessoais.

Entende-se, a despeito da obscuridade legal, que a responsabilidade dos agentes de tratamento é objetiva, por força do disposto no art. 927, parágrafo único, do Código Civil, haja vista que o tratamento de dados pessoais, abstratamente considerado, é uma atividade de risco. Essa conclusão é confirmada pela redação do art. 43 da LGPD, que exclui a responsabilidade dos agentes de tratamento apenas naquelas específicas hipóteses, semelhantes às que afastam a responsabilidade do fornecedor pelo fato do produto e do serviço (CDC, art. 12, § 3º).

Assim, embora o entendimento versado em obra pretérita permaneça válido – inclusive porque embasado nos apontamentos da Comissão Especial da Câmara dos Deputados constituída para proferir parecer sobre o Projeto de Lei n.º 4.060/2012, do qual se originaria a LGPD –, ele merece temperamentos. Isso porque a atividade de tratamento de dados pessoais é bastante heterogênea, havendo aqueles que tratam informações pessoais de maneira esporádica e marginal à sua atividade econômica fim, e aqueles que têm no tratamento de dados pessoais a própria razão de ser da sua atividade.

Dois exemplos13 serão capazes de aclarar a questão. Tome-se o caso da academia de ginástica do bairro, que conta com pouco mais de cem alunos assinantes de seus planos de exercícios e trata os dados pessoais ordinários14 de tais indivíduos apenas para manter uma lista de destinatários das suas mensagens eletrônicas informativas (horário de funcionamento da academia em feriados, v.g.). Em contraste à academia de ginástica do bairro, existe a empresa que trabalha com mineração de dados pessoais, tudo com vistas a fornecer relevantes e valiosas informações de consumo de um determinado grupo de pessoas aos seus contratantes.

Parece evidente que a realidade de uma e outra empresa, ambas agentes de tratamento em franco exercício de atividades envolvendo o tratamento de dados pessoais, não é a mesma. Daí porque é necessário dizer que, embora o figurino legal (art. 42, caput, LGPD) preveja a responsabilidade objetiva dos agentes de tratamento de dados pessoais – conclusão que decorre da interpretação sistemática da Lei Geral com o art. 927, parágrafo único, do CCB –, somente será assim quando o tratamento de dados pessoais for a atividade normalmente desenvolvida pelo agente.

Note-se que, no caso da academia de ginástica, o tratamento de dados pessoais dos alunos é uma atividade marginal, que não cabe na dicção legal do citado dispositivo (art. 927, parágrafo único, CCB): “atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem” (BRASIL, 2002, online). O mesmo não ocorre com a empresa mineradora de dados, cuja atividade normalmente desenvolvida, por sua própria natureza, implica risco superior aos direitos de outrem.

Sobre a natureza da atividade implicar risco superior aos direitos de outrem, não pairam dúvidas de que é condição satisfeita pela atividade de tratamento dos dados pessoais. A questão está em saber, no caso concreto, se tal atividade preenche de sentido a cláusula aberta “atividade normalmente desenvolvida”, de modo a aquilatar se, naquela específica situação, os riscos envolvidos são especialmente consideráveis. A distinção ora estabelecida pode ser confirmada pelo Enunciado 448 da V Jornada de Direito Civil do Conselho da Justiça Federal15, que leva em consideração, para fins de delimitação da matéria, elementos como estatística, prova técnica e máximas de experiência.

Pretende-se dizer, com isso, que a incidência da responsabilidade objetiva em matéria de tratamento de dados pessoais não decorre, unicamente, do fato de o agente tratar dados pessoais. É necessário considerar outras questões, notadamente a centralidade do tratamento dos dados pessoais na atividade do agente envolvido16.

Pode-se afirmar, portanto, que, embora a responsabilidade civil objetiva dos agentes de tratamento decorra de uma interpretação sistemática da LGPD (art. 42, caput) e do Código Civil (cf. art. 927, parágrafo único), será necessário perscrutar, casuisticamente, se o tratamento de dados pessoais consubstancia atividade normalmente desenvolvida pelo ofensor. Caso não constitua, deverá incidir a responsabilidade subjetiva, avaliando-se, por conseguinte, a conduta culposa do agente de tratamento pelos danos causados a outrem.

Nos casos submetidos à apreciação judicial, caberá ao Poder Judiciário definir se a responsabilidade aplicável terá cunho objetivo ou subjetivo. Nessa hipótese, é possível que os tribunais estabeleçam atividades que, por sua natureza, e pela habitualidade com que são exercidas por determinados agentes de tratamento, implicam, aprioristicamente, a adoção da responsabilidade objetiva. Pode-se citar como exemplo o tratamento de dados pessoais por laboratórios de análises clínicas ou ainda por operadoras de planos e seguros de assistência à saúde. Referidos agentes, além de terem no tratamento de dados pessoais uma atividade central, normalmente desenvolvida, lidam com dados sensíveis17, porque são relativos à saúde dos titulares.

Nada obsta, de outro lado, que a Autoridade Nacional de Proteção de Dados (ANPD), no exercício de suas competências, estabeleça rol exemplificativo de atividades que, por sua própria natureza e habitualidade, impõem responsabilidade objetiva aos agentes que as exercem. Essa conclusão decorre do disposto no art. 55-J, inciso XIII, da LGPD, segundo o qual compete à ANPD editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei.

A ANPD poderá, no exercício de sua competência sobre a edição de regulamentos e procedimentos atinentes ao relatório de impacto à proteção de dados pessoais, identificar, aprioristicamente, os casos em que o tratamento de dados representa risco incomum à garantia dos direitos dos titulares. Em tal hipótese, referidas atividades podem ser tidas, a priori, como atrativas da responsabilidade objetiva do agente.

5 A REGRA DE HAND COMO PARÂMETRO DA RESPONSABILIDADE CIVIL SUBJETIVA NA LGPD

Estabelecida a premissa segundo a qual nem sempre haverá responsabilidade objetiva dos agentes de tratamento de dados pessoais, cumpre estabelecer como, e em que medida, a fórmula ou regra de Hand poderá servir de parâmetro para a responsabilização daqueles agentes.

O juiz estadunidense Learned Hand se deparou, em 1957, com a necessidade de decidir se o proprietário de um rebocador (Carroll) deveria ressarcir os danos sofridos por um segundo barco (Anna C), carregado com farinha de trigo comprada pelo Governo dos Estados Unidos da América do Norte. O rebocador Carroll causara movimentos bruscos na Baía de Nova Iorque, fazendo que o cargueiro Anna C, embora devidamente amarrado ao cais, mas sem tripulantes a bordo, se desprendesse, abalroando a hélice de um outro barco e afundando, com perda total da carga pertencente ao Governo estadunidense.

O magistrado decidiu que a proprietária do rebocador Carroll deveria indenizar apenas parte dos prejuízos sofridos pela empresa dona de Anna C, uma vez que esta última contribuíra para a ocorrência dos danos. Todavia, a proprietária de Anna C também deveria participar do prejuízo, uma vez que lhe seria perfeitamente possível ter mantido pelo menos um tripulante a bordo da embarcação, o que teria impedido o acidente. Nos fundamentos de sua decisão, o juiz Learned Hand ponderou que a definição do dever de indenizar deve considerar três variáveis, a saber: (i) probabilidade de o evento danoso ocorrer; (ii) gravidade dos danos decorrentes do evento; (iii) custo de adoção das precauções necessárias para evitar o evento danoso.

Estabelecidas tais premissas, o juiz cunhou uma fórmula para avaliar a responsabilidade do agente causador de um dano, asseverando que haverá o dever de indenizar quando o ônus da precaução (B) for menor do que a probabilidade (P) de ocorrência do dano multiplicada por sua gravidade (L), isto é, B < P.L.

Em apressada síntese, pode-se dizer que a regra de Hand prevê uma ponderação dos custos e dos benefícios de determinada conduta, tudo com vistas a aferir se o nível de negligência18 em que incorreu o agente ofensor é capaz de lhe impor o dever de indenizar.

A regra se aplica perfeitamente à responsabilidade subjetiva decorrente do tratamento de dados pessoais no Brasil. A confirmar tal conclusão, é de imperativa citação o art. 44, parágrafo único, da LGPD: “Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano.” (BRASIL, 2018, online).

O art. 46, de seu lado, impõe aos agentes de tratamento de dados pessoais a adoção de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

No entanto, é consabido, as medidas tendentes a violar os dados pessoais caminham em velocidade muito maior do que é possível evitá-las. Não fosse isso bastante, são maciços – e, não raro, inacessíveis – os investimentos necessários para proteger os dados pessoais de acessos não autorizados.

Tanto é assim, que o § 1º do art. 46 da LGPD estipula a faculdade de a Autoridade Nacional de Proteção de Dados (ANPD) estabelecer padrões técnicos mínimos relacionados à adoção das medidas de segurança, considerando, para tanto, entre outras questões, o estado da tecnologia então existente19.

É intuitivo concluir, no exemplo da academia de ginástica do bairro, que não tem no tratamento de dados pessoais sua atividade normalmente desenvolvida, a impossibilidade de se lhe exigir a aplicação de vultosos recursos em sistema informatizado de proteção dos dados mantidos no seu único computador de mesa.

Admita-se, para fins de aplicação das variáveis da regra de Hand, os seguintes dados hipotéticos:

1. Probabilidade de o sistema da academia de ginástica do bairro ser objeto da ação criminosa de hackers: 1%.
2. Gravidade dos danos causados em caso de invasão do sistema: R$ 10.000,00.
3. Ônus de aquisição de software que impediria o sucesso do ataque hacker: R$ 2.000,00.

Conclui-se que o custo do sistema (R$ 2.000,00) é muitíssimo superior às medidas de redução do dano previsto, R$ 100,00 (1% de R$ 10.000,00), de sorte que estaria descartada, pela regra de Hand, a conduta negligente da academia de ginástica do bairro. Em casos desse gênero, com base na multicitada fórmula, não seria cabível a responsabilização civil do agente de tratamento.

Desfecho em tudo diverso se daria se a probabilidade do risco e a gravidade dos danos causados fossem exponencialmente superiores ao do exemplo anterior. De efeito, se a probabilidade da ação criminosa fosse da ordem de 20% e a gravidade dos danos no importe de R$ 500.000,00, chegar-se-ia a um dano previsto de R$ 100.000,00. O investimento no software de proteção aos danos, de apenas R$ 2.000,00, tornaria inequívoca a grave negligência do agente de tratamento dos dados pessoais, impondo-lhe o dever de indenizar.

Os exemplos citados consideraram a aplicação da regra de Hand em estágio único, e não em dois estágios. Quando se consideram dois estágios, inicialmente se cria um padrão geral (standard), para, só então, confrontar a específica conduta do ofensor com o padrão estabelecido20.

Não obstante o entendimento, sobretudo o explanado pela doutrina estrangeira, no sentido de que a aplicação da regra em dois estágios ostenta elevado valor teórico, não se pode ignorar as dificuldades práticas que tal procedimento encerra21. Daí porque se optou, para os fins deste artigo, pela aplicação da regra de Hand em estágio único.

Uma questão interessante que se coloca diz respeito à definição das variáveis que comporão o cálculo proposto pela fórmula de Hand, especificamente no que diz respeito à probabilidade do dano (risco) e à sua quantificação. Sobre isso, tem-se que o relatório de impacto à proteção de dados pessoais será de extrema valia.

De acordo com o art. 5º, inciso XVII, da LGPD, o relatório de impacto à proteção de dados pessoais é a documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco. A Lei Geral ainda veicula prescrição, em seu art. 38, parágrafo único, estabelecendo o conteúdo mínimo do relatório de impacto:

Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.

Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados (BRASIL, 2018, online).

Como facilmente se percebe, o relatório de impacto será capaz de oferecer os dados necessários à definição da probabilidade do dano e da sua quantificação em caso de violação à Lei Geral22.

A ANPD poderá, inclusive, utilizar as informações contidas nos relatórios de impacto à proteção de dados pessoais para definir os padrões técnicos mínimos atinentes às medidas de segurança a serem observadas pelos agentes de tratamento, bem como para fixar, em regulamento, quais atividades, pelo risco que implicam, submetem tais agentes à responsabilidade objetiva por danos causados aos titulares de dados pessoais.

Por tudo isso, a regra de Hand, aplicada em procedimento de estágio único, tem o mérito de promover a objetivação do conceito de homem razoável, ou de prevenção23 possível, sobretudo quando se considera que a ideia de culpa se relaciona com a não adoção de medidas mitigadoras do risco e que seriam apropriadas para que se evitem danos a terceiros (FRADERA; BATTESINI, 2010, n.p.).

Como se vê, a regra de Hand pode encontrar perfeita aplicação ao sistema de responsabilidade civil previsto na Lei Geral de Proteção de Dados Pessoais, tornando menos tormentosa a vida dos magistrados que precisarão decidir se, em determinado caso, foram adotadas as providências que um homem médio teria levado a efeito para impedir danos a outrem.

Deve-se registrar, todavia, que a utilização da fórmula [matemática] de Hand, conquanto possa ser útil, não deverá ser tomada como único critério possível para estabelecer ou afastar o dever de indenizar. Em verdade, sua utilidade consiste basicamente em oferecer uma lógica objetiva para fins de análise da conduta do agente de tratamento, perscrutando se, dadas as variáveis estabelecidas na fórmula, teria ele agido de acordo com o que se espera de um homem prudente.

É válida, a esse respeito, a advertência de Beck (2011) sobre a inglória pretensão de objetivar-se o nível de risco do risco24, seja porque tal providência estará sempre baseada em conjecturas probabilísticas, seja porque falar sobre risco com relativa propriedade implica assumir uma visão valorativa, que compromete aquela mesma objetividade.

Não obstante sejam reais as dificuldades expostas por Beck (2011), a aplicação da fórmula de Hand ainda tem a vantagem de oferecer um critério minimamente objetivo para a aferição da conduta do agente de tratamento de dados pessoais à vista do risco à que sua atividade o expõe.

6 CONCLUSÕES

A Lei Geral de Proteção de Dados Pessoais surge da necessidade de se garantirem direitos fundamentais dos indivíduos, notadamente privacidade e intimidade. Busca, ainda, consoante enuncia logo em seu art. 1º, proteger o livre desenvolvimento da personalidade da pessoa natural, providência dificultada pelos dilemas que a modernidade impõe às mais diversas organizações sociais.

Por isso, a LGPD possui dispositivos específicos para regular a responsabilidade civil por danos relacionados à atividade de tratamento dos dados pessoais, cujos conceitos, como se viu, são os mais amplos possíveis. É riquíssima e heterogênea a gama de atividades que envolvem o tratamento de dados pessoais, sendo certo que, para alguns agentes de tratamento, é central o papel que os dados pessoais ocupam no desenvolvimento de seus misteres.

Embora tenha buscado clara inspiração nas regras consumeristas, a LGPD peca por não especificar, de forma expressa, como faz o CDC, o tipo de responsabilidade civil decorrente de violações à legislação protetiva de dados pessoais, se de ordem objetiva ou subjetiva.

Em verdade, é possível que o legislador, atento à diversidade e à heterogeneidade das operações de tratamento existentes – e a existir –, tenha preferido não delimitar imediatamente a espécie de responsabilidade em questão, se objetiva ou subjetiva, deixando tal definição ao alvedrio da regra geral de responsabilidade objetiva prevista no art. 927, parágrafo único, do Código Civil.

Destarte, apenas “quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem”, será a hipótese de se falar em responsabilidade objetiva dos agentes de tratamento.

A definição do tipo de responsabilidade imposta pela LGPD aos operadores e aos controladores de dados pessoais é uma variável certamente considerada pelos agentes econômicos no momento de aquilatar o risco das atividades em que pretendem investir. A questão, dessarte, supera em muito o mero academicismo, tendo impactos relevantes no desenvolvimento da atividade econômica.

Firme em tais premissas, identificou-se a necessidade de distinguir os agentes de tratamento que têm nas atividades com dados pessoais uma conduta marginal daqueles para os quais os dados são fundamentais ao exercício normal de suas atividades. No segundo caso, deve imperar a regra da responsabilidade objetiva, fundada no parágrafo único, art. 927 do Código Civil. Isso não se pode dizer, entretanto, do primeiro caso, em que o tratamento de dados pessoais é meramente lateral e, portanto, não subsumível à hipótese de “atividade normalmente desenvolvida pelo autor do dano”.

Quando submetida ao escrutínio do Poder Judiciário, a questão será aferida casuisticamente, verificando-se se as atividades desenvolvidas pelo agente de tratamento se sujeitam ao disposto no parágrafo único do art. 927 do Código Civil. Tudo isso sem prejuízo de que julgamentos reiterados em determinado sentido possam levar à formação de precedentes capazes de tornar a análise judicial menos atrelada ao caso concreto.

A ANPD, de igual modo, no exercício de suas competências, poderá definir previamente atividades e agentes de tratamento para os quais será imperiosa a aplicação da responsabilidade objetiva, utilizando-se, para tanto, dos relatórios de impactos à proteção de dados pessoais.

Nos casos em que as atividades do agente de tratamento não estão incursas nos mencionados critérios definidores da responsabilidade objetiva, deve-se cogitar a incidência da responsabilidade subjetiva, que exige a presença de culpa. Nessa hipótese, será prevalente, para fins de imposição do dever de indenizar, verificar a adoção de medidas razoáveis – ou padrões técnicos mínimos, para se utilizar a dicção da Lei Geral, cf. art. 45, § 1º – capazes de evitar a ocorrência do dano.

É exatamente nesse contexto que assoma a relevância da regra de Hand, cujo principal mérito consiste em objetivar os critérios capazes de definir se, em determinado caso concreto, houve negligência punível. As variáveis da fórmula (probabilidade, gravidade do dano e ônus da precaução) poderão ser obtidas pela utilização dos mesmos critérios versados no relatório de impacto à proteção de dados pessoais, ainda que em concurso com a ajuda de técnicos especialistas.

A adoção dos critérios estabelecidos na regra de Hand, no que respeita à responsabilidade civil dos agentes de tratamento, ganha contornos ainda mais evidentes quando se considera que a própria evolução tecnológica dificulta o uso de medidas eficazes para a proteção dos titulares de dados pessoais. É assim porque, mesmo com investimentos vultosos em medidas tecnológicas de proteção, estarão sempre à frente desse cenário as providências encetadas por aqueles que pretendem violar a privacidade e a intimidade das pessoas.

Nesse contexto, mesmo quando o agente de tratamento dos dados pessoais adota medidas protetivas tidas como efetivas, poderá ver-se enredado em algum episódio de violação das regras previstas na Lei Geral. Em casos assim, não seria viável impor, sem maiores considerações, o dever de indenizar, sob pena de se sacrificar aquele que foi razoavelmente prudente no exercício de suas atividades.

Conclui-se, pois, que a análise dos dispositivos específicos da LGPD, que tratam da responsabilidade civil, revelou ser a regra de Hand perfeitamente aplicável ao sistema de responsabilidade estabelecido pela norma protetiva de dados. Deve, pois, ser utilizada pelos magistrados ao momento de decidir se determinada conduta do agente de tratamento de dados pessoais consubstanciou negligência bastante forte para impor o dever de indenizar os titulares de dados pessoais prejudicados por violação à LGPD.

Embora útil, a regra de Hand, porque incapaz de assimilar a multiplicidade de elementos envolvidos na análise de uma situação jurídica concreta, não poderá ser tomada como critério isolado para impor ou afastar o dever de indenizar. Com efeito, é possível que as peculiaridades do caso imponham tal obrigação – de ressarcir os danos causados –, mesmo quando a fórmula aponte em sentido oposto. O contrário poderá ser igualmente viável.

Disso não decorre, por todo o exposto no presente artigo, a inutilidade da formulação do juiz estadunidense, que, como visto, ao objetivar um meio de apurar aquilo que se espera de um homem razoável, num contexto adequado de prevenção, indicará um norte para a definição da negligência dos agentes de tratamento, nos termos da LGPD, quando o caso for de responsabilidade subjetiva.

Material suplementar

REFERÊNCIAS

BATTESINI, Eugênio. Direito e economia: novos horizontes no estudo da responsabilidade civil no Brasil. 2010. 450 f. Tese (Doutorado em Direito) – Universidade Federal do Rio Grande do Sul, Porto Alegre, 2010.

BATTESINI, Eugênio. Incremental Learned Hand Standard, Degrees of Negligence and Allocation of Damages: a Comparative Tort Law and Economics Approach. Economic Analysis of Law Review, Brasília, v. 11, n. 1, p. 48-79, jan./abr. 2020.

BAUMAN, Zygmunt. Tempos líquidos. Rio de Janeiro: Jorge Zahar Ed., 2007.

BECK, Ulrich. Sociedade de risco: rumo a uma outra modernidade. São Paulo: editora 34, 2011.

BRASIL. Congresso. Câmara dos Deputados. Parecer da Comissão Especial sobre o Projeto de Lei n.º 4.060/2012. Disponível em:https://www.camara.leg.br/proposicoesWeb/fichadetramitacao?idProposicao=548066. Acesso em: 23 jun. 2021.

BRASIL. Constituição da República Federativa do Brasil de 1988. Brasília, DF: Presidência da República, 1988. Disponível em: http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm. Acesso em: 22 jun. 2021.

BRASIL. Lei n o 10.406, de 10 de janeiro de 2002. Institui o Código Civil. Brasília, DF: Presidência da República, 2002. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/2002/L10406.htm. Acesso em: 22 jun. 2021.

BRASIL. Lei nº 8.078, de 11 de setembro de 1990. Dispõe sobre a proteção do consumidor e dá outras providências. Brasília, DF: Presidência da República, 1990. Disponível em: http://www.planalto.gov.br/ccivil_03/Leis/L8078compilado.htm. Acesso em: 22 jun. 2021.

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília, DF: Presidência da República, 2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm Acesso em: 22 jun. 2021.

BRASIL. Conselho da Justiça Federal. Jornada de Direito Civil. Enunciado 448. Disponível em: https://www.cjf.jus.br/enunciados/enunciado/377. Acesso em: 24 jun. 2021.

FARIA, José Eduardo. Direitos Humanos e globalização econômica: notas para uma discussão. Estudos Avançados, v. 11, n. 30, p. 43-53, ago. 1997. Disponível em: https://www.revistas.usp.br/eav/article/view/8994. Acesso em: 14 abr. 2021.

FIGO, Anderson. Este gráfico mostra as 100 marcas mais valiosas do mundo em 2020. InfoMoney, 23 fev. 2020. Disponível em: https://bit.ly/3i3xQ4s. Acesso em: 21 jun. 2021.

FRADERA, Vera Jacob; BATTESINI, Eugênio. Direito, Economia e Responsabilidade Civil em Perspectiva Comparativa: A Aplicação da Regra de Hand como Critério de Determinação da Responsabilidade Subjetiva no Brasil. Latin American and Caribbean Law and Economics Association (ALACDE) Annual Papers. Berkeley Program in Law and Economics, UC Berkeley (EUA), 2010.

GIDDENS, Anthony. As consequências da modernidade. São Paulo: Editora Unesp, 1991.

MENDES, Laura Schertel Ferreira. Habeas data e autodeterminação informativa: os dois lados da mesma moeda. Direitos Fundamentais & Justiça, Belo Horizonte, ano 12, n. 39, p. 185-216, jul./dez. 2018. DOI: http://dx.doi.org/10.30899/dfj.v12i39.655. Disponível em: https://bit.ly/38YINjO. Acesso em: 26 maio 2020.

MORAES, Maria Celina Bodin de. LGPD: um novo regime de responsabilização civil dito “proativo”. Revista Civilística, Rio de Janeiro, v. 8, n. 3, 2019. Disponível em: http://civilistica.com/lgpd-um-novo-regime/. Acesso em: 27 jun. 2020.

PEREIRA, Caio Mário da Silva. Instituições de direito civil. 12. ed. Rio de Janeiro: Forense, 2007. v. 3.

REGULATION (EU) 2016/679. General Data Protection Regulation. Disponível em: https://gdpr-info.eu. Acesso em: 23 jun. 2021.

RODOTÀ, Stefano. Derecho a tener derechos. Traducción José Manuel Revuelta. Madrid: Editorial Trotta, 2014.

ROSA, João Guimarães. Grande sertão: veredas. Rio de Janeiro: Nova Fronteira, 2006. Ed. Comemorativa.

SANTOS, Rômulo Marcel Souto dos. Fundamentos jurídicos da proteção de dados pessoais e da privacidade: direitos fundamentais e legislação comentada. Rio de Janeiro: Lumen Juris, 2020.

SUNSTEIN, Cass. A verdade sobre os boatos. Rio de Janeiro: Elsevier, 2010.

SUNSTEIN, Cass. Para além do princípio da precaução. RDA – Revista de Direito Administrativo, Rio de Janeiro, v. 259, p. 11-71, jan./abr. 2012.

TARTUCE, Flávio. Responsabilidade civil objetiva e risco: a teoria do risco concorrente. Rio de Janeiro: Forense, 2011.

Notas

NOTA

Rômulo Marcel estabeleceu a relação entre a responsabilidade civil dos agentes de tratamento de dados pessoais, nos termos definidos pela Lei Geral de Proteção de Dados Pessoais, e a regra de Hand, cuidando de escrever a minuta inicial do artigo. André Studart aportou relevantes contribuições bibliográficas e de conteúdo, as quais enriqueceram sobremaneira a temática exposta, além de proceder a uma revisão criteriosa do texto. Erik Navarro sugeriu alterações centrais, especialmente no que diz respeito à exposição do tipo de responsabilidade prevista na LGPD.

1 Bauman (2007, p. 9) esclarece que “A ‘sociedade’ é cada vez mais vista e tratada como uma ‘rede’ em vez de uma ‘estrutura’ (para não falar em uma ‘totalidade sólida’): ela é percebida e encarada como uma matriz de conexões e desconexões aleatórias e de um volume essencialmente infinito de permutações possíveis.”

2 Uma simples consulta às empresas mais valiosas do mundo (FIGO, 2020, online) revela que, entre as cinco primeiras colocadas (1. Amazon; 2. Google; 3. Apple; 4. Microsoft; 5. Samsung), apenas uma delas não lida diretamente com tecnologia. Até mesmo a Amazon, que ocupa a primeira posição no ranque e pertence ao setor de varejo, tem sua operação centrada na rede mundial de computadores, para a qual os consumidores acorrem com vistas a adquirir os produtos vendidos pela citada firma.

3 A Cambridge Analytica foi formalmente acusada de utilizar dados fornecidos pelo Facebook para traçar o perfil psicográfico dos eleitores ianques aptos ao voto nas eleições de 2016. A ideia era vencer a polarização da política estadunidense, identificando os eleitores mais influenciáveis e lhes dirigindo propaganda massiva para que direcionassem seu voto ao candidato republicano. Um dos milhões de eleitores que tiveram seus dados tratados pela Cambridge Analytica, o professor David Carroll, inconformado com a situação a que foi exposto, resolveu requerer, no Reino Unido – onde ficava a sede da empresa – acesso à íntegra dos seus dados pessoais.

4 Faria (1997, p. 44) chama atenção para as dificuldades que a globalização impõe às tentativas regulatórias: “Não é difícil verificar como o fato vem ocorrendo. Diante do policentrismo que hoje caracteriza a economia globalizada, o direito positivo e suas instituições perdem uma parte significativa de sua jurisdição. Como foram concebidos para atuar dentro de limites territoriais precisos, com base nos instrumentos de violência monopolizados pelo Estado, seu alcance ou seu universo tende a diminuir na mesma proporção em que as barreiras geográficas vão sendo superadas pela expansão da microeletrônica, da informática, das telecomunicações e dos transportes. E quanto maior é a velocidade desse processo, mais os tribunais passam a ser atravessados pelas justiças emergentes, quer nos espaços infra-estatais (os locais, por exemplo) quer nos espaços supra-estatais.”

5 Nesse sentido, é o posicionamento de Moraes (2019, p. 4): “Isso poderia fazer crer que, ao determinar o regime de responsabilidade civil que consta dos arts. 42 e seguintes, teria o legislador da LGPD optado pelo regime da responsabilidade civil subjetiva, considerando seja a imprescindibilidade do descumprimento (a mencionada violação da lei) por parte do causador, seja a excludente de responsabilidade prevista no inciso II do art. 43, LGPD (que autoriza a prova de inexistência de falta – rectius, violação à legislação – pelo tratador de dados), seja, enfim, a ausência de qualquer menção legislativa à responsabilidade sem culpa, todos mecanismos típicos do regime subjetivo.”

6 Sunstein (2012, p. 17) é preciso na análise dessa questão: “Em muitos aspectos, o princípio da precaução parece bastante razoável, até mesmo atraente. Para justificar a regulação, a certeza de dano não deve ser exigida; um risco, até mesmo baixo, pode ser suficiente. Faz sentido gastar recursos para prevenir mesmo uma chance pequena de desastre; pense, por exemplo, na grande quantidade de recursos, não apenas pecuniários, que são investidos para prevenir atentados terroristas. Em condições razoáveis, é válido despender esses recursos mesmo se a probabilidade de dano, em casos individuais ou mesmo no total, for relativamente baixa. O princípio da precaução pode ser visto como um apelo por um tipo de seguro regulatório. Certamente, o princípio pode fazer algum bem ao mundo real, estimulando governos a enfrentar problemas negligenciados. Apesar disso, insistirei no fato de que o princípio não pode ser totalmente defendido nesses moldes, simplesmente porque os riscos estão sempre presentes nas situações sociais. Qualquer esforço para tornar a precaução universal será paralisante, proibindo qualquer passo imaginável.”

7 Para Rodotá (2014, p. 151): “El reconocimiento de la importancia de la persona sería incompleto si se limitase a corroborar y a colocar en el determinado contexto de la innovación científica y tecnológica la no escindible condición entre cuerpo y alma olvidando la dimensión dei «cuerpo electrónico». Mientras que resulta reductivo y peligroso afirmar que «somos nuestros datas», lo cierto es que nuestra vida es hoy un constante intercambio de informaciones, que vivimos en un flujo ininterrumpido de datas, de manera que construcción, identidad y reconocimiento de la persona dependen de modo inseparable de cómo se considere el conjunto de datas que la afectan. Aquí no hay abstracción de lo real, atracción por la pura virtualidad. En la dinámica de las relaciones sociales y también en la percepción de uno mismo, la verdadera realidad es la definida por el conjunto de las informaciones que nos afectan, organizadas electrónicamente. Este es el cuerpo que nos sitúa en el mundo.”

8 Sunstein (2010, p. 90), ao dissertar sobre a sociedade da vigilância, confirma o impacto das novas tecnologias sobre a privacidade e a intimidade das pessoas: “Para especificar, imagine um mundo, não muito diferente do que parece estar surgindo em nosso próprio mundo, no qual nossa vida é monitorada e filmada, não pelo governo, mas por tecnologias usadas por nossos iguais. Em um futuro não impossivelmente distante, a Google, ou outra coisa, pode ser capaz de registrar cada momento de cada dia sobre o planeta, transmitir cada um deles ao vivo (talvez em um site que permita dar um ‘zoom’ em qualquer parte) e armazenar todos esses momentos para a posteridade. É claro que esse registro traria sérios riscos à privacidade individual.”

9 Sobre a questão, a análise de Giddens (1991, p. 15) é demasiado precisa: “O mundo em que vivemos hoje é um mundo carregado e perigoso. Isto tem servido para fazer mais do que simplesmente enfraquecer ou nos forçar a provar a suposição de que a emergência da modernidade levaria à formação de uma ordem social mais feliz e mais segura. A perda da crença no ‘progresso’, é claro, é um dos fatores que fundamentam a dissolução de ‘narrativas’ da história. Há, aqui, entretanto, muito mais em jogo do que a conclusão de que a história ‘vai a lugar nenhum’. Temos que desenvolver uma análise institucional do caráter de dois gumes da modernidade. Fazendo-o, devemos corroborar algumas das limitações das perspectivas sociológicas clássicas, limitações que continuam a afetar o pensamento sociológico nos dias de hoje.”

10 De acordo com Mendes (2018, p. 188): “Para além da coincidência do léxico com os modernos instrumentos internacionais de tutela da privacidade, certo é que a proteção da dignidade humana e a inviolabilidade da intimidade e da vida privada numa sociedade da informação somente pode ser atingida hoje por meio da proteção contra os riscos do processamento de dados pessoais. Assim, quando se interpreta a norma do art. 5º, X, em conjunto com a garantia do habeas data e com o princípio fundamental da dignidade humana, é possível extrair-se da Constituição Federal um verdadeiro direito fundamental à proteção de dados pessoais. Entendemos que o reconhecimento desse direito fundamental não é apenas uma possibilidade; trata-se de uma necessidade para tornar efetivos os fundamentos e princípios do Estado democrático de direito, na sociedade contemporânea da informação, conforme determina a Constituição Federal.”

11 Dissertando sobre o tema, Pereira (2007, p. 556) explica: “O fundamento maior da responsabilidade civil está na culpa. É fato comprovado que se mostrou esta insuficiente para cobrir toda a gama dos danos ressarcíveis; mas é fato igualmente comprovado que, na sua grande maioria, os atos lesivos são causados pela conduta antijurídica do agente, por negligência ou por imprudência. Aceitando, embora, que a responsabilidade civil se construiu tradicionalmente sobre o conceito de culpa, o jurista moderno convenceu-se de que esta não satisfaz. Deixado à vítima o ônus da prova de que o ofensor procedeu antijuridicamente, a deficiência de meios, a desigualdade de fortuna, a própria organização social acabam por deixar larga cópia de danos descobertos e sem indenização. A evolução da responsabilidade civil gravita em torno da necessidade de socorrer a vítima, o que tem levado a doutrina e a jurisprudência a marchar adiante dos códigos, cujos princípios constritores entravam o desenvolvimento e a aplicação da boa justiça. Foi preciso recorrer a outros meios técnicos, e aceitar, vencendo para isto resistências quotidianas, que em muitos casos o dano é reparável sem o fundamento da culpa.”

12 Exemplo de previsão legal expressa da responsabilidade objetiva pode ser vista nos artigos 937 e 938 do Código Civil brasileiro.

13 Não se ignora a prescrição inserta no art. 45 da LGPD, segundo a qual “As hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente.” Assim, o primeiro exemplo citado estaria sob a regência da responsabilidade objetiva prevista no CDC. De qualquer sorte, por razões didáticas, adota-se a exemplificação ora exposta.

14 Dados pessoais ordinários são aqueles comuns, gerais, contrapostos pela LGPD aos dados pessoais sensíveis (art. 5º, inciso II).

15 “A regra do art. 927, parágrafo único, segunda parte, do CC aplica-se sempre que a atividade normalmente desenvolvida, mesmo sem defeito e não essencialmente perigosa, induza, por sua natureza, risco especial e diferenciado aos direitos de outrem. São critérios de avaliação desse risco, entre outros, a estatística, a prova técnica e as máximas de experiência.” (BRASIL, 2021, online).

16 As lições de Tartuce (2011, p. 215-216), mutatis mutandis, vêm ao encontro das ilações aqui apresentadas: “Conclui-se que todos os doutrinadores citados em parte têm razão. Em regra, parece ser a teoria do risco a mais adequada para a solução dos problemas digitais, podendo, sim, incidir o art. 927, parágrafo único, do Código Civil. Todavia, não se pode dizer que manter um lugar digital, por si só, implica riscos. Ilustrando, não é possível afirmar que ter um blog para a veiculação de notícias representa riscos a outrem. No entanto, manter e administrar uma grande comunidade digital de relacionamentos gera riscos de lesão à intimidade alheia. O risco fica superdimensionado no caso de se manter um site com material pornográfico tido como amador. Isso também deve ser dito em relação àquele que é provedor ou proprietário de um endereço de vendas por quem não é profissional, o que foge da relação de consumo, em regra.”

17 O conceito de dado pessoal sensível se acha encartado no art. 5º, inciso II, da LGPD: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

18 Battesini (2020, p. 50), em interessante artigo sobre os graus de negligência e a alocação de danos, esclarece: “The basic idea inherent to the concept of negligence is that of misconduct, of failure to adopt appropriate precautionary measures, of not taking the possible and necessary preliminary steps to avoid causing damage to others, of lack of diligence in the observance of the duty of care imposed by the law. Schäfer and Ott perceptively note that, according to the principle of negligence, the person responsible for the damage will be the one who has caused it through deficient behavior, that is, through ‘erroneous control of his or her own behavior’ (1991, p. 221), emphasizing that, ‘the basic idea of negligence is that a person is held liable for damage caused by an activity if, and only if, it is the result of breaching a due level of care’ (2004, p. 134).”

19 “§ 1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei.” (BRASIL, 2018, online).

20 Battesini (2010, p. 278-279) explica: “Considerando os fundamentos de análise econômica da responsabilidade civil, verifica-se, à luz da formulação marginal da regra de Hand, que a primeira decisão judicial envolve a determinação de um nível razoável de precaução exigível no caso concreto, nível equivalente ou aproximado ao ótimo social (ponto ‘X*’ ou ponto próximo a ‘X*’ – gráfico 4), e a segunda decisão judicial envolve a realização da comparação do nível de precaução efetivamente adotado frente ao nível razoável de precaução estabelecido (por hipótese, ponto ‘X1’ vis a vis ponto ‘X*’ – gráfico 4).”

21 De acordo com Fradera e Battesini (2010, n.p.), “Mark Grady sugere que o uso do processo em dois estágios é teórico, mas não prático, registrando que, em realidade: ‘Contrariamente à teoria, as cortes não estão envolvidas com a questão de tornar os padrões de precaução cada vez mais claros para fins de comparação com a conduta individual. Ao invés disso, as cortes parecem estar realizando um empreendimento mais modesto: elas consideram as alegações do demandante no sentido de que o demandado não adotou medidas de precaução e perguntam, à luz das precauções adotadas, se alguma medida de precaução em particular proporcionaria benefícios (na redução de acidentes) superiores aos custos associados.’ Avançando na linha de raciocínio proposta por Mark Grady, Hans-Bernd Schäfer e Claus Ott consignam que, na prática jurídica, ‘com frequência nós não observamos um processo em dois estágios no qual um standard é estabelecido e então o comportamento é confrontado, mas, ao invés, um processo de decisão em um estágio’, enfatizando que o litígio judicial envolve o exame de alternativas concretas para evitar um particular acidente, sendo que, em muitos casos, é suficiente que a corte possa determinar com certeza que era requerido que o réu fizesse mais do que ele fez, ou que reste claro que o réu tenha tomado mais do que a precaução suficiente.”

22 Deve-se ressalvar, todavia, que a fixação das variáveis para a aplicação da regra de Hand nem sempre será simples, podendo exigir, em certos casos, o concurso de especialistas de múltiplas áreas do conhecimento, a exemplo de segurança da informação, engenharia de software etc.

23 Fradera e Battesini (2010), no texto colacionado, utilizam o vocábulo precaução, que não se confunde com prevenção. Sunstein (2012, p. 13) explica que, “em todo o mundo, há um interesse crescente em uma ideia simples de regulação de risco: em caso de dúvida, siga o princípio da precaução. Evite quaisquer medidas que criem a possibilidade de dano. Até que se confirme a segurança da medida, é preciso ser cuidadoso; não exija provas incontestáveis.” Deve-se sublinhar que a precaução assume caráter paralisante, uma vez que impede o exercício de determinadas atividades pelo simples fato de implicarem risco abstrato, seja ele de que natureza e intensidade for. Desafia, pois, a máxima de Rosa (2006, p. 13), segundo a qual “viver é muito perigoso...”, impondo que se evitem determinadas condutas pelo só fato de implicarem, remota e abstratamente, risco. O princípio da prevenção, em contraponto, lida com o risco concreto, identificado, impondo a adoção de medidas tendentes a mitigá-lo ou neutralizá-lo. Cuida-se de cânone expressamente consagrado pela LGPD, como é possível observar no art. 6º, inciso VIII, e não se confunde com o princípio da precaução.

24 Beck (20110, p. 35) assevera que “A pretensão de racionalidade das ciências de determinar objetivamente o teor de risco do risco refuta-se a si mesma permanentemente: ela baseia-se, por um lado, num castelo de cartas de conjecturas especulativas e move-se unicamente no quadro de asserções de probabilidade, cujos prognósticos de segurança não podem, a bem da verdade, ser refutados sequer por acidentes reais. Por outro lado, é preciso ter assumido um ponto de vista axiológico para chegar a poder falar de riscos com alguma propriedade. Constatações de risco baseiam-se em possibilidade matemáticas e interesses sociais, mesmo e justamente quando se revestem de certeza técnica. Ao ocuparem-se com riscos civilizacionais, as ciências sempre acabam por abandonar sua base de lógica experimental, contraindo um casamento polígamo com a economia, a política e a ética – ou mais precisamente: elas convivem numa espécie de ‘concubinato não declarado’.”

Autor notes

Editora responsável: Profa. Dra. Fayga Bedê

https://orcid.org/0000-0001-6444-2631