Atribuição da responsabilidade civil pelo tratamento antijurídico de dados (parte 2)

Conforme se adiantou em artigo anterior para esta coluna, o texto normativo da LGPD, mais especificamente os dispositivos situados na Seção III, do Capítulo VI, não foram claros quanto à opção por um modelo de responsabilidade civil subjetiva ou objetiva, muito embora o deputado Orlando Silva, relator do PL 4.060/2012, o qual deu origem à LGPD, tenha deixado explícita sua opção pela responsabilidade objetiva fundada no risco, devido à aplicabilidade do artigo 927, parágrafo único, do Código Civil.

A falta de certeza quanto ao fator de atribuição fez nascer grande divergência na doutrina brasileira, de modo que podem ser identificados posicionamentos favoráveis à responsabilidade subjetiva, à objetiva ou a uma sistemática dualista que, assim como o modelo adotado pelo Código Civil, pode ser subjetiva ou objetiva, a depender de cada caso. Na sequência serão expostos, de maneira meramente exemplificativa, os principais argumentos de cada vertente.

No âmbito dos defensores da responsabilidade civil subjetiva, tomam-se, as opiniões das professoras Gisela Sampaio da Cruz Guedes e Rose Melo Venceslau Meireles, pioneiras, quando retomada a ordem cronológica da doutrina subjetivista, a defendê-la, ainda no ano de 2019.

As autoras destacam, diante da incontroversa falta de precisão da Lei, a importância de uma análise sistemática dos dispositivos, cuja leitura permite a conclusão de que a responsabilidade civil dos agentes de tratamento de dados depende da verificação de culpa, pois a LGPD criou “uma série de deveres de cuidado”.

Com efeito, asseveram que “se o que se pretende é responsabilizar os agentes, independentemente de culpa de fato, não faz sentido criar deveres a serem seguidos, tampouco responsabilizá-los quando tiverem cumprido perfeitamente todos esses deveres” [1].

Assim, observam que, uma vez analisada em conjunto, toda essa gama de previsões legais indica que a LGPD instituiu um “verdadeiro standard de conduta”, que redunda em uma noção de “culpa normativa”, conceito afastado da compreensão clássica da culpa e pautado por uma visão mais objetivada desta, a qual, todavia, não se confunde com a análise do comportamento do agente a partir da violação à ordem jurídica “em termos abstratos, mas, sim, a sua adequação (ou não) ao padrão de comportamento esperado naquelas circunstâncias concretas”, no caso, o paradigma criado pela própria LGPD, direcionado aos agentes de tratamento de dados [2].

Outro dos argumentos aventados pelas autoras na defesa da culpa como fator de atribuição do dever de indenizar reside na causa excludente de responsabilidade listada no artigo 43, II: a ausência de “violação à legislação de proteção de dados”.

Observam, primeiramente, que diferentemente dos incisos I e III do mesmo artigo, trata-se de dispositivo que claramente não se relaciona ao nexo de causalidade e, ademais, diverge da redação de qualquer um dos incisos do art. 12, § 3°, do CDC, cujos termos inspiraram diretamente a elaboração do artigo 43 da LGPD [3].

Responsabilidade objetiva

Em campo de pensamento oposto, os precursores do entendimento de que a LGPD optou por uma sistemática de responsabilidade objetiva, foram Danilo Doneda e Laura Schertel Mendes. Seu principal argumento reside justamente na afirmação de que “o tratamento de dados apresenta risco intrínseco aos seus titulares” [4].

No intuito de amparar a conclusão, observam, a partir de uma interpretação sistemática, levando em conta dispositivos da LGPD não situados na seção sobre a responsabilidade civil dos agentes de tratamento, que há toda uma construção normativa no sentido de buscar restringir ao máximo os cenários em que o tratamento de dados é juridicamente permitido, limitando-as, em geral, às situações em que as operações com as informações ligadas aos particulares sejam “úteis e necessárias” [5].

Dentre as previsões da LGPD nessa linha, citam o artigo 7º, no qual há uma delimitação exaustiva das hipóteses em que o tratamento de dados pessoais poderá ser realizado; o artigo 6º, III (“princípio da finalidade”) e II (“princípio da adequação”, cujos termos prescrevem que o tratamento não deve ser admitido quando for inadequado ou desproporcional “em relação à sua finalidade”) [6]; o artigo 16, que impõe, “como regra”, a necessidade de “eliminação dos dados quando seu tratamento esteja encerrado” [7], bem como, por fim; as várias ocasiões em que a LGPD acena para a obrigação “de se levar em conta o risco presente no tratamento de dados” [8].

Assim, em suma, vê-se que o argumento dos autores é pautado no fato de que a própria LGPD visa delimitar expressamente as hipóteses permitidas de tratamento, como forma de evitar sua banalização. Logo, justamente da criação das restrições, extrai-se a caracterização da atividade como sendo de risco, a ponto de atrair a responsabilização dos agentes de tratamento, independentemente de conduta culposa.

Sistemática dualista

Dentre os partidários de uma sistemática dualista, cita-se a opinião de Marcos Gomes da Silva Bruno, o qual parte da premissa de que “a regra geral no Direito Brasileiro é a da responsabilidade subjetiva, sendo que a responsabilidade objetiva somente se aplica mediante previsão legal expressa, não sendo presumível” [9].

Assim, assevera que, uma vez constatada a omissão da LGPD em optar expressamente por alguns dos fundamentos para imputação da obrigação de indenizar, “é possível sustentar que a regra geral da Lei é a de responsabilidade civil subjetiva” [10].

Todavia, faz uma ressalva, ao admitir que “inegavelmente, em algumas atividades específicas de tratamento de dados pessoais, em razão de sua natureza ou dos elementos presentes, é possível que se crie um risco inerente à atividade, que poderá fazer aplicar a responsabilização objetiva” [11], mediante incidência do art. 927, parágrafo único, do Código Civil.

A título de uma breve análise dos posicionamentos doutrinários expostos acima, este artigo irá destacar três aspectos que entende ser centrais para se chegar a alguma conclusão quanto ao fator de atribuição da responsabilidade civil conforme a LGPD:

a) a relação da expressão “violação à legislação de proteção de dados” com a necessidade de aferição de culpa;
b) a possibilidade de incidência da responsabilidade civil objetiva, ainda que o texto normativo não a tenha previsto expressamente;
c) a sistemática da responsabilidade civil pelo fato do produto ou do serviço, nos termos do CDC.

No tocante ao primeiro aspecto, acredita-se que a “violação à legislação de proteção de dados” faz menção à antijuridicidade, requisito autônomo da responsabilidade civil que não se confunde com o fator de atribuição e, por isso, se faz presente, como regra, tanto nos casos de responsabilidade subjetiva, quanto objetiva.

Rafael Peteffi, ao analisar a expressão “violar direito”, presente no art. 186 do Código Civil, alerta que a noção de ilicitude objetiva, a qual se atrela ao conceito de antijuridicidade, “conecta-se com o desvalor que recai sobre o fato que está em contradição com o interesse preponderante declarado pela norma, afastando-se definitivamente de um juízo de culpabilidade” [12].

Ademais, ao se situar o “locus operacional” da antijuridicidade no desvalor do resultado, esta pode ser melhor individualizada e compreendida enquanto “elemento fundamental para a caracterização do dever de indenizar nas hipóteses de responsabilidade civil subjetiva e objetiva” [13], sendo que, no caso da última, a antijuridicidade está presente na medida em que o ordenamento assim caracteriza “fatos causadores de danos que estiverem dentro da área de atuação de determinado agente, ainda que a conduta normalmente desenvolvida, apesar de perigosa, não seja considerada, ex ante, ilícita” [14].

Quanto ao segundo aspecto, podem ser encontrados no ordenamento jurídico pátrio exemplos de incidência de responsabilidade objetiva, mesmo quando a lei não contém expressões como “independentemente de culpa” ou “responderá objetivamente”.

É o caso da responsabilidade civil por fato de animais, prevista no artigo 936, do Código Civil, a qual, para Cavalieri Filho, trata-se de “uma responsabilidade objetiva tão forte que ultrapassa os limites da teoria do risco criado ou do risco-proveito” [15].

Assim, na opinião deste autor, a melhor maneira de se interpretar o fator de atribuição da responsabilidade civil previsto pela LGPD é a analogia com a sistemática do fato do produto ou do serviço, conforme o CDC.

A similaridade entre os artigos 43 e 44 da LGPD e o artigo 12, §§ 3º e 1º, do CDC, é tamanha — à exceção do uso da expressão “tratamento irregular” ao invés de “tratamento defeituoso” de dados pessoais — que, na prática, os requisitos para aferição do dever de indenizar se aproximam de tal forma em torno da noção de segurança legitimamente esperada que não se pode traçar diferenças relevantes entre as causas excludentes de responsabilidade.

Por fim, vale alertar que, não obstante seja inegável que a responsabilidade pelo fato do produto ou serviço seja de natureza objetiva, não necessariamente se pode afirmar que o risco é o fator de atribuição conforme o CDC.

Nesse sentido, destaca-se o ensinamento de Bastos, para quem o CDC “excluiu explicitamente a responsabilização pelo risco inerente” de modo que “não se responsabiliza o fornecedor por toda e qualquer atividade de risco, mas apenas por aquelas situações em que se configura um defeito” [16].

_________________________

Referências bibliográficas:
BASTOS, Daniel Deggau. A responsabilidade pelos riscos e o defeito do produto: uma análise comparada com o direito norte-americano. 2020. 356 f. Tese (Doutorado) – Curso de Direito, Programa de Pós-Graduação em Direito, Universidade Federal de Santa Catarina, Florianópolis, 2020.

BRUNO, Marcos Gomes da Silva. Da responsabilidade e do ressarcimento de danos. In: MALDONADO, Viviane Nóbrega; BLUM, Renato Opice (coord.). LGPD: Lei Geral de Proteção de dados comentada. 2. ed. rev., atual. e ampl. São Paulo: Thomson Reuters Brasil, 2019, pp. 322-331.

CAVALIERI FILHO, Sergio. Programa de Responsabilidade Civil. 10. ed. São Paulo: Atlas, 2012.

GUEDES, Gisela Sampaio da Cruz; MEIRELES, Rose Melo Venceslau. Término do Tratamento de Dados. In: FRAZÃO, Ana; TEPEDINO, Gustavo; OLIVA, Milena Donato. Lei Geral de Proteção de Dados Pessoais e suas repercussões no Direito Brasileiro. 1. ed. São Paulo: Thomson Reuters Brasil, 2019. pp. 219-241.

MENDES, Laura Schertel; DONEDA, Danilo. Reflexões iniciais sobre a nova Lei Geral de Proteção de Dados. Revista de Direito do Consumidor. vol. 120. ano 27. São Paulo: Ed. RT, nov.-dez. 2018. pp. 469-483.

PETEFFI DA SILVA, Rafael. Antijuridicidade como requisito da responsabilidade civil extracontratual: amplitude conceitual e mecanismos de aferição. Revista de Direito Civil Contemporâneo. vol. 18. ano 6. São Paulo: Ed. RT, jan.-mar. 2019. pp. 169-214.

[1] GUEDES, Gisela Sampaio da Cruz; MEIRELES, Rose Melo Venceslau. Término do Tratamento de Dados. In: FRAZÃO, Ana; TEPEDINO, Gustavo; OLIVA, Milena Donato. Lei Geral de Proteção de Dados Pessoais e suas repercussões no Direito Brasileiro. 1. ed. São Paulo: Thomson Reuters Brasil, 2019. p. 219-241. p. 231.

[2] Ibid., p. 233.

[3] Ibid., p. 234

[4]  MENDES, Laura Schertel; DONEDA, Danilo. Reflexões iniciais sobre a nova Lei Geral de Proteção de Dados. Revista de Direito do Consumidor. vol. 120. ano 27. p. 469-483. São Paulo: Ed. RT, nov.-dez. 2018. p. 477.

[5] Ibid.

[6] Ibid., p. 476

[7] Ibid., p. 477

[8] Ibid.

[9] BRUNO, Marcos Gomes da Silva. Da responsabilidade e do ressarcimento de danos. In: MALDONADO, Viviane Nóbrega; BLUM, Renato Opice (coord.). LGPD: Lei Geral de Proteção de dados comentada. 2. ed. rev., atual. e ampl. São Paulo: Thomson Reuters Brasil, 2019, pp. 322-331. p. 325.

[10] Ibid., p. 327

[11] Ibid., p. 326.

[12]  PETEFFI DA SILVA, Rafael. Antijuridicidade como requisito da responsabilidade civil extracontratual: amplitude conceitual e mecanismos de aferição. Revista de Direito Civil Contemporâneo. vol. 18. ano 6. p. 169-214. São Paulo: Ed. RT, jan.-mar. 2019. p. 177-178.

[13] Ibid., p. 205

[14] Ibid., p. 196

[15] CAVALIERI FILHO, Sergio. Programa de Responsabilidade Civil. 10. ed. São Paulo: Atlas, 2012. p. 243.

[16] BASTOS, Daniel Deggau. A responsabilidade pelos riscos e o defeito do produto: uma análise comparada com o direito norte-americano. 2020. 356 f. Tese (Doutorado) – Curso de Direito, Proprama de Pós-Graduação em Direito, Universidade Federal de Santa Catarina, Florianópolis, 2020. p. 256.