LGPD: risco do negócio e dever de indenizar

A LGPD — Lei federal nº 13.709/18 — trouxe importantes mudanças na forma de manusear e utilizar dados e informações pessoais.

Tais alterações não são apenas de ordem dogmática ou conceitual: incidem concreta e pragmaticamente no dia a dia de todos aqueles que, de qualquer forma e por qualquer motivo, tenham acesso, utilizem, armazenem ou participem de processos que impliquem em fluxo de informações de ordem pessoal.

Nesse sentido, e independentemente da finalidade de lucro, estão vinculadas aos ditames da referida Lei desde as grandes empresas, consultórios médicos e odontológicos, empresas e entes públicos, contratantes de mão de obra, prestadores de serviço e até condomínios residenciais e escolas.

Diante de tal cenário, absolutamente fundamental a qualificação, aparelhamento e constante atualização de tais atores quanto ao assunto – sob pena de inafastável responsabilização, a qual, segundo o diploma, terá traços objetivos, dispensando, portanto, a clara demonstração de eventual dolo ou culpa.

Realmente, a imposição de sanções administrativas no âmbito da LGPD dispensa qualquer elemento subjetivo (dolo ou culpa).

No que toca à responsabilidade civil, porém, observa-se maiores discussões.

A regra geral trazida pelo artigo 42 estabelece o dever de indenizar sempre que não observada fielmente a legislação atinente à proteção de dados — incluído aí todo o microssistema sobre o assunto (Código de Defesa do Consumidor, Código Civil, o Marco Civil da Internet, a Lei do Cadastro Positivo), inclusive os respectivos princípios, que tem alcance virtualmente ilimitado, a depender da interpretação que se lhes dê (tais como o da finalidade específica,  da autodeterminação, da inviolabilidade da imagem — além de todos os corolários da lógica de privacy by design: proatividade; privacidade como padrão e referência; plena funcionalidade dos sistemas; segurança de dados durante todo o ciclo e transparência das políticas e padrões e privacidade como valor fundamental).

O parágrafo 2º do referido artigo traz expressamente a possibilidade de inversão do ônus probatório em favor do titular de dados, e o artigo 43 deixa antever tendência passível de ser interpretada como determinante da responsabilidade objetiva, na medida em que elenca taxativamente, dentre as circunstâncias aptas a elidir o dever de indenizar: o não tratamento de dados pelo agente a quem se imputa a responsabilidade; a ausência de ofensa à legislação relativa à proteção de dados; e culpa exclusiva do titular ou de terceiro.

Note-se que, em momento algum, invoca-se a ausência de culpa ou dolo do operador/controlador.

Não obstante havendo ainda lugar para discussão quanto à natureza objetiva ou subjetiva da responsabilidade por danos a terceiros, posicionamo-nos pela desnecessidade de demonstração do elemento subjetivo, sendo cabível a indenização ainda que inexistentes dolo ou culpa., bastando a ocorrência do dano.  

Tal situação fica ainda mais evidente na seara das relações de consumo (as quais, lembre-se, não tem como elemento essencial a existência de contraprestação financeira — como no caso da distribuição de amostras e serviços gratuitos e 'cortesias', por exemplo), na medida em que o Código de Defesa do Consumidor já consagra, desde o seu advento, a responsabilidade objetiva (artigos 12 e 14 da Lei nº 8.078/90).

Nesse sentido foi a decisão proferida pela 13ª Vara Cível do Foro Central de São Paulo no processo n. 1080233-94.2019.8.26.0100:

"Irrelevante se a ré possui mecanismos eficazes para a proteção de dados, seja porque se sujeita às normas consumeristas em relação à sua responsabilidade, bem como pelo fato de que houve utilização indevida dos dados do requerente em decorrência do contrato firmado entre as partes. Sendo a responsabilidade objetiva, não há suporte para se inquirir a existência de culpa ou a presença de suas modalidades (imperícia, negligência ou imprudência). Tampouco desnecessário aferir se outras pessoas físicas ou jurídicas participaram da ilicitude (como no caso de corretores de imóveis), porquanto todos que participam da cadeia produtiva respondem de forma solidária pelos danos causados (artigos 7º, parágrafo único, e 25, I, CDC). A própria testemunha da ré, (…), afirmou que não seria impossível que corretores compartilhassem dados dos clientes (…)".

Tal decisão foi reformada em segundo grau, com o afastamento da responsabilidade da ré, em clara demonstração da celeuma envolvendo a questão.

O mesmo posicionamento foi adotado pelo TJ/SP no âmbito do processo nº 1025180-52.2020.8.26.0405 — não obstante o expresso reconhecimento da natureza objetiva da responsabilidade por vazamento de dados:

"Ação de indenização por dano moral. Apropriação por terceiros de dados pessoais do consumidor, extraídos dos cadastros de concessionária de energia elétrica. Ocorrência versada nas Leis nºs 12.414/2011, 12.965/2014 e 13.709/2018. Responsabilidade dos controladores e operadores que é objetiva, mas dela se eximem se não houve violação à legislação de proteção de dados ou o dano decorreu de culpa exclusiva de terceiro. Artigo 43 da LGPD. Caso em que inexistia base para se reconhecer que a empresa deixou de adotar medida de segurança recomendada pela Ciência ou determinada pela ANPD de modo a com isso ter dado causa a que terceiros tivessem acesso àqueles dados. Ação improcedente. Recurso não provido".

O Tribunal de Justiça de Rio de Janeiro recentemente abraçou a tese da responsabilidade objetiva (fevereiro/2022), em sua faceta risco do negócio, no âmbito da apelação nº 005559-71.2020.8.19.0002, em que reafirmou a sentença de primeiro grau nos seguintes termos:

"APELAÇÃO. VAZAMENTO DE DADOS PESSOAIS. RELAÇÃO DE CONSUMO. RISCO DO EMPREENDIMENTO. LEI GERAL DE PROTEÇÃO DE DADOS. DANOS MORAIS. A sentença condenou a ré a pagar R$ 10.000,00 de indenização por danos morais. Apelo do réu. Falha do serviço comprovada. Dever de proteção dos dados pessoais. Lei 13.709/18. Ataque de hacker que se insere no risco do empreendimento. Dano moral configurado. Verba que não comporta redução. Acesso aos dados que não poderão ser revertidos. Dados pessoais não anonimizados. Sumula 343 desta Corte. Recurso desprovido".

Tal lógica adotada impõe ao fornecedor o inarredável dever — perene, durante todo o ciclo de captação, utilização, acondicionamento, manutenção e descarte dos dados — de zelar e proteger as informações de todas as pessoas com as quais a qualquer título se relacionem.

Assim, em hipóteses como a de um ataque hacker, por exemplo, e ainda que a empresa houvesse investido maciçamente em segurança e tecnologia da informação, estaria sujeita à responsabilização e responderia pelos danos causados — tanto sob o ponto de vista material quanto moral.

Tal responsabilidade não seria passível de superação nem em razão da comunicação, pela própria empresa, da ocorrência do incidente de data breach (como efetivamente se observou no precedente citado do Rio de Janeiro) ou da existência de um plano de contingência na hipótese de sua ocorrência.

Evidente que tais providências serão tomadas em consideração no caso de imposição de eventual sanção pela Autoridade Nacional (ANPD) — mas não tem o condão de afastar a responsabilidade, inclusive por danos morais.

Tal cenário torna ainda mais urgente — e indispensável — o aparelhamento de todos os sujeitos da LGPD para atender às suas exigências e protocolos, sob pena, inclusive, de eventual inviabilização da continuidade da atividade.