RESUMO

Este artigo aborda a Lei geral de Proteção de dados (Lei nº13.709/2018), que visa a garantir a proteção de dados pessoais, tendo em vista proporcionar uma maior segurança no tratamento de dados desde seu controle até seu destino final. No entanto a LGPD dentro do seu ordenamento jurídico dispõe além do tratamento de dados, a responsabilidade do controlador e do operador que dentro dos seus limites pode punir ou excluir a responsabilidade no que couber. Entretanto, nesta pesquisa tem como objetivo verificar o papel da responsabilidade e civil dos agentes no tratamento de dados relacionados a responsabilidade objetiva e subjetiva, na qual a doutrina há diversos entendimentos entre os doutrinadores para que na ausência da lei (LGPD), a responsabilidade seja aplicada de modo razoável e proporcional. Nesse sentido vale destacar a importância do poder público de como encontrar soluções e investimentos para que os controladores de dados pessoais obtenham diretrizes de desenvolvimento de novas tecnologias para mitigar o vazamento de informações de dados sensíveis na sociedade.

Palavras-chave: Proteção de dados pessoais. Tratamento de dados. Reponsabilidade objetiva. Responsabilidade subjetiva. 

ABSTRACT

This article deals with the General Data Protection Law (Law No. 13,709/2018), which aims to guarantee the protection of personal data, with a view to providing greater security in the processing of data from its control to its final destination. However, in addition to data processing, the LGPD provides for the liability of the controller and the operator, which within its limits can punish or exclude liability as appropriate. However, the aim of this research is to verify the role of the civil liability of agents in the processing of data related to objective and subjective liability, in which the doctrine there are several understandings among scholars so that in the absence of the law (LGPD), liability is applied in a reasonable and proportional manner. In this sense, it is worth highlighting the importance of public authorities finding solutions and investments so that personal data controllers obtain new technology development guidelines to mitigate the leakage of sensitive data information in society.

Keywords: Protection of personal data. Data processing. Objective liability. Subjective liability.

1 INTRODUÇÃO

A responsabilidade civil encontra seu fundamento na necessidade de necessidade inarredável de restauração do statu quo ante, consubstanciando-se no restabelecimento da estabilidade jurídica após violação de normas de conduta preexistentes, por ação ou omissão voluntária, negligência ou imprudência. No entanto, a reparação de danos, nesse sentido, ostenta a finalidade de conferir benefícios tanto ao sujeito diretamente lesado quanto à coletividade, cujas expectativas são satisfeitas pelo imperativo da justiça. (Souza, Davalos Vitória de, 2023, p.6).

Todavia, a responsabilidade civil visa reparar o dano que foi causado por outrem, e tal dano deve ser reparado de maneira proporcional, razoável e justa, assim dessa forma, conforme artigo 944, do código civil brasileiro, destaca que a indenização ao dano sofrido deve ser reparado de acordo com a extensão do dano, porém, nesse contexto o artigo 186 e 187, aquele que por algum motivo agir por negligência, imperícia ou imprudência causar dano a outrem ainda que seja dano moral comete ato ilícito, haja vista que no artigo 927 salienta que aquele causar o dano fica obrigado a repará-lo.

A lei geral de proteção de dados (Lei nº 13.709/2018), tem o intuito de proteger os direitos de cada indivíduo em relação a sua privacidade e os demais direitos relacionados a personalidade. No entanto, a LGPD estabelece algumas regras relacionadas ao controle de dados pessoais, tratamento, transferências e as responsabilidades dos controladores e operadores, o qual deve ser observada de acordo com ordenamento jurídico brasileiro.

Entretanto, o poder público no geral, deve agir de forma que seu principal objetivo é obedecer aos princípios, conforme a constituição federal no seu artigo 37 caput, tendo em vista que a finalidade do tratamento, armazenamento de dados sensíveis e comuns e etc, devem ter o interesse e a finalidade pública para cumprir suas obrigações atribuições legais inerentes ao serviço público no que couber na lei.

O parágrafo § 3º do artigo 7 da LGPD destaca expressamente que o tratamento de dados pessoais cujo acesso público deve se considerar a finalidade, boa-fé e o interesse público que justificam sua disponibilização. Assim, a norma propõe justamente romper com esse pensamento binário entre o público e privado ao ressalvar que se deve levar em consideração o contexto pelo qual tais dados são publicamente acessíveis, podemos citar como exemplo: o poder público divulga nomes, cargos e rendas de servidores, como também disponibiliza certidões de processos judiciais dentre outras coisas. (Bioni, Bruno Ricardo, 2019, p.342, p.343).

Este artigo tem como objetivo observar a responsabilidade dos agentes (controlador e operador), de acordo com a lei geral de proteção de dados, pois além dos agentes terem suas responsabilidades de como os dados sensíveis, da forma como devem ser armazenados no tratamento de dados sensíveis, porém, se houver algum tipo de infração ilegal nessa seara em decorrência ao tratamento, o artigo 31 da LGPD dispõe que a autoridade nacional poderá enviar informações pertinentes como medidas cabíveis para fazer cessar a violação.

A doutrina diverge em dois pontos na questão da responsabilidade objetiva, na qual o titular dos dados deve ser ressarcido para que o dano seja reparado, haja vista que nesse entendimento visa garantir maior segurança e proteção aos titulares evitando mitigar negligências decorrentes ao vazamento de dados pessoais.

Na responsabilidade subjetiva deve ser comprovado a negligência do agente que o tratamento de dados não foi corretamente cumprido de acordo com a obrigação que deveria ser seguida, ou seja, é necessário a comprovação da culpa para que o fator de indenizar quem sofreu o dano seja cumprido.

Assim, portanto, o entendimento dos tribunais nos julgados tem em vista as leis que compõe o ordenamento jurídico brasileiro, como basilar a lei geral de proteção de dados (LGPD), há uma diferença entre os dados sensíveis e os dados comum, o primeiro trata de dados que não devem ser divulgados sem a permissão do titular e o segundo são dados que após sua divulgação não violam a lei.

Dessa maneira para haver comprovação do dano e a forma de reparação do mesmo há que ter alguns pressupostos como: negligência, imprudência ou imperícia, tendo em vista que não basta a violação do dano em si é também necessária sua comprovação por meio de provas.

2 A IMPORTÂNCIA DO TRATAMENTO DE DADOS PELO PODER PÚBLICO NA LEI GERAL DE PROTEÇÃO DE DADOS

Com o passar do tempo e a evolução tecnológica, o mundo se deparou com diversas informações dinâmicas ao mesmo tempo, isto é, várias tecnologias foram surgindo e a sociedade como todo precisou se adaptar com cada uma delas, tendo em vista vários benefícios que foram agregados ao decorrer do tempo. No entanto, esse avanço tecnológico exigiu das empresas e órgãos públicos, um investimento em treinamento em pessoas, como também em infraestrutura e equipamentos.

Ao decorrer do tempo com o avanço da internet, e das atratividades inerentes ao mundo digital como por exemplo: compras on-line, transações bancárias, downloads de músicas e filmes, mas também acesso as primeiras redes sociais como Orkut e MSN.

A partir desta pequena introdução e com olhar no passado podemos perceber a evolução digital, e o investimento constante em segurança da informação para proteção de dados pessoais. Então, a partir, dessa premissa, a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais), a LGPD veio com o intuito, conforme seu art.1º a dispor: sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Todavia, esta lei estabelece em seu artigo 2º em que a proteção de dados deve disciplinar tais fundamentos como:

I – o respeito à privacidade;

II – a autodeterminação informativa;

III – a liberdade de expressão, de informação, de comunicação e de opinião;

IV – a inviolabilidade da intimidade, da honra e da imagem;

V – o desenvolvimento econômico e tecnológico e a inovação;

VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e

VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais. (Brasil, 2018).

No tocante, quando se trata do tratamento de dados pessoais pelo poder público, a lei dispõe do artigo 23 aos 30 tais fatos que devem ser mencionados a seguir:

O tratamento de dados pessoas pelas pessoas jurídicas de direito público, da Lei nº 12.527/2011 (Lei da Informação), parágrafo único, deve ser realizado com sua finalidade pública e interesse público, tendo em vista o objeto de cumprir as atribuições legais inerentes ao serviço público, assim, desta maneira dentro de suas competências as informações devem ser prestadas de modo claro e atualizado de acordo com a previsão legal e os procedimentos e práticas para a execução dessas atividades devem ser de fácil acesso, preferencialmente em sítios eletrônicos.

Entretanto, de modo geral o tratamento desses dados pessoais como já citado acima, além de terem uma finalidade pública, incluso o serviço público, vale destacar que o uso compartilhamento, conforme artigo 27, de pessoa de direito público ou privado depende do consentimento do titular exceto os casos previstos em lei.

Dessa maneira, portanto, é necessário no que for pertinente e necessário de autorização (autoridade nacional), aos órgãos e entidades a realização de operações sobre informações específicas, referente aos detalhes e tratamentos de dados para cumprir a lei.

3 A RESPONSABILIDADE CIVIL NA LEI Nº 13.709.2018 (LGPD)

Está regulamentada no capítulo VI, Seção III, no qual trata da responsabilidade e ressarcimento dos danos, o qual o autor Walter Aranha Capanema, ressalta que tais não normas aplicáveis em todos os casos envolvendo responsabilidade civil, podendo, dependendo da relação jurídica, ceder espaço a normas específicas, como por exemplo o código de defesa do consumidor no qual é expressamente citado pela LGPD em seu artigo 45.

O legislador reconhece que a proteção de dados é baseada em várias leis tendo com suporte principal “A lei geral de proteção de dados”, esses microssistemas de leis surgem após a violação de dados, conduto foi necessário criar mecanismos de controle para combatê-los. No entanto, a responsabilidade civil na LGPD, não surge apenas da violação de microssistemas e etc.

Para Walter Aranha Braga é necessário entender na lei em seus artigos 42 caput em conjunto artigo 44 em seu parágrafo único que dispõe da seguinte forma:

Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano. (BRASIL, 2018)

Dessa maneira, a responsabilidade civil visa disciplinar e punir o responsável que por culpa ou dolo prejudicou a outrem, nesse sentido o código civil brasileiro dispõe em seus artigos:

Art. 186. Aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que exclusivamente moral, comete ato ilícito.

Art. 927. Aquele que, por ato ilícito (arts. 186 e 187), causar dano a outrem, fica obrigado a repará-lo.

Art. 944. A indenização mede-se pela extensão do dano. (BRASIL, 2002).

Dessa forma, é notório e claro quem violar o direito ou causado danos a terceiros mesmo que de forma ilícita, tendo em vista que é cabível indenização dentro da proporcionalidade e razoabilidade devido a extensão do dano, conforme nosso ordenamento jurídico.

Todavia, O fator de atribuição é requisito intrínseco da responsabilidade civil que consiste na razão pela qual se atribui a alguém a obrigação de indenizar, ou seja, o motivo da ligação dos danos a um responsável, isto é, o causador do dano (Farias, Cristiano Chaves de; Rosenvald, Nelson; Braga Netto, Felipe Peixoto, 2017. p. 403). No entanto tais elementos configuram o dever de indenizar que se junta com alguns pressupostos como: antijuricidade, nexo de causalidade e dano.

Embora geralmente, seja via de regra,  por ser a responsabilização medida excepcional no Direito Civil, a vítima que teve sua integridade (física ou mental), ou seu patrimônio lesados deve arcar, assim com os prejuízos que suportou, salvo se tiver alguma justificativa juridicamente válida para atribuir a obrigação de reparar o dano a um terceiro, cujo fundamento necessariamente irá repousar sob algum dos fatores de atribuição abarcados pelo ordenamento jurídico na maior parte dos casos, a culpa ou o risco (Noronha, p. 456, 459).

De acordo com o código civil, “há solidariedade quando na mesma obrigação concorre mais de um credor, ou mais de um devedor, cada um com direito, ou obrigado, à dívida toda” (Souza, Davalos Vitória de, 2023, p.32.), conforme sua obra Desvendando a responsabilidade Civil sob a Ótica da LGPD.

No entanto, a responsabilidade civil solidária configura exceção ao princípio da divisibilidade das obrigações e apenas pode decorrer de lei, como no presente caso, ou de vontade das partes, haja vista que a solidariedade não condiciona que os obrigados solidários respondam mesma extensão ou condição, isto é, uma vez que a lei pode atribuir a direitos ou obrigações diferentes. Vejamos como isso é aplicado na lei abaixo:

Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

§ 1º A fim de assegurar a efetiva indenização ao titular dos dados:

I – o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;

II – os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta Lei (BRASIL, 2018).

A partir desta análise do presente artigo os controladores e operadores estão em distintas condições para responder por prováveis danos, haja vista que o operador irá responder solidariamente apenas quando descumprir as obrigações legais ou deixar de seguir as instruções/orientações do controlador, tendo em vista que uma violação por parte do controlador acarretaria sua responsabilização.

Por outro lado, os controladores de dados sempre serão responsáveis pelo tratamento de dados. A LGPD estabelece diversas obrigações específicas para o controlador, tornando inviável sua figura não estar envolvida no tratamento. Ao adotar essas medidas, a LGPD impede que o operador negligencie sua obrigação de proteger os dados sob sua responsabilidade (Davalos de Souza, Vitória, 2023, p.33).

Dessa forma, responsabilidade solidária recai sobre o controlador e o operador quando o tratamento de dados for irregular, haja vista a irregularidade ocorre quando não se observa a legislação, e quando não são adotadas as medidas de segurança previstas ou quando não é fornecida a segurança esperada pelo titular, isto é, em relação ao modo e ao resultado, aos riscos ou as técnicas na época em que foi realizado no artigo 44. (Brasil, 2018).

Desse modo, a responsabilidade civil na ampla utilização de dados pessoais na sociedade, é de extrema importância a proteção de dados pessoais devido as violações que se tornou algo corriqueiro/comum nos dias atuais, tendo em vista que não é nenhuma novidade o vazamento de dados ou informações pelo setor público ou privado. Então faz-se necessário entender a necessidade da matéria para que então seja aplicada na seara de proteção de dados pessoais incluindo, por exemplo, outras áreas em nosso ordenamento jurídico.

Assim, portanto, os conceitos possuem vida e história, um padrão de descobertas e de refinamentos. Para alcançarmos um conceito atual de responsabilidade civil, servir-nos-emos exclusivamente de um ensaio de análise semântica do filósofo PAUL RICOEUR, no qual examina o emprego contemporâneo do termo responsabilidade. Em direito civil, a responsabilidade é ainda definida em seu sentido clássico como “obrigação de reparar danos que infringimos por nossa culpa e, em certos casos determinados pela lei; em direito penal, pela obrigação de suportar o castigo (Braga, Netto, Fellipe; Rosenvald, Nelson, 2024, p.51).

3.1 Da responsabilidade objetiva e subjetiva

          Vejamos agora o entendimento de alguns autores relacionados a responsabilidade objetiva que dispõe:

“A responsabilidade objetiva imposta pela LGPD visa garantir maior proteção aos titulares de dados, minimizando os impactos negativos de eventual tratamento inadequado” (Silva, João, 2021, p.45).

“O regime de responsabilidade objetiva é adequado para o ambiente digital, onde as relações são frequentemente assimétricas e complexas” (Souza, Mariana, 2020, p. 78).

“A LGPD introduz a responsabilidade objetiva como mecanismo de proteção dos titulares, priorizando a reparação integral dos danos sofridos” (p.47).

“A responsabilidade objetiva na LGPD busca assegurar a proteção dos titulares de dados, independentemente da comprovação de culpa dos agentes de tratamento” (SOUZA, 2020, p. 45).

“A responsabilidade objetiva prevista na LGPD impõe uma nova postura de conformidade às empresas, que precisam demonstrar que adotaram medidas adequadas para evitar incidentes” (CUNHA, 2021, p. 67).

“A responsabilização objetiva do controlador na LGPD é uma inovação jurídica que visa aumentar a segurança jurídica no tratamento de dados pessoais” (Souza, Henrique Batista, 2022, p.95).

“Ao adotar a responsabilidade objetiva, a LGPD reflete o avanço das legislações modernas em proteção de dados” (Pereira, João Ricardo, p.112).

“A responsabilidade objetiva representa um marco na legislação brasileira, colocando o titular de dados como centro das relações jurídicas” (Lima, Pedro Henrique, 2021, p102).

“A responsabilidade objetiva da LGPD funda-se no risco criado pelas atividades de tratamento de dados, sendo dispensada a prova de culpa” (Sarmento, Daniel, 2020, p.78).

“A LGPD consagra a responsabilidade objetiva como elemento central para a proteção dos titulares em face das atividades econômicas baseadas no tratamento de dados” (Doneda, Danilo, 2021, p.156).

“A responsabilidade objetiva na LGPD reflete a necessidade de mitigar os riscos inerentes ao tratamento de dados em larga escala” (Lemos, Ronaldo, 2019, p.213).

“A adoção da responsabilidade objetiva na LGPD representa um avanço na harmonização entre proteção de dados e segurança jurídica” (Blum, Renato Opice, 2021,p.144).

Nesse sentido a responsabilidade subjetiva dispõe alguns entendimentos de vários autores como podemos ver abaixo:

“Na responsabilidade subjetiva, a demonstração da culpa é imprescindível para a configuração do dever de indenizar no âmbito da proteção de dados” (Silva, 2020, p. 85).

“”A responsabilidade civil subjetiva exige a prova do nexo causal, dano e culpa, sendo aplicável ao tratamento de dados pessoais na ausência de hipóteses legais de exclusão de responsabilidade” (Azevedo, 2020, p. 45).

“A responsabilidade subjetiva prevalece em cenários nos quais a boa-fé objetiva é desrespeitada no tratamento de dados pessoais, causando prejuízos ao titular” (Diniz, Maria Helena, 2021, p.182).

“Os critérios de culpa na responsabilidade civil subjetiva da LGPD remetem a uma análise do comportamento do controlador ou operador” (Coutinho, 2020, p.115).

“A LGPD integra a responsabilidade civil subjetiva como um mecanismo de equilíbrio entre direitos fundamentais e desenvolvimento tecnológico” (Rosenvald, Nelson, 2022, p. 210).

“Na responsabilidade subjetiva da LGPD, o titular dos dados deve demonstrar a negligência ou imprudência do agente controlador” (Porto, Flavia, 2020, p. 162).

“A análise da culpa na LGPD passa por uma revisão da conduta padrão esperada no ambiente digital” (Tomasevicz, Eduardo, 2021, p. 89).

“A culpa subjetiva, no âmbito da LGPD, deve ser avaliada considerando a complexidade das operações de tratamento de dados” (Tepedino, Gustavo, 2021, p. 122).

“O agente que atua com dolo ou culpa grave será responsabilizado subjetivamente pelos danos causados no tratamento de dados pessoais” (Texeira, 2021, p. 66).

“A responsabilidade civil subjetiva no contexto da LGPD demanda a demonstração inequívoca do descumprimento do dever de cuidado” (Schreiber, Anderson, 2022, p. 134).

“A responsabilidade subjetiva busca harmonizar a liberdade econômica e os direitos fundamentais à privacidade e proteção de dados”
(Santos, Lucas, 2020, p. 64).

4 DO ENTENDIMENTO DOS TRIBUNAIS A DADOS SENSÍVEIS

Conforme julgado (Processo nº1000859-27.2022.8.26.0584), do Tribunal de Justiça do Estado de São Paulo Comarca de São Pedro, o impetrante do processo que na época exercia o cargo de vereador pretendia ter acesso a dados sensíveis como: nomes, endereços, com identificações relacionadas à saúde na época de usuários da unidade básica de saúde daquele município. No entanto, o secretário municipal de saúde negou com o fundamento que: não havendo a autorização expressa dos usuários para fornecimento dos seus dados, de acordo com a Lei nº 13.709/2018, tendo em vista que há a necessidade da finalidade pública para que isso aconteça.

Nesse sentido:

MANDADO DE SEGURANÇA – ACESSO A DADOS PESSOAIS SENSÍVEIS DE USUÁRIOS DO SUS – MUNICÍPIO DE ÁGUAS DE SÃO PEDRO – Impetrante que é Vereador do Município de Águas de São Pedro e pretende ter acesso a dados pessoais sensíveis (nomes e endereços, com identificação de dados relativos à saúde) de usuários da Unidade Básica de Saúde do Município – Dados cujo compartilhamento pela Administração Pública deve observar a Lei de Acesso a Informacao e a Lei Geral de Proteçâo de Dados – Pretensão do impetrante que não atende aos requisitos legais para o tratamento dos dados discutidos – Possibilidade de realizar a análise pretendida com base em outros dados, de livre acesso em sites governamentais, ou em dados não classificados como pessoais – Necessidade não demonstrada – Dados pleiteados que não se adequam ao pretendido pelo impetrante – Adequação não verificada – Finalidade pública e persecução do interesse público não demonstrados – Pedido subsidiário que também não comporta acolhimento – Anonimização ou mesmo pseudoanonimização dos dados dos endereços dos usuários da UBS que não são possíveis – Sentença mantida. APELO IMPROVIDO. (TJ-SP – AC: 10008592720228260584 São Pedro, Relator: Maria Fernanda de Toledo Rodovalho, Data de Julgamento: 27/07/2023, 2ª Câmara de Direito Público, Data de Publicação: 28/07/2023).

No julgado (Processo nº 0013270-79.2022.8.16.0170), do Tribunal de Justiça do Estado do Paraná, 19ª Câmara Cível, o qual trata-se de vazamento de dados oriundo de falha de segurança, na qual o Banco Votorantim S.A negligenciou fatos relatados pelo cliente, ocorre que tais vazamentos posteriormente possibilitou uma fraude (golpe), causando danos ao autor.

Dessa forma, conforme entendimento do Supremo Tribunal de Justiça, “as instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias”. (Súmula 479, Segunda Seção, julgado em 27/06/2012, DJe 01/08/2012).

Nesse sentido:

APELAÇÃO CÍVEL. AÇÃO DE INDENIZAÇÃO POR DANOS MATERIAIS E MORAIS. INSURGÊNCIA DA AUTORA. 1. DANO MATERIAL POR FALHA NA PRESTAÇÃO DOS SERVIÇOS. ACOLHIMENTO. FALHAS NA PROTEÇÃO DOS DADOS DA CLIENTE, AS QUAIS POSSIBILITARAM A EXECUÇÃO DA FRAUDE. 2. DANO MORAL. ACOLHIMENTO. VAZAMENTO DE DADOS QUE PROPICIOU A OCORRÊNCIA DA FRAUDE. LEI GERAL DE PROTEÇÂO DE DADOS. DIREITO À PRIVACIDADE. BANCO QUE NEGLIGENCIOU OS FATOS RELATADOS PELA CLIENTE. DANOS MORAIS CONFIGURADOS TANTO OBJETIVA QUANTO SUBJETIVAMENTE. RECURSO PROVIDO. INVERSÃO DOS ÔNUS SUCUMBENCIAIS. NÃO FIXAÇÃO DE HONORÁRIOS RECURSAIS. RECURSO PROVIDO. (TJ-PR 00132707920228160170 Toledo, Relator: andrei de oliveira rech, Data de Julgamento: 28/08/2023, 19ª Câmara Cível, Data de Publicação: 28/08/2023).

Já o julgado (AGRAVO EM RECURSO ESPECIAL: AREsp 2130619 SP 2022/0152262-2), salienta de acordo com as leis vigentes incluso a Lei Geral de Proteção de Dados que o dano moral deve ser comprovado de acordo se dos dados são sensíveis ou apenas comum, ocorre que no caso em tela não houve negligência em relação aos dados sensíveis, isto é, esses informes eram apenas dados comuns que são permitidas por lei.

Nesse sentido:

PROCESSUAL CIVIL E ADMINISTRATIVO. INDENIZAÇÃO POR DANO MORAL. VAZAMENTO DE DADOS PESSOAIS. DADOS COMUNS E SENSÍVEIS. DANO MORAL PRESUMIDO. IMPOSSIBILIDADE. NECESSIDADE DE COMPROVAÇÃO DO DANO. I – Trata-se, na origem, de ação de indenização ajuizada por particular contra concessionária de energia elétrica pleiteando indenização por danos morais decorrentes do vazamento e acesso, por terceiros, de dados pessoais. II – A sentença julgou os pedidos improcedentes, tendo a Corte Estadual reformulada para condenar a concessionária ao pagamento da indenização, ao fundamento de que se trata de dados pessoais de pessoa idosa. III – A tese de culpa exclusiva de terceiro não foi, em nenhum momento, abordada pelo Tribunal Estadual, mesmo após a oposição de embargos de declaração apontando a suposta omissão. Nesse contexto, incide, na hipótese, a Súmula n. 211/STJ. In casu, não há falar em prequestionamento ficto, previsão do art. 1.025 do CPC/2015, isso porque, em conformidade com a jurisprudência do STJ, para sua incidência deve a parte ter alegado devidamente em suas razões recursais ofensa ao art. 1022 do CPC/2015, de modo a permitir sanar eventual omissão através de novo julgamento dos embargos de declaração, ou a análise da matéria tida por omissa diretamente por esta Corte. Tal não se verificou no presente feito. Precedente: AgInt no REsp 1737467/SC, Rel. Ministro Napoleão Nunes Maia Filho, Primeira Turma, julgado em 8/6/2020, DJe 17/6/2020. IV – O art. 5º, II, da LGPD, dispõe de forma expressa quais dados podem ser considerados sensíveis e, devido a essa condição, exigir tratamento diferenciado, previsto em artigos específicos. Os dados de natureza comum, pessoais mas não íntimos, passíveis apenas de identificação da pessoa natural não podem ser classificados como sensíveis. V – O vazamento de dados pessoais, a despeito de se tratar de falha indesejável no tratamento de dados de pessoa natural por pessoa jurídica, não tem o condão, por si só, de gerar dano moral indenizável. Ou seja, o dano moral não é presumido, sendo necessário que o titular dos dados comprove eventual dano decorrente da exposição dessas informações. VI – Agravo conhecido e recurso especial parcialmente conhecido e, nessa parte, provido. (STJ – AREsp: 2130619 SP 2022/0152262-2, Data de Julgamento: 07/03/2023, T2 – SEGUNDA TURMA, Data de Publicação: DJe 10/03/2023).

4.1 O Papel dos Agentes na Proteção de Dados

Conforme a Lei Geral de Proteção de Dados (LGPD) os agentes de tratamento são os controladores e operadores a partir dessa premissa a lei dispõe sobre o controlador:

Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial. (BRASIL, 2018).

De acordo com art.5º, inciso VII, destaca que o operador é pessoa natural ou jurídica de direito público ou privado, na qual sua competência é realizar o tratamento de dados pessoais em nome do controlador.

Nesse sentido a lei dispõe:

Art. 39. O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria. (BRASIL, 2018).

Todavia, há algumas questões em comum entre controlador e operador conforme a LGPD menciona:

Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.

Art. 40. A autoridade nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade, livre acesso aos dados e segurança, assim como sobre o tempo de guarda dos registros, tendo em vista especialmente a necessidade e a transparência. (BRASIL, 2018).

Dessa forma os agentes devem garantir aos titulares que as informações sejam claras, precisas e de fácil acesso, tendo em vista o tratamento de dados e agentes, observando os limites inerentes.

Em relação a responsabilidade de tratamento de dados pelos agentes de forma irregular a LGPD dispõe assim:

Art. 44. O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:

I – o modo pelo qual é realizado;

II – o resultado e os riscos que razoavelmente dele se esperam;

III – as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.

Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano. (BRASIL, 2018).

5 CONSIDERAÇÕES FINAIS

Observa-se que na utilização de dados pessoais é importante notar a possibilidade de quais os poderes decorrentes podem se manifestar tanto nos titulares de dados pessoais e qual o impacto disso na sociedade, tendo em vista diversas formas não só o que diz as leis vigentes no nosso ordenamento jurídico, mas também a forma de como isso é aplicado nos dias de hoje.

O problema de início nesta pesquisa seria de como seria feita a aplicabilidade da Lei nº 13.709/2018 aos agentes públicos e de qual como seria aplicado a responsabilidade civil neste caso, se seria objetiva ou subjetiva, haja vista que há divergências na doutrina sobre essa seara, tendo em vista que é necessário a comprovação de negligência, imprudência ou imperícia do agente, contudo se o agente segue o protocolo de segurança que é previsto fica isento dessa responsabilidade.

No entanto, verificou-se que a LGPD em seu artigo 2º e incisos, na qual tem como fundamentos para a proteção de dados pessoais, a privacidade, a inviolabilidade a intimidade, honra e a imagem, podem ser citadas como um exemplo dessa proteção.

Em relação ao tratamento de dados pelo poder público é verificado que deverá ter finalidade e interesse público para isso dentro se suas obrigações legais para poderem ser cumpridas, haja vista que fora dessa finalidade, na qual não alcançar tal finalidade já se torna ato ilícito de quem o praticar de forma equivocada.

A responsabilidade dos agentes relacionados em decorrência (tratamento de dados pessoais) do poder público a lei expressa que se houver infração não lei desses dados a autoridade nacional poderá enviar informações que poderão cessar qualquer tipo violabilidade, tendo em vista também que poderá solicitar (Autoridade Nacional), relatórios dos agentes referentes aos impactos a proteção de dados e sugerir soluções para implementação de boas práticas para o tratamento.

 A partir dessa premissa, deve ser observada a conduta dos controladores e operadores, tendo em vista que o operador deve seguir as instruções fornecidas pelo controlador, na qual são verificadas as informações e as normas sobre cada matéria.

Nessa pesquisa, é importante destacar o entendimento dos tribunais relacionados não só como é feito é tratamento de dados pessoais, mas também se aqueles dados segundo a parte que pleiteia a ação em juízo são dados sensíveis ou dados comuns, ou seja, conforme a jurisprudência em algumas decisões a parte pleiteava dano moral, contudo apenas trata-se de dados comum que nesse contexto não é cabível, tendo em vista que neste caso não há infração na lei, dessa forma para haver a comprovação do vazamento de dados sensíveis pelos órgãos públicos ou pessoa jurídica privada é necessário verificar a lei pertinente (Lei Geral de Proteção de Dados).

Assim, portanto, dessa forma a pesquisa encontrou formas positivas na lei que ao longo do tempo e dos costumes se aprimorará em decorrência das necessidades da sociedade, há lacunas como em toda lei tem, mas a LGPD já encontra soluções para o tratamento de dados de cada indivíduo.

REFERÊNCIAS

Agentes e Tratamento e Encarregado. Tribunal de Justiça do Distrito Federal e dos Territórios, 2023. Disponível em: https://www.tjdft.jus.br/transparencia/protecao-de-dados-pessoais/agentes-de-tratamento-e-encarregado. Acesso em: 15 set. 2024.

AZEVEDO, Antonio Junqueira de. Teoria Geral da Responsabilidade Civil. 2. ed. São Paulo: Saraiva, 2020.

BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro: Forense, 2019.

BLUM, Renato Opice. Direito digital e proteção de dados. São Paulo: Thomson Reuters, 2021.

BRASIL. Lei nº 10.406, de 10 de janeiro de 2002. Institui o Código Civil. Disponível em: http://www.planalto.gov.br/ccivil_03/Leis/2002/l10406.htm>. Acesso em: 10 nov 2024.

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso em: 10 nov 2024.

BRASIL.Constituição (1988). Constituição da República Federativa do Brasil. Brasília, DF: Senado Federal, 1988. Disponível em: https://www.planalto.gov.br/ccivil_03/Constituicao/Constituicao.htm.Acesso: 10 nov. 2024.

CAPANEMA, Walter Aranha. A responsabilidade civil na Lei Geral de Proteção de Dados.Cadernos Jurídicos, São Paulo, nº 53, jan./mar. 2020. Disponível em: https://core.ac.uk/reader/322682320>. Acesso em: 20 maio. 2024.

COUTINHO, Rodrigo. Proteção de Dados Pessoais e Responsabilidade Civil. São Paulo: Almedina, 2020.

CUNHA, Fernanda. Compliance e LGPD: Desafios na Era Digital. Belo Horizonte: Del Rey, 2021.

DONEDA, Danilo. Da privacidade à proteção de dados pessoais. 3. ed. Rio de Janeiro: Forense, 2021.

DINIZ, Maria Helena. Curso de Direito Civil Brasileiro. 38. ed. São Paulo: Saraiva, 2021.

FARIAS, Cristiano Chaves de; ROSENVALD, Nelson; BRAGA NETTO, Felipe Peixoto. Curso de direito civil: responsabilidade civil. 4. ed. rev. e atual. Salvador: JusPodivm, 2017.

LEMOS, Ronaldo. Direito, tecnologia e inovação. São Paulo: Saraiva, 2019.

LIMA, Pedro Henrique. LGPD: Aspectos Práticos e Teóricos. Salvador: Editora Baiana, 2021.

NORONHA, Fernando. Direito das Obrigações. 4. ed. rev. e atual. São Paulo: Saraiva, 2013.

ROSENVALD, Nelson. NETTO, Felipe Braga. Responsabilidade Civil Teoria Geral. São Paulo: Editora Foco,2024

ROSENVALD, Nelson. Responsabilidade Civil Contemporânea. Belo Horizonte: Fórum, 2022.

SÃO PAULO. Supremo Tribunal de Justiça STJ. Agravo em Recurso Especial nº 2130619 SP 2022/0152262-2. Relator Ministro Francisco Falcão, Julgamento: 07/03/2023. Disponível em: https://www.jusbrasil.com.br/jurisprudencia/stj/1780119718/inteiro-teor-1780119729. Acesso em: 07 de set. 2024.

SÃO PEDRO. Tribunal de Justiça de São Paulo- Mandado de Segurança nº 1000859.27.2022.8.26.0584. , Relator Maria Fernanda de Toledo Rodalho. Julgamento: 28/07/2023. Disponível em: https://www.jusbrasil.com.br/jurisprudencia/tj-sp/1914567852. Acesso em: 07 set. 2024.

SARMENTO, Daniel. Proteção de dados pessoais e responsabilidade civil. São Paulo: Revista dos Tribunais, 2020.

SCHREIBER, Anderson. Responsabilidade Civil: Teoria e Prática. São Paulo: Atlas, 2022.

SANTOS, Lucas. LGPD e Responsabilidade Civil. Recife: CEJUR, 2020.

SILVA, João. Direito Digital e Proteção de Dados. São Paulo: Editora Jurídica, 2021.

SILVA, Mariana Antunes. Tratamento de Dados e Responsabilidade Civil. Belo Horizonte: Editora Fórum, 2020.

SOUZA, Davalos Vitoria de. Desvendando a responsabilidade civil sob a ótica da LGPD: Paraná: Editora Atena, 2023.

SOUZA, Henrique Batista. LGPD Comentada: Doutrina e Jurisprudência. Curitiba: Editora Prodigy, 2021.

SOUZA, Mariana. A Nova Era da Privacidade. Rio de Janeiro: Lumen Juris, 2020.

PEREIRA, João Ricardo. Proteção de Dados Pessoais no Brasil. Brasília: Editora Lex, 2022.

PORTO, Flávia. Direito Digital e Proteção de Dados. Salvador: Juspodivm, 2020.

PARANÁ. Tribunal de Justiça do Paraná. Apelação Cível nº 0013270.79.2022.8.16.0170. Relator: Andrei de Oliveira Rech. Data de Julgamento: 28/08/2023 Disponível em: https://www.jusbrasil.com.br/jurisprudencia/tj-pr/1946899677. Acesso em: 07 set. 2024

TAMBOSI, Paulo Vitor Petris. Conjur, 24 de mar. 2024. Atribuição da responsabilidade civil pelo tratamento antijurídico de dados. Disponível em: https://www.conjur.com.br/2024-mar-25/fator-de-atribuicao-da-responsabilidade-civil-pelo-tratamento-antijuridico-de-dados. Acesso em: 20 de set. 2024.

TEPEDINO, Gustavo. Responsabilidade Civil e Novas Tecnologias. Rio de Janeiro: Renovar, 2021.

TEXEIRA, Luiz. Direito digital e os desafios da LGPD. Belo Horizonte: Del Rey, 2021.

TOMASEVICZ, Eduardo. Direitos Digitais e Responsabilidade. Curitiba: LexMagister, 2021.