Escolar Documentos
Profissional Documentos
Cultura Documentos
Florianópolis
2021
GIOVANA RAULINO CUNHA
Florianópolis
2021
GIOVANA RAULINO CUNHA
Declaro, para todos os fins de direito, que assumo total responsabilidade pelo
aporte ideológico e referencial conferido ao presente trabalho, isentando a Universidade do
Sul de Santa Catarina, a Coordenação do Curso de Direito, a Banca Examinadora e o
Orientador de todo e qualquer reflexo acerca deste Trabalho de Conclusão de Curso.
Estou ciente de que poderei responder administrativa, civil e criminalmente em
caso de plágio comprovado do trabalho monográfico.
Palavras-chave: Lei Geral de Proteção de Dados (LGPD); responsabilidade civil dos agentes
de tratamento de dados pessoais; titular de dados; ressarcimento e dano.
LISTA DE
1 INTRODUÇÃO.............................................................................................................9
2 LEI GERAL DE PROTEÇÃO DE DADOS.............................................................12
2.1 CONCEITO...................................................................................................................12
2.2 FUNDAMENTOS.........................................................................................................15
2.2.1 Privacidade..................................................................................................................15
2.2.2 Liberdade.....................................................................................................................17
2.2.3 Direito ao livre desenvolvimento da personalidade da pessoa natural..................18
2.3 ASPECTOS RELEVANTES DA LEI GERAL DE PROTEÇÃO DE DADOS..........20
2.3.2 Princípios.....................................................................................................................20
2.3.2 Definições de dados pessoais e outras terminologias...............................................23
2.3.3 Requisitos do tratamento e coleta de dados pessoais...............................................25
3 RESPONSABILIDADE CIVIL.................................................................................28
3.1 HISTÓRICO DA RESPONSABILIDADE CIVIL.......................................................28
3.2 PRESSUPOSTOS LEGAIS..........................................................................................30
3.3 MODALIDADES.........................................................................................................33
3.3.1 Civil e Penal.................................................................................................................33
3.3.2 Subjetiva e Objetiva....................................................................................................34
3.3.3 Contratual e Extracontratual.....................................................................................36
3.4 Excludentes de Responsabilidade.................................................................................37
4 A RESPONSABILIDADE CIVIL DOS AGENTES DE PROTEÇÃO DE DADOS
41
4.1 AGENTES DE PROTEÇÃO DE DADOS...................................................................41
4.1.1 Conceito........................................................................................................................42
4.1.2 Atribuições...................................................................................................................44
4.2 ACESSO A INFORMAÇÃO E GESTÃO...................................................................46
4.3 A RESPONSABILIDADE CIVIL DOS AGENTES DE PROTEÇÃO DE DADOS . 48
4.4 DECISOES JUDICIAIS A RESPEITO DO TEMA.....................................................55
4.4.1 Sentença prolatada nos autos do processo nº 1080233-94.2019.8.26.0100, oriundo
da 13ª Vara Cível do Tribunal de Justiça do Estado de São Paulo........................56
4.4.2 Apelação Cível nº 1024481-61.2020.8.26.0405, oriunda do Tribunal de Justiça de
São Paulo......................................................................................................................57
SUMÁRI
4.4.3 Apelação Cível nº 1024016-52.2020.8.26.0405, oriunda do Tribunal de Justiça de
São Paulo......................................................................................................................58
5 CONCLUSÃO.............................................................................................................61
REFERÊNCIAS......................................................................................................................63
9
1 INTRODUÇÃO
exercício de tal atividade, de modo a garantir direitos fundamentais ao titular dos dados, mas
não inviabilizando a exploração econômica da coleta e tratamento de dados.
Nesse contexto, a problemática de pesquisa foi elaborada da seguinte forma: qual os
limites e a natureza da responsabilidade civil dos agentes de proteção de dados pessoais?
O objetivo geral é verificar na legislação nacional acerca da responsabilidade civil e
proteção de dados, os limites e especificidades para reparação dos dados pelos agentes de
proteção, seguido dos objetivos específicos de identificar os conceitos fundamentais,
princípios e outros aspectos gerais da Lei Geral de Proteção de Dados, de forma a distinguir
os agentes de proteção de dados pessoais e identificar suas atribuições para demonstrar a
responsabilidade civil dos agentes de proteção de dados pessoais diante do ordenamento
jurídico brasileiro.
Para o desenvolvimento desta pesquisa monográfica, o presente trabalho utiliza-se do
método de abordagem de pensamento dedutivo, o qual parte dos aspectos gerais especificados
na Lei Geral de Proteção de Dados e da premissa geral da responsabilidade civil, e de
natureza qualitativa, por contextualizar os dados de caráter subjetivo, sem tratar de questões
estatísticas. O método de procedimento é o monográfico. A técnica de pesquisa é
bibliográfica, com base na doutrina, na jurisprudência e na legislação pertinentes.
A presente monografia está desenvolvida em cinco capítulos, iniciando pela
introdução e finalizando pela conclusão.
No segundo capítulo será abordado os conceitos, fundamentos, bem como os
princípios que a Lei Geral de Proteção de Dados trata ao longo de seus dispositivos, além de
definir as partes dessa relação jurídica e os principais aspectos da norma.
Ao capítulo três caberá apontar os elementos e espécies existentes de responsabilidade,
visto que se necessita de embasamento sobre a matéria para debater a respeito da
responsabilidade civil na esfera da proteção de dados pessoais. Será abordado o histórico da
responsabilidade civil, seus pressupostos legais, modalidades e excludentes a fim de
compreender a responsabilidade civil no âmbito de proteção de dados pessoais.
O capítulo quatro objetiva indicar o conceito e as atribuições dos agentes de proteção
de dados estipulados na LGPD, de forma a compreender a modalidade de responsabilidade
civil a ser aplicada a estes quanto a sua responsabilidade com relação aos titulares de dados.
Será demonstrado o posicionamento doutrinário e jurisprudencial acerca do tratamento de
dados pessoais e a responsabilidade civil respectiva de seus agentes de proteção.
A importância dessa temática diz respeito, também, aos episódios de vazamento de
informações de usuários por agentes de tratamento pessoais manifestam que um dos aspectos
mais importantes a ser regulamentado pela LGPD não será apenas o regramento a respeito da
1
coleta e do tratamento dos dados, mas, principalmente, a responsabilização daqueles que não
garantirem a integridade do direito fundamental dos titulares dos dados pessoais.
Sendo assim, é de suma importância compreender a natureza jurídica e limites da
responsabilidade civil no âmbito da proteção de dados pessoais, correlacionando as normas
gerais sobre responsabilidade civil e a norma específica trazida pela LGPD a respeito do tema.
Esse cotejamento se faz necessário para estabelecer os limites da responsabilidade que se abre
com o regramento da proteção de dados, em que pese a escassez doutrinária e jurisprudencial
sobre o tema.
1
2.1 CONCEITO
Art. 1º. Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios
digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com
o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o
livre desenvolvimento da personalidade da pessoa natural. (BRASIL, 2018).
2.2 FUNDAMENTOS
2.2.1 Privacidade
possibilidade de cada indivíduo controlar, de certa forma, o uso das informações que lhe
dizem respeito (DONEDA, 2020).
Nessa linha, na Sociedade de Informação, a privacidade recebeu novas feições para
contextualizar elementos referentes a necessidades diversas como, por exemplo, a busca da
igualdade, da liberdade de escolha e do anseio em não ser discriminado. Desta maneira, a
privacidade não é apenas um resguardo em face de ingerências externas, mas também como
elemento indutor da autonomia, da cidadania, da própria atividade política em sentido amplo e
dos direitos de liberdade de uma forma geral (DONEDA, 2020).
Como se percebe, a tutela da privacidade, em sua nova acepção, não se resume a
obstar a intromissão alheia na vida íntima, sendo previstos também deveres de caráter
positivo, como o dever de solicitar autorização e o consentimento do titular ao tratamento de
seus dados pessoais para uma finalidade determinada (SCHREIBER, 2020).
Nesse aspecto de proteção de dados pessoais, a privacidade consiste no direito de o
titular dos dados pessoais exercer o controle de determinar livremente a respeito do uso e da
divulgação de seus dados. No entanto, embora a relevância do direito à privacidade, a
proteção de dados pessoais está contida no âmbito de incidência deste, uma vez que seus
efeitos se encontram desprotegidos pelo Texto Constitucional de forma expressa, carecendo de
uma nova espécie autônoma de direito fundamental. Nesse sentido, o colendo Supremo
Tribunal Federal (STF)1 ao julgar demanda judicial relaciona ao compartilhamento de dados
de usuário de serviço de telefônica com o Instituto Brasileiro de Geografia e Estatística
(IBGE), para a produção de estatística oficial durante a pandemia do COVID-19, consagrou
de forma sublime, no plano jurisprudencial, a existência do direito fundamental à proteção de
dados pessoais (MENDES, 2020).
Dessa forma, a proteção de dados pessoais insere-se como categoria autônoma de
direito à privacidade, sendo relevante para a Lei Geral de Proteção de Dados que os titulares
dos dados tenhamos clareza sobre a forma como seus dados serão tratados (SCALETSCKY,
2020). A LGPD, ao normatizar essas questões, estabelece uma relação de confiança entre os
diversos sujeitos envolvidos no tratamento de dados, garantindo de certa forma o controle do
indivíduo sobre a utilização e tratamento de seus dados.
Ao compreender a abrangência da definição e do conceito do direito à privacidade, na
qual reflete à proteção de dados pessoais, faz-se necessária a compreensão de que a
privacidade apresenta correlação com o direito fundamental à liberdade e ao livre
desenvolvimento da
1
ADIs nº 6387, 6388, 6389 6393, 6390.
1
2.2.2 Liberdade
A proteção da pessoa humana deve ser entendida como valor máximo do ordenamento
jurídico, conforme fundamento estampado no art. 1º, III da Constituição da República
Federativa do Brasil. Não considerar a evolução tecnológica, que influencia na experiência
política, científica e cultural de uma sociedade, significa minimizar o direito ao seu próprio
tempo, tornando-o automaticamente obsoleto, insuficiente e incapaz de garantir os preceitos
da pessoa natural, tendo em vista a velocidade característica da revolução tecnológica
(MALDONADO; BLUM, 2019).
Embora não exista uma previsão constitucional expressa do direito fundamental ao
livre desenvolvimento da personalidade, é entendimento doutrinário e jurisprudencial de que
este decorre do princípio da dignidade da pessoa humana, sendo uma prerrogativa implícita
geral derivado também do direito à personalidade (SARLET, 2017).
1
2.3.2 Princípios
do tratamento, seja cientificado o respectivo titular, de forma gratuita, através do qual possa
acessar os dados tratados. No entanto, essa garantia somente estará materializada, nas
hipóteses dessas condições e respectivas concordâncias sejam satisfeitas e expressamente
colhidas dos respectivos titulares, na forma e no tempo adequados (DONEDA 2020).
A qualidade dos dados (art. 6º, V da LGPD) é importante a medida em que, com base
nas informações coletadas, uma serie de decisões serão tomadas a respeito do titular dos
dados. Para isso o controlador deve tomar medidas para garantir que o dado reflita da melhor
maneira possível a realidade. Este princípio, dessa maneira, garante aos titulares a exatidão,
clareza, relevância e atualização dos dados, de acordo com a necessidade e para o
cumprimento da finalidade de seu tratamento. (PESTANA, 2020).
O princípio da transparência (art. 6º, VI da LGPD) visa garantir que aos titulares sejam
prestadas informações claras, precisas e facilmente acessíveis sobre a realização do tratamento
de seus dados, os respectivos agentes de tratamento e proteção, resguardados os segredos
industriais e comerciais. Esses limites devem ser observados, ao se utilizarem da transparência
relativa aos tratamentos realizados com dados de pessoais naturais. Não há como tutelar
direitos fundamentais como privacidade e o livre desenvolvimento da personalidade, por meio
do tratamento ético, responsável e seguro dos dados pessoais, sem a tutela da referida
transparência. Este princípio é necessário para garantir a confiança nos procedimentos,
permitindo a compreensão dos titulares que, se necessário, poderão desafiá0los e exercer seus
direitos (MALDONADO; BLUM, 2019).
Segundo o princípio da não discriminação (art. 6º, IX), é vedada a utilização de dados
pessoais com fins discriminatórios considerados ilícitos ou abusivos, sendo que esses dois
aspectos são limitadores para caracterizar certas atividades como discriminatórias. Respectivo
abuso se refere ao manuseio excessivo ou imoderado dos dados das pessoas naturais, com isso
transbordando, inclusive, o nexo lógico e jurídico estabelecido pelo trinômio dado-tratamento-
finalidade, afrontando a orientação introduzida pela LGPD (PINHEIRO, 2020).
O princípio da prevenção (art. 6º, VIII da LGPD) prevê que no processo de tratamento,
sejam adotadas as medidas necessárias, para prevenir a ocorrência de danos em virtude do
tratamento de dados pessoais. Nesse aspecto, a Lei prevê que os agentes poderão formular
regras de boas práticas e de governança que estabeleçam as condições de organização, o
regime de funcionamento e os procedimentos, incluindo reclamações e petições de titulares,
as normas de segurança, as obrigações especificas para os diversos envolvidos no tratamento,
mecanismos internos de supervisão e de mitigação de riscos e outros pontos relacionados a
segurança e prevenção no tratamento de dados pessoais (BRUNO, 2020).
2
Desse modo, a violação de dados pessoas é uma das situações que colocam em
elevado risco os direitos dos titulares, de forma permanente. Acessos e coletas não
autorizados e ocorrências acidentais ou propositais acarretam na destruição, perda, alteração,
comunicação ou difusão de dados pessoais. Diante dessa exposição dos dados e do perigo de
sua utilização de forma indevida, o princípio da segurança (art. 6º, VII da LGPD) dispõe que
os agentes de tratamento devem utilizar medidas técnicas e administrativas, aptas a proteger os
dados pessoais de eventuais violações, dolosas ou acidentais. A ausência de segurança, além
da exposição indevida dos dados pessoais e violação do direito dos titulares desses, degrada a
reputação do controlador e do operador perante os quais os dados foram confiados e falharam
em seu dever de proteção (MALDONADO; BLUM, 2019).
Os controladores e operadores, agentes de proteção de dados, são responsáveis pelo
fiel cumprimento das exigências legais para garantir todos os objetivos, fundamentos e demais
princípios estabelecidos na Lei Geral de Proteção de Dados. Ao prever, no art. 6º, inciso X a
responsabilização e prestação de contas como princípio, a LGPD demonstra a intenção de
alertar os agentes que deverão, durante todo o ciclo de vida do tratamento de dados sob sua
responsabilidade, analisar a conformidade legal e implementar os procedimentos de proteção
dos dados pessoais de acordo com a sua própria ponderação de riscos (BIONI, 2020).
O agente de proteção de dados não só deverá comprovar, de um lado, ter adotado os
procederes e praticado os atos permitidos pelo normativo, como, também, de outro lado, que
tenham eficácia efetiva. Caso contrário, ainda que o agente tenha agido com boa-fé, o
descumprimento das normas de proteção de dados e o cometimento de determinadas infrações
equivalerá o enfrentamento frontal ao princípio da responsabilidade e da prestação de contas,
acarretando sua responsabilização e dever de cumprir certas sanções (PESTANA, 2020).
Com essas considerações, serão apresentadas as definições e outras terminologias
abordadas na LGPD, para compreender melhor a aplicação da norma e as partes dessa relação
jurídica.
Nos primeiros três incisos do art. 5º, tem-se a definição de três modalidades de dados
pessoais. Primeiro, o dado pessoal (inciso I) é qualquer informação relacionada a pessoa
natural identificada ou identificável. Essa informação não precisa ser diretamente sobre a
pessoa, podendo ser dados indiretos que possuem potencial para tornar uma pessoa
identificável (BRASIL, 2018). É oportuno que tenha um componente da identidade de uma
pessoa natural, envolvendo inclusive atributos, fatos, comportamentos e padrões para
caracterizar o dado pessoal (MALDONADO; BLUM, 2019). Exemplificando, são dados
pessoais o CPF, título eleitoral, nome, gostos, interesses, hábitos de consumo, sexo, idade e
geolocalização.
Seguindo essa linha de raciocínio, os dados pessoais sensíveis (inciso II) são aqueles
ligados a questões mais subjetivas e comportamentais, trazendo algum tipo de discriminação
do titular quando do seu tratamento (origem racial, convicção religiosa, opinião política,
dados referentes à saúde), bem como, diante da sua criticidade, dados genéticos e biométricos
(BRASIL, 2018). Os dados pessoais sensíveis implicam riscos e vulnerabilidade
potencialmente mais gravosa aos direitos e liberdades fundamentais dos titulares (titular é a
pessoa natural a quem se referem os dados pessoais que são objeto de tratamento) (DONEDA,
2020).
Tendo em vista a intimidade desses dados sensíveis, o seu tratamento existe uma
atenuação ao princípio da privacidade, sendo necessária a cumulação dos requisitos de
consentimento do titular, de forma específica e destacada. Este tipo de dado pode ser essencial
para as empresas auferirem lucros, de forma a direcionar sua publicidade, sendo esta prática
extremamente comum na economia informacional contemporânea. Quando praticado de
forma abusiva e sem observar os requisitos para seu tratamento, acabam por fragilizar a
autonomia e liberdade do consumidor, assim como a privacidade do titular dos dados
(PANEK, 2019)
Já os dados anonimizados (inciso III) que são dados pessoais descaracterizados,
codificados ou pseudonimizados, que passam pelo procedimento de anonimização (IX). É
realizada a utilização de meios técnicos razoáveis e disponíveis no momento do tratamento,
por meio dos quais um dado perde a possibilidade de associação a um individuo. São
excluídos, a princípio, do escopo da aplicação da LGPD, conforme o art. 12 da referida lei,
visto que não há como identificar o titular dos dados, não tendo potencial de lhe causar danos.
A LGPD apenas protegerá os dados anonimizados, quando estes possuírem possibilidade de
serem revertidos e identificado assim o titular dos dados (MALDONADO; BLUM, 2019).
Outra terminologia importante que a LGPD estabelece é a dos agentes de tratamento
de dados (IX) e o encarregado (VIII). Como encarregado, tem-se uma pessoa indicada pelo
controlador e operador para atuar como canal de comunicação entre as partes da relação de
2
Seria a escolha efetiva do titular sobre quais tipos de dados serão tratados em cada operação.
O consentimento será ilícito caso ocorra qualquer induzimento ou tipo de pressão para a
entrega deste por parte do titular (BRASIL, 2018). Conjuntamente com o consentimento, deve
ser observado o requisito da transparência, que se constitui como demonstração de boa-fé do
controlador.
A manifestação do consentimento ocorrerá antes da coleta dos dados pessoais. O art.
9º da LGPD especifica as informações que devem ser previamente fornecidas aos titulares,
sendo essas acerca do ciclo de vida do tratamento de seus dados pessoais, de forma clara e
ostensiva, assim como a finalidade específica do tratamento, a forma e duração deste. Deve-se
identificar ainda o agente de tratamento de dados, as responsabilidades deste e os direitos
pertencentes ao titular dos dados, bem como os possíveis riscos a que este possa estar sujeito.
Inclusive, o titular, a qualquer momento, pode revogar seu consentimento, excluindo seus
dados daquele tratamento. A segunda hipótese de tratamento é a de cumprimento de obrigação
legal ou regulatória pelo controlador (art. 7º, II da LGPD). Dessa forma, desnecessário o
consentimento do titular dos dados caso exista determinação legal para o tratamento de dados
pessoais. (MALDONADO; BLUM, 2019).
As outras hipóteses seriam as atividades de tratamento de dados pela administração
pública, necessários à execução de políticas publicas previstas em lei (III). Da mesma forma,
é dispensado o consentimento do titular dos dados para a coleta e tratamento destes para a
realização de estudos por órgãos de pesquisa, garantida, sempre que possível, a anonimização
dos dados pessoais (IV); quando necessário para a execução de contrato ou de procedimentos
preliminares relacionados a contrato do qual seja parte o titular, ou ainda, para o exercício
regular de direitos em processos judiciais, administrativos ou arbitral (VI); para a proteção da
vida ou da incolumidade física do titular ou de terceiros (VII) ou tutela da saúde, realizado por
profissionais de saúde ou autoridade sanitária (VIII) (BRASIL, 2018).
Além disso, o consentimento é dispensável quando o tratamento de dados for
necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso
de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados
pessoais (IX) ou para a proteção do crédito, inclusive, quanto ao disposto na legislação
pertinente (X) (BRASIL, 2018).
Outrossim, com o intuito de assegurar proteção ao titular, possibilitando a fiscalização
do procedimento e a defesa em possível irregularidades, o art. 37 da LGPD estabelece aos
agentes de tratamento de dados a realização do registro das operações de coleta e tratamento
realizadas. Não só o titular, mas os próprios agentes se beneficiam de tal medida, uma vez que
2
3 RESPONSABILIDADE CIVIL
A verificação histórica permite compreender a origem das regras, a sua conexão com a
estrutura e exigências da sociedade, correlacionando sua origem com o aspecto cultural e as
correntes de pensamento e costumes que orientam o legislador na elaboração de normas. O
conceito de responsabilidade civil evoluiu ao longo da história. O dano causado pelo ilícito é
objeto de estudo há muito tempo, no entanto a forma de demanda contra os danos sofridos em
decorrência de um ato praticado, em descumprimento a um dever de conduta, é que se
modificou ao longo da história do Direito Civil. Ademais, origem do instituto da
responsabilidade está calcada na concepção de vingança privada (GAGLIANO; PAMPLONA
FILHO, 2017).
Como primeira forma de reação contra comportamentos lesivos pode-se citar a
vingança. Os costumes estabeleciam as regras de convivência social, levando os ofendidos a
reagir de forma direta e violenta contra o causador do dano, muitas vezes, pela reação
conjunta de um grupo contra o agressor pela ofensa a um de seus componentes. Era a
denominada autotutela. A principal função da responsabilidade civil não era de ressarcir o
ofendido, mas a de punir o responsável pela lesão. Pretendia-se a reparação de danos reagindo
com ódio ao culpado, alterando a sua situação pessoal ou patrimonial, aplicando penas pública
e privada. O poder público neste período permanecia inerte muitas vezes, intervindo apenas
para declarar
3
quando e como a vítima poderia ter o direito de retaliação, para produzir no ofensor um dano
idêntico ao que experimentou (DINIZ, 2021).
Em um segundo momento, o período que sucedeu ao da vingança privada é o da
composição, em que a vítima optou pelas vantagens da substituição da violência pela
compensação econômica do dano. É vedado à vítima fazer justiça pelas próprias mãos. A
composição econômica, de voluntária passa a ser obrigatória e tarifada, na qual era vigente à
época o Código de Ur-Nammu, o Código de Manu e da Lei das XII Tábuas (GONÇALVES,
2017).
O marco na evolução histórica da responsabilidade civil ocorre com a edição da Lei
Aquília, na qual surge a moderna concepção da responsabilidade extracontratual. Esta
possibilitou atribuir ao titular de bens o direito de obter o pagamento de uma penalidade em
dinheiro, de quem tivesse destruído ou deteriorado seus bens. Esta regulava o dano produzido
pela injúria, consistente na destruição ou deterioração da coisa alheia por fato que tivesse
atingido coisa corpórea ou incorpórea, sem justificativa legal. Embora sua finalidade original
fosse limitada ao proprietário da coisa lesada, a sua aplicação e interpretação fez com que se
construísse uma efetiva doutrina romana da responsabilidade extracontratual (GAGLIANO;
PAMPLONA FILHO, 2017).
Após este período, o Estado assumiu o poder-dever de punir, atraindo a função da
punir os ofensores da ordem jurídica. Com a Lei Aquília se esboça o princípio geral regulador
da reparação do dano, surgindo a ação de indenização no momento em que a ação repressiva
de punir passou para o Estado. Punia-se por uma conduta que viesse ocasionar danos. Em
princípio, a culpa é punível traduzida pela imprudência, negligência ou imperícia, ou pelo
dano (VENOSA, 2021).
A teoria clássica da culpa não satisfazia as necessidades da vida em comum, na
hipótese de casos concretos em que os danos se perpetuavam sem reparação pela
impossibilidade de comprovação do elemento anímico. Assim, começou a vislumbrar novas
soluções, com a ampliação do conceito de culpa e mesmo o acolhimento excepcional de novas
teorias dogmáticas, que propugnavam pela reparação do dano decorrente, exclusivamente,
pelo fato ou em virtude do risco criado. Essas teorias foram amparadas nas legislações
modernas, sem afastar inteiramente à teoria tradicional da culpa (GAGLIANO; PAMPLONA
FILHO, 2017).
No ordenamento jurídico brasileiro, a responsabilidade civil passou por vários estágios
de desenvolvimento. Inicialmente, a reparação civil era condicionada à condenação criminal.
Posteriormente foi adotado o princípio da independência da jurisdição civil e da criminal. O
Código Civil de 1916 adotou a teoria subjetiva de responsabilidade, que exige prova de culpa
3
ou dolo do causador do dano para que seja obrigado a repará-lo. Com o desenvolvimento
industrial e a multiplicação dos danos, surgiram novas teorias tendentes a proporcionar maior
proteção às vítimas.
A teoria do risco, sem substituir a teoria(tirar) da culpa, denota a respeito do exercício
de atividade perigosa como fundamento da responsabilidade civil. O exercício de atividade
que possa oferecer algum perigo representa um risco, que o agente assuma, de ser obrigado a
ressarcir os danos que venham resultar a terceiros dessas atividades. O agente, no caso, será
exonerado se provar que adotou as medidas idôneas para evitar o dano (GONÇALVES,
2017). A culpa continua a ser o fundamento da responsabilidade civil, juntamente com o
risco, na teoria objetiva.
A evolução histórica da responsabilidade civil é marcada pela concepção de
reparabilidade por um prejuízo causado a alguém, partindo inicialmente com a vingança
privada até o conceito de reparação fundada na culpa, juntamente à objetivação do instituto na
teoria do risco. A responsabilidade civil, enquanto fenômeno jurídico decorrente da
conivência conflituosa do homem em sociedade é, na sua essência, um conceito uno,
incindível (GAGLIANO; PAMPLONA FILHO, 2017).
Em função de algumas peculiaridades dogmáticas da responsabilidade civil, faz-se
oportuno compreender sua classificação sistemática tomando por base os pressupostos e
modalidades, aspectos esses que serão tratados a seguir.
A conduta humana é o ato humano comissivo (prática de um ato que ano deveria ser
efetivado) ou omissivo (inobservância de um dever de agir ou a não prática de um ato que
deveria ser realizado), ilícito (baseado na ideia de culpa) ou lícito (ato fundamentado na teoria
do risco), voluntário (controlável pela vontade) e objetivamente imputável (possibilidade de
atribuir a uma pessoa a responsabilidade por algum fato ou ato), do próprio agente ou de
terceiro, ou o fato de animal, ou coisa inanimada (responsabilidade civil indireta), que cause
dano a outrem, gerando o dever de satisfazer os direitos do lesado (DINIZ, 2021).
A conduta dolosa do agente consiste na vontade de cometer uma violação de direito,
deliberada, consciente e intencional do dever jurídico. A culpa, por outro lado, seria a
negligência (falta de cuidado, desleixo proposital), imprudência (falta de cautela ao realizar
determinado ato) ou imperícia (ausência de habilidade necessária para realização de
determinada atividade) presente em determinada ação realizada pelo agente causador do dano.
Para obter a reparação do dano, a vítima geralmente tem de provar o dolo ou culpa do agente,
sendo a teoria subjetiva adotada pelo ordenamento civil brasileiro. Há hipóteses específicas de
responsabilidade sem culpa, sendo esta a responsabilidade civil objetiva, com base na teoria
do risco (GONÇALVES, 2017).
Outro pressuposto caracterizador da responsabilidade civil é o dano ou o prejuízo
experimentado pela vítima. Haverá responsabilidade civil se houver um dano a ser reparado.
Não há que se falar em indenização ou ressarcimento se não houver o dano. Pode haver
responsabilidade sem culpa, mas não pode haver responsabilidade sem dano. O dano é a lesão
a um interesse jurídico tutelado, patrimonial ou não, causado por ação ou omissão do agente
infrator (TARTUCE, 2021).
Para haver dano indenizável, será oportuno a ocorrência dos seguintes requisitos: a)
diminuição ou infração a um bem jurídico, patrimonial ou moral, pertencente a uma pessoa; b)
efetividade ou certeza do dano, pois a lesão não poderá ser hipotética ou conjetural; c)
causalidade, já que deverá haver uma relação entre a falta ou a ação e o prejuízo causado; d)
subsistência do dano no momento da reclamação do lesado, ou seja, o dano não pode já ter
sido reparado pelo responsável; e) legitimidade: para poder pleitear a reparação a vítima
precisa ser titular do direito atingido; f) ausência de causas excludentes de responsabilidade,
porque podem ocorrer danos que não resultem dever ressarcitório como os causados por caso
fortuito, força maior ou culpa exclusiva da vítima (DINIZ, 2021).
O dano, ainda, pode ser patrimonial ou material, atingindo os bens integrantes do
patrimônio da vítima, ou seja, o conjunto de relações jurídicas de uma pessoa apreciáveis em
dinheiro. Nem sempre o dano patrimonial resulta da lesão de bens ou interesses patrimoniais,
3
pode haver violação de bens personalíssimos como o bom nome, a reputação, a saúde, a
imagem e a própria honra, gerando perda de receitas ou realização de despesas, configurando
dano patrimonial indireto (CAVALIERI FILHO, 2015). Em contraponto, os danos morais se
traduzem em turbações de ânimo, em reações desagradáveis, desconfortáveis ou
constrangedoras, produzidas na esfera do lesado. Seria o dano extrapatrimonial, do qual o dano
moral é apenas uma das espécies, visto a existência de outras, como o dano estético, lucros
cessantes e dano emergente (FACCHINI NETO, 2010).
O dano extrapatrimonial, conhecido como dano moral, não se restringe à dor, tristeza e
sofrimento, estendendo a sua tutela aos bens personalíssimos. Este é insusceptível de
avaliação pecuniária, podendo apenas ser compensado com a obrigação pecuniária
estabelecida ao causador do dano. É mais uma satisfação do que uma indenização
(GAGLIANO; PAMPLONA FILHO, 2017).
Após elencar os dois primeiros elementos da responsabilidade civil, relevante
esclarecer acerca do nexo de causalidade, pressuposto da responsabilidade civil. O nexo de
causalidade é o liame que une a conduta do agente ao dano, de modo que por meio do exame
dessa relação causal é que se verifica quem foi o causador do dano. Apesar da
responsabilidade objetiva dispensar a comprovação da culpa, o nexo causal não será
dispensável (VENOSA, 2021). Não há que se falar em responsabilidade civil sem existir
relação de causalidade entre o dano e a conduta que o provocou. É o vínculo, a relação de
causa e efeito entre a conduta e o resultado (CAVALIERI FILHO, 2015).
Há três teorias principais que explicam o nexo de causalidade: da equivalência de
condições, da causalidade adequada e a teoria da causalidade direta ou imediata.
A teoria da equivalência das condições não diferencia os antecedentes do resultado
danoso, de forma que tudo aquilo que concorra para o evento será considerada causa. Os
fatores causais se equivalem, caso tenham relação com o resultado. Toda e qualquer
circunstância que haja concorrido para a produção do dano será considerada causa
(GAGLIANO; PAMPLONA FILHO, 2017).
Na teoria da causalidade adequada considera-se como causadora do dano a condição
apta a produzi-lo. Ocorrendo certo dano, tem-se que o fato que originou era capaz de lhe dar
causa. Na hipótese da relação de causa e efeito existe nos casos dessa natureza, diz-se que a
causa era adequada a produzir esse efeito. Se existiu no caso em apreciação somente por força
de uma circunstância acidental, diz-se que a causa não era adequada. Para se considerar uma
causa adequada, esta deverá, de forma abstrata, ser apta à efetivação do resultado. Existe na
aplicação dessa teoria uma discricionariedade do julgador, a quem cabe avaliar, no plano
3
abstrato e conforme o curso normal das coisas, se determinado fato pode ser considerado no
caso concreto como sendo, realmente, a causa do evento danoso (GONÇALVES, 2017).
A terceira e última teoria, a da causalidade direta ou imediata, ou como também
chamada teoria da interrupção do nexo causal, tem como causa o antecedente fático que,
ligado por um vínculo de necessidade ao resultado danoso, determine este último como uma
consequência sua, direta e imediata. Entre a conduta e o dano requer-se uma relação de causa
e efeito direta e imediata, devendo a causa ser necessária, por não existir outra que explique o
mesmo dano (GAGLIANO; PAMPLONA FILHO, 2017).
Desse modo, para a caracterização da responsabilidade civil, é oportuna a presença de
determinados pressupostos, os quais são extraídos pela maioria da doutrina do artigo 186 do
Código Civil. Para contextualizar o entendimento a respeito da responsabilidade civil do
ordenamento jurídico brasileiro, faz-se necessário compreender suas modalidades.
3.3 MODALIDADES
Entre os romanos não havia distinção entre responsabilidade civil e penal, que não
passava de uma pena estabelecida ao causador do dano. Na Lei Aquília, como mencionado
anteriormente, foi realizada uma distinção, embora a responsabilidade continuasse sendo
penal, a indenização pecuniária passou a ser a única forma de sanção nos casos de atos lesivos
não criminosos (GONÇALVES, 2012).
3
do devedor o ônus probandi, de que não agiu com culpa ou que ocorreu alguma causa
excludente do elo de causalidade (CAVALIERI FILHO, 2015).
Esclarecidas as modalidades e os pressupostos mais importantes da responsabilidade
civil para o entendimento do presente trabalho monográfico, distinguindo-a nas vertentes
cíveis e penais, contratual e extracontratual, subjetiva e objetiva, indicando os elementos
existentes como a conduta humana, o dano e o nexo de causalidade, passa-se a contextualizar
as excludentes de responsabilidade.
contemporâneo, de maneira a prever deveres aos agentes dessa nova relação jurídica, bem
como critérios de escolha daquele que ressarcirá por eventual dano provocado (GODOY,
2019).
A responsabilidade civil, como verificado no presente capítulo, passou por diversas
mutações e evoluções ao longo da história. Como ramo do direito obrigacional, segundo a
qual a conduta humana vincula-se a seu fim, surgindo, na eventualidade do descumprimento
de uma obrigação, o dever de compensar o dano causado por meio de uma indenização. As
disposições atinentes à historicidade e os pressupostos da responsabilidade civil visam dar
elementos para reconhecer que o prejuízo deve ser indenizado, pois do contrário seria ineficaz
a construção doutrinária e jurisprudencial erigida ao longo da história.
A relevância do presente capítulo para o tema diz respeito a importância em compreender
os pressupostos e modalidades da responsabilidade civil, para apresentar embasamento com às
disposições acerca de responsabilidade civil trazidas pela LGPD.
Desse modo, uma vez que em posse (legítima e consentida) dos dados pessoais ou
sensíveis, os agentes de tratamento poderão tratá-los livremente desde que observados os
princípios e limites estabelecidos pela legislação e regulação oriunda da Autoridade Nacional de
Proteção de Dados, sob pena de incorrer em responsabilidade civil, que será discutido no capítulo
a seguir.
4
4.1.1 Conceito
partes da relação de coleta e tratamento de dados, entre controlador, titulares e a ANPD (art.
5º, inciso VIII, da LGPD). Sendo assim, o encarregado é o responsável por garantir a
conformidade de uma organização à LGDP, e por garantir que as informações fiquem
centralizadas recebendo a efetiva validação (MALDONADO; BLUM, 2019).
Em dissonância com o disposto pela General Data Protection Regulation (GDPR), o
DPO pode ter qualquer tipo de formação, sem uma necessidade específica. A Lei nº 13.853 de
2019 vetou o § 4º e seus três incisos, do art. 41 da LGPD, na qual continha redação inspirada
na GDPR. O mencionado dispositivo estabelecia que o encarregado deveria ser detentor de
um conhecimento jurídico-regulatório e, também, garantidor da autonomia técnica e
profissional durante o exercício do cargo. Dessa maneira, as atividades do encarregado
demonstram muito mais um serviço a ser prestado do que a realização de uma atividade por
um único indivíduo (PINHEIRO, 2020).
No referido dispositivo não há menção se este encarregado deverá ser pessoa física ou
pessoa jurídica, o que permite interpretações. Considerando as boas práticas internacionais, o
encarregado poderá ser tanto um funcionário da instituição quanto um agente externo, de
natureza física ou jurídica. Recomenda-se que o encarregado seja indicado por um ato formal,
como um contrato de prestação de serviços ou um ato administrativo (AUTORIDADE
NACIONAL DE PROTEÇÃO DE DADOS, 2021). No caso do encarregado ser pessoas
jurídicas, o agente de tratamento será considerado de forma institucional, já que será a pessoa
jurídica e não os indivíduos que trabalham na empresa, que será considerada agente de
tratamento. Na hipótese de pessoa física, em casos excepcionais também pode ser considerada
agente de tratamento, na hipótese de atuar de forma autônoma com o tratamento de dados
(PINHEIRO, 2020).
Conforme a publicação do Guia de Agentes de Tratamento e do Encarregado pela
própria ANPD em maio de 2021, verifica-se que, por regra geral, a organização deverá indicar
uma pessoa para assumir este papel, diferentemente do que ocorrem em outras legislações de
proteção de dados estrangeiras, como a GDPR. O art. 41, §3º da LGPD possibilita que a
Autoridade Nacional, em norma complementar, estabeleça hipóteses de dispensa da
necessidade da indicação do encarregado, de acordo com a natureza da entidade ou a
quantidade de operações de tratamento de dados. Pode, além disso, estabelecer normas
complementares sobre a definição e as atribuições do encarregado. (AUTORIDADE
NACIONAL DE PROTEÇÃO DE DADOS, 2021)
Dessa forma, após conceituar quem são os agentes de tratamento de dados, passa-se
destacar as atribuições de cada agente.
4
4.1.2 Atribuições
A LGPD determina, no art. 37, que o controlador e operador devem manter registro
das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado
no legítimo interesse. Está é uma das obrigações mais importantes previstas aos agentes de
tratamento. É recomendável, dessa forma, a manutenção de registro das operações realizadas,
desde a coleta até o descarte dos dados pessoais, uma vez que o mapeamento dessas
operações é relevante para a correta mitigação dos riscos e para prestação de contas advinda
do art. 38 da referida norma. A empresa que realiza atividades de tratamento de dados
pessoais sujeitas à LGPD, está obrigada a realizar esses registros (BRUNO, 2020).
A iniciativa de elaboração do relatório de impacto deve partir do responsável pela
operação de tratamento de dados pessoais sob análise, que deverá solicitar o parecer do
encarregado pelo tratamento de dados pessoais, quando designado. Neste relatório, deverão
estar presentes as informações previstas no parágrafo único do art. 38 da LGPD, sem prejuízo
de outras informações como, por exemplo, a avaliação da necessidade e proporcionalidade
das operações diante de seus objetivos e a avaliação dos riscos para os direitos e liberdades
dos titulares dos dados tratados (MALDONADO; BLUM, 2019).
Ainda, tanto o controlador como o operador devem demonstrar a adoção de medidas
eficazes e capazes, de comprovar a observância e o cumprimento das normas de proteção de
dados pessoais e, inclusive, da eficácia dessas medidas (art. 6º, X da LGPD). Deverá também
formular e empregar regras de boas práticas e governança em proteção de dados pessoais,
levando em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a
finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de
tratamento de dados do titular (art. 50, caput, da LGPD), respeitando os princípios legais
(PRINHEIRO, 2020).
Apesar do controlador e do operador compartilharem certos deveres e, embora haja
semelhança entre esses no que tange à natureza jurídica, cada agente possui suas atribuições
legais e responsabilidades próprias. O controlador, segundo o art. 5º, inciso VI da LGPD, é o
responsável pela tomada de decisões sobre o tratamento de dados pessoais, possuindo maiores
encargos e responsabilidades em relação ao operador. Pertence ao controlador o poder de
decisão, admitindo-se que este forneça instruções para que um terceiro (operador) realize o
tratamento em seu nome. Não há necessidade de que todas as decisões sejam tomadas pelo
controlador, de modo que é suficiente que este mantenha sob sua influência e controle as
4
indesejado que seja hábil a comprometer a segurança dos dados pessoais, de modo a expô-los
a acessos não autorizados e a situações acidentais ou ilícitas de distribuição, perda, alteração,
comunicação ou qualquer forma de tratamento inadequado ou ilícito. É associado, dessa
forma, a uma ameaça à segurança da informação (MALDONADO; BLUM, 2019).
Na hipótese da ANPD não for cientificada do incidente pelo controlador, não será
possível zelar pela proteção dos dados pessoais, bem como o titular dos dados afetado não
poderá agir de modo a mitigar os riscos aos quais estará exposto. Por isso, apenas com a
correta gestão de dados concomitantemente com o adequado acesso a informação, há garantia
da segurança e da devida proteção dos dados pessoais dos titulares. (BRUNO, 2020).
O objetivo da gestão de dados ou dos incidentes de segurança da informação é garantir
que incidentes e ocorrências similares sejam formalmente registrados, e exista uma busca pela
efetiva causa do mesmo com a finalidade de corrigir e resolver em tempo aceitável para a
realização do negócio (FONTES, 2008). A gestão de dados pode ser caracterizada através de
diversas operações que fazem parte do uso dessas informações, podendo ser por meio da
coleta, do acesso, do processamento e armazenamento, bem como por meio da comunicação e
controle da informação. Cada empresa realizadora de tratamento de dados possui o seu
processo de gerenciamento, com finalidade específica, devendo essa estar em conformidade
com a lei proposta, fornecendo informações com consentimento e cumprindo suas obrigações
legais (PINHEIRO, 2020).
Já a segurança e acesso a informação é caracterizada pela proteção de dados nas
organizações contra diversos tipos de ameaças. É um conjunto de ações que possuam a
finalidade de gestão de dados de forma consciente, segura e de acordo com a norma. A
segurança envolve a adoção de procedimentos, tecnologias e soluções que garantam maior
proteção dos dados pessoais em casos de acessos não autorizados e de situações acidentais ou
ilícita. Conforme o princípio da segurança (art. 6, inciso VII, da LGPD), devem ser utilizados
medidas técnicas e administrativas aptas a proteger os dados pessoais. Essas medidas não
envolvem apenas técnicas e ferramentas de proteção, mas envolvem principalmente a
cooperação entre os agentes de proteção e a ANPD, na qual suas atividades e obrigações
precisam estar em sintonia para garantir ao titular dos dados uma efetiva segurança e
reparação de dano, caso tenha ocorrido (PESTANA, 2020).
A LGPD é uma medida legal para assegurar às pessoas sobre o uso de suas
informações, mas a segurança quem tem que garantir é a instituição que realiza a coleta e
tratamento de seus dados. O papel dos agentes de proteção de dados, juntamente com a
ANPD, é de grande importância não só para o desenvolvimento correto do tratamento de
dados, como para a
4
segurança desse tratamento perante os titulares. Uma má gestão de dados põe em risco o
direito do titular de dados à privacidade, liberdade e ao livre desenvolvimento da pessoa
natural, podendo resultar em atos contra os princípios e obrigações previstas na LGPD,
gerando a obrigação de reparar o dano causado, sem prejuízo a aplicação de outras sanções
previstas (BIONI; DIAS, 2020).
A partir desses ensinamentos, passa-se a demonstrar as formas de responsabilização
dos agentes de tratamento de dados e as suas peculiaridades no âmbito da LGPD.
A Lei Geral de Proteção de Dados, conforme exposto inicialmente, surgiu com o salto
tecnológico da sociedade e crescimento do acesso à Internet. Tendo em vista as lacunas
decorrentes das mudanças no âmbito jurídico em relação ao direito digital e aos dados
pessoais, conjuntamente com o crescimento da utilização e comercialização destes, observou-
se a necessidade de legislar visando à tutela da proteção de dados pessoais (VAINZOF, 2020).
A Lei nº 13.709/18, ao utilizar como fundamento da proteção dos dados pessoais o livre
desenvolvimento da personalidade, à privacidade e a liberdade da pessoa natural, demonstra o
objetivo em proteger a pessoa natural titular dos dados. Tem por foco garantir que os seus
direitos fundamentais e a sua dignidade sejam respeitados ao decorrer do processo de coleta e
tratamento de seus dados. Para isso, é necessário cumprir certos requisitos, limites de
aplicação e as vedações expressas na lei. A inobservância dos princípios e das obrigações no
processo de tratamento de dados, além de expor indevidamente o titular e infringir as
garantias deste, degrada a reputação dos agentes de proteção perante os quais os dados
foram confiados
(MALDONADO; BLUM, 2019).
Como apurado, tem-se como agentes de tratamento de dados o controlador, sendo
aquele que toma as decisões referentes ao tratamento de dados pessoais, e o operador, que
realiza o tratamento de dados pessoais em nome do controlador. Ambos são responsáveis pelo
cumprimento das exigências legais, de forma a garantir os objetivos e princípios estabelecidos
na LGPD (PINHEIRO, 2020). Além das atribuições específicas de cada agente, esses devem
observar os princípios da responsabilização e prestação de contas, devendo durante o ciclo de
vida do tratamento de dados sob sua responsabilidade, analisar a conformidade legal e
implementar os procedimentos de proteção dos dados pessoais de acordo com a sua própria
ponderação de riscos. Ademais, devem utilizar medidas técnicas e administrativas, aptas a
5
Dessa forma, o art. 42 aborda a regra geral de responsabilidade nos casos de violação à
LGPD, especificando quais agentes poderão ser responsabilizados. Exclui neste caso o
encarregado e, ainda, traz quatro espécies de danos que podem ser ocasionados com a
violação dos dados pessoais, sendo o dano patrimonial, moral, individual ou coletivo. O
legislador traz como circunstância para reparação do dano, a necessidade de a operação de
tratamento ter sido lesiva. Por mais que não esteja previsto no dispositivo o elemento culpa,
não há exclusão de forma expressa (TASSO, 2020). Há divergências doutrinárias acerca da
natureza da obrigação de indenizar no âmbito de proteção de dados pessoais, no tocante de ser
objetiva ou subjetiva. Dessa forma, cabe esclarecer os posicionamentos no que diz respeito a
natureza da responsabilidade civil a ser utilizada na aplicação da LGPD.
No que se refere a responsabilidade civil subjetiva, a doutrina compreende que a
LGPD, ao prever causas excludentes do nexo de causalidade no art. 43, expõe presumidamente
a autoria do tratamento por parte do agente a quem é atribuído e a culpa deste. Esta pode ser
afastada caso demonstrado a observação do regramento de conduta esperado, empregando
medidas idôneas para evitar o dano (GUEDES; TEPEDINO; TERRA, 2020). O art. 43 prevê
três hipóteses de exclusão de responsabilidade. O inciso I refere-se a causa excludente do
nexo causal, quando os dados forem tratados por terceiros, havendo ilegitimidade passiva do
controlador ou operador no caso. O inciso II exclui a responsabilidade quando o dano resultar
da prática de um ato lícito, inexistindo, violação à legislação de proteção de dados. E o inciso
III afasta a responsabilidade quando o dano for causado por culpa exclusiva da vítima. Neste
caso, o titular ou terceiro agiria de modo a contrariar seus interesses quando descuida da
segurança ou subestima os riscos de uma determinada medida, acarretando riscos que
fugiriam do controle do controlador (SCHREIBER, 2020).
Ainda mencionando o inciso III do art. 43, encontra-se a possibilidade da
responsabilização do encarregado, no qual há exoneração dos agentes de tratamento da
responsabilidade quando o dano é decorrente de culpa exclusiva de terceiro, limitando-se a
responsabilidade ao exercício adequado de suas funções (CABELLA, 2020).
Outro ponto defendido pelos subjetivistas extrai-se do art. 44, na qual o tratamento
irregular de dados configura-se defeito de serviço, estabelecendo uma nova hipótese para a
responsabilização civil, pois se vincula à noção de potencial violação à segurança de dados
que o titular pode esperar do tratamento (TEIXEIRA; ARMELIN, 2019).
Esse dispositivo ajusta as hipóteses instituídas como ensejadoras de responsabilidade
civil, ao sistematizar critérios para aferição da culpa dos agentes de tratamento de dados. Ao
determinar que a irregularidade no tratamento ocorrerá apenas quando inobservado a
legislação
5
ou quando não for fornecido a segurança esperada pelo titular, levando em consideração o
modo, o resultado e as técnicas de tratamento disponíveis à época da realização deste.
Restringe-se os limites na qual a culpa se encontra, enquanto requisito para configuração do
dever de indenizar. A verificação do referido dispositivo legal, conjuntamente com o art. 50,
§§1º e 2º da LGPD, pressupõe a necessidade de realizar-se um julgamento acerca da
culpabilidade do causador do dano em determinado caso concreto, dando margem para a
aplicabilidade da teoria subjetiva (GUEDES; MEIRELES, 2019).
As professoras Gisela Sampaio da Cruz Guedes e Rose Melo Venceslau Meireles
foram as pioneiras a sustentar a aplicação da teoria subjetiva, no tocante a responsabilidade
civil dos agentes de proteção de dados. Defendem que a criação de obrigações, a imposição
de comportamentos, como deveres sucessivos instituídos pela lei a serem adotados durante a
cadeia de tratamento de dados, não fariam sentido se a responsabilização dos agentes
independesse de culpa de fato. Esse conjunto de previsões legais indicariam que a LGPD
instituiu um standard de conduta (GUEDES; MEIRELES, 2019).
No mesmo viés, Bruno Bioni e Daniel Dias defendem que a hipótese de exclusão de
responsabilidade exposta no art. 43, II, somado à principiologia, às boas práticas e governança
(art. 50 da LGPD). Com a obrigação dos agentes de proteção em realizar relatórios de impacto
à proteção de dados pessoais, propiciam o afastamento de uma possível sistemática de
responsabilidade civil objetiva, visto que há presença de elementos normativos na qual
convergem a um juízo de valor em torno da culpa do lesante (BIONI; DIAS, 2020).
Dessa forma, a responsabilidade civil subjetiva dos agentes de proteção de dados se
fundamenta logicamente pela série de elementos, standards e medidas de segurança que o
legislador prevê à atividade de tratamento de dados (artigos 46 a 54 da LGPD). O
descumprimento da lei e a não adoção de medidas de segurança seriam garantias de
comportamento culposo (negligência, imprudência e imperícia), vez que não faria sentido a
responsabilização do agente de tratamento pelo simples desempenho de sua atividade
adequada a lei (GUEDES; TEPEDINO; TERRA, 2020).
Em contrapartida, o risco é o fundamento para imputação do dever de indenizar
conforme a LGPD. Tem-se, como precursores do entendimento da responsabilidade objetiva
dos agentes de proteção de dados, Danilo Doneda e Laura Schertele Mendes. O principal
argumento dos autores, e que foi citado por aqueles que se alinham à esta corrente de
pensamento, consiste na afirmação de que o tratamento de dados apresenta risco intrínseco
aos seus titulares. Argumentam que os dispositivos não contemplados na seção sobre a
responsabilidade civil dos agentes de tratamento da LGPD, constroem uma normativa no
5
linha de pensamento, uma vez que assentam que não deve haver dúvidas de que a política
legislativa adotada pela LGPD exige a investigação em torno de um juízo de culpa dos
agentes de tratamento de dados. Ao mesmo tempo, prescreve uma série de elementos com alto
potencial de erosão dos filtros para que os agentes de tratamentos de dados sejam
responsabilizados. O resultado é no sentido de um regime jurídico de responsabilidade civil
subjetiva, com alto grau de objetividade (BIONI; DIAS, 2020).
Ainda denotam que há dubiedade no que tange a atividade de tratamento de dados ser
de meio ou resultado, visto que o princípio da responsabilidade e prestação de contas disposto
no art. 6º, XV da LGPD, possibilita uma obrigação de resultado, ao passo que os dispositivos
relacionados a adoção de medidas de segurança e boas práticas (art. 46 e seguintes), indicam
uma obrigação de meio desde o início do ciclo de tratamento de dados (BIONI; DIAS, 2020).
Diante disso, o melhor entendimento é o equivalente a uma responsabilidade sui
generis da culpa presumida com grau de objetividade, visto que a LGPD estabelece um
standard de obrigações aos agentes de tratamento. Configura um dever jurídico sucessivo e
uma culpa presumida sobre a apuração do tratamento irregular causador dos danos, ao mesmo
tempo que a ausência de culpa como excludente de responsabilidade, bem como a existência de
restrições e previsões de tratamento de dados pessoais caracterizam o tratamento de dados como
uma atividade de risco. Assim, estabelece a responsabilização dos agentes de tratamento,
independentemente da conduta culposa.
Importante evidenciar que no mês de outubro de 2021, o Plenário do Senado Federal
aprovou a Proposta de Emenda à Constituição (PEC) 17/2019, que torna a proteção de dados
pessoais, inclusive nos meios digitais, um direito fundamental. O texto segue para
promulgação. A constitucionalização da proteção de dados como direito fundamental e
cláusula pétrea, traz avanços significativos para os titulares de dados pessoais e para a garantia
dos direitos de privacidade, proteção de dados e outras prerrogativas. Evidencia-se a
necessidade de um esforço multissetorial para o fortalecimento de uma cultura de privacidade
e proteção de dados. Com essa mudança significativa no cenário da legislação sobre proteção
de dados, haverá novas discussões acerca do tema e de sua aplicabilidade.
Apresentada as principais considerações acerca da responsabilidade civil na Lei Geral
de Proteção de Dados Pessoais parte-se à verificação de decisões judiciais existentes a
respeito do tema.
5
No presente tópico, será examinado como a proteção de dados é verificada nas Cortes
de Justiça, a fim de observar o posicionamento jurisprudencial no tocante a natureza da
responsabilidade civil aplicada aos agentes de proteção de dados.
No tocante ao desenvolvimento normativo e jurisprudencial a respeito da tutela
jurídica do tratamento de dados pessoais no Brasil, o microssistema protetivo especial do
Código de Defesa do Consumidor (CDC) (Lei nº 8.078/90) concentrou um volume
considerável das demandas relacionadas a dados pessoais. Neste encontram-se previsões
expressas relacionadas ao direito do consumidor sobre seus dados pessoais, conforme
respaldado no art. 43, caput, e seus parágrafos, muito dos quais foram replicados pela LGPD.
O CDC foi o primeiro diploma normativo a trazer influências palpáveis para o
amadurecimento jurisprudencial, do direito à proteção dos dados das pessoas naturais no
Brasil (CUEVA, 2019).
Nessa perspectiva, a partir da edição do diploma consumerista, tem-se o início das
primeiras discussões envolvendo danos indenizáveis por consequência de atividades como
sendo de tratamento de dados pessoais. A maior parte dessas discussões estão atreladas aos
cadastros de proteção ao crédito, hipóteses dede inscrição indevida, cujo qual o a recorrência
acarretou na edição da Súmula nº 385 do colendo STJ, que modula a possibilidade da
obtenção de indenização por dano moral nesse contexto (FRAZÃO; TEPEDINO; OLIVA,
2019).
Dessa forma, ainda não é possível extrair-se algum posicionamento concreto, seja
doutrinário, legislativo ou jurisprudencial quanto a natureza da responsabilidade civil
aplicável no contexto do tratamento de dados pessoais. A concepção consolidada a respeito da
proteção de dados versa sobre relações consumeristas, circunstância que explica de certa
forma a influência do CDC para a redação dos dispositivos que abordam sobre a
reponsabilidade na LGPD, tendo em vista que a figura do consumidor foi protagonista na
construção do conhecimento jurídico pré-existente sobre o direito à proteção dos dados
pessoais. (BIONI, DIAS, 2020).
Nesse sentido, são contextualizadas três decisões judiciais, sendo que a primeira delas
foi obtida através de pesquisa no sítio eletrônico do Conjur Brasil (CONJUR, 2020), com os
termos “responsabilidade civil objetiva”, “LGPD”. A primeira decisão judicial foi notícia no
Brasil, visto que foi pioneira na aplicação da Lei Geral de Proteção de Dados em caso
concreto. As outras duas decisões, encontradas por meio de pesquisa no sítio eletrônico
do Tribunal de Justiça de São Paulo, com os termos “LGPD, “responsabilidade civil”,
“tratamento de dados”, “art. 42 da LGPD”, em busca específica pela ementa, resultou em
5
nove acórdãos.
5
[...] Isto posto, a responsabilidade da ré é objetiva (arts. 14, caput, CDC e 45,
LGPD). Inexiste suporte para a exclusão de responsabilidade (art. 14, § 3º, I a III,
CDC), de sorte que caracterizado o ato ilícito relativo a violação a direitos de
personalidade do autor, especialmente por permitir e tolerar (conduta omissiva) ou
mesmo promover (conduta comissiva) o acesso indevido a dados pessoais do
requerente por terceiros. Irrelevante se a ré possui mecanismos eficazes para a
proteção de dados, seja porque se sujeita às normas consumeristas em relação à sua
responsabilidade, bem como pelo fato de que houve utilização indevida dos dados
do requerente em decorrência do contrato firmado entre as partes. Sendo a
responsabilidade objetiva, não há suporte para se inquirir a existência de culpa
ou a presença de suas modalidades (imperícia, negligência ou imprudência).
Tampouco desnecessário aferir se outras pessoas físicas ou jurídicas participaram da
ilicitude (como no caso de corretores de imóveis), porquanto todos que participam
da cadeia produtiva respondem de forma solidária pelos danos causados (arts. 7º,
parágrafo único, e 25, I, CDC). [...].
por empresas em decorrência do vazamento de seus dados cadastrais, uma vez este foi
utilizado de forma indevida ao desviar-se da finalidade prevista no contrato, na qual possuía
escopo meramente cadastral e de inserção em banco de dados, violando a LGPD.
Desta forma, fundamentou a magistrada na responsabilidade objetiva do fornecedor de
serviços, com base nos artigos 14, caput do CDC e art. 45 da LGPD, afirmando que de fato
houve a utilização indevida dos dados do requerente em decorrência do contrato firmado entre
as partes. Inexiste hipótese de exclusão de responsabilidade ou suporte para se inquirir a
existência de culpa ou a presença de suas modalidades, condenando, assim, a parte ré a
reparação do dano moral.
Ainda, demonstrou a magistrada que seria irrelevante a utilização pela empresa de
mecanismos eficazes para a proteção de dados, uma vez que se sujeita às normas
consumeristas em relação à sua responsabilidade, bem como pelo fato de que houve utilização
indevida dos dados do requerente em decorrência do contrato firmado entre as partes.
data de nascimento, idade, telefone, e-mail, número da agência bancária, conta corrente e
endereço.
No presente acórdão foi mantida a decisão de primeiro grau, em que houve o
indeferimento dos pedidos formulados na ação de indenização por danos morais, em razão da
inexistência de consequências gravosas à imagem, personalidade ou dignidade da parte autora.
Pelos elementos probatórios anexos aos autos, o prejuízo foi apenas hipotético.
Desta forma, fundamentou o relator que incumbe a empresa processadora dos dados
zelar pela total segurança de seu sistema, de modo a evitar acesso ou fraude praticada por
terceiros. Tratar-se de risco da atividade econômica que desenvolve, respondendo
objetivamente por eventuais danos causados aos consumidores em decorrência de acesso
indevido de dados, nos termos dos art. 14 do CDC e art. 42 da LGPD. Entretanto, como no
presente caso entendeu-se pela inexistência de utilização indevida, por terceiros, dos dados
vazados ou dano efetivo ao Apelante, a mera suposição de que o Apelante está sujeito a
ocorrência de fraudes se trata de fato eventual e incerto. Desse modo, não há o condão de
gerar direito indenizatório, pois apenas com sua efetiva ocorrência haverá prejuízo material ou
moral à vítima, não existindo a possibilidade de se indenizar uma expectativa de dano.
Assim, observa-se que para o agente de tratamento de dados ser responsabilizado,
independe de conduta culposa, uma vez que se trata de risco da atividade econômica que
desenvolve. No entanto, o simples vazamento de dados não caracterizaria dano ao titular, é
necessário a comprovação de dano efetivo e o nexo de causalidade com o dano auferido a um
titular ou a uma coletividade.
Isto posto, sendo a proteção de dados pessoais um desafio a ser enfrentado pelo Poder
Judiciário, há certos posicionamentos pelo resguardo dos dados além da responsabilização
objetiva, nos casos de desrespeito aos direitos atrelados aos dados dos titulares. A base
jurisprudencial a respeito da responsabilidade civil no âmbito da LGPD ainda está sendo
consolidada nos tribunais superiores. Assim, deve-se aguardar tempo hábil para verificação do
tema e de entendimento sobre o regime adequado, na responsabilização do agente de
tratamento na relação jurídica com o titular dos dados.
Com essas considerações, a seguir será apresentada a conclusão em consonância com
o referencial teórico apresentado.
6
5 CONCLUSÃO
O presente trabalho trouxe como tema a Lei Geral de Proteção de Dados (Lei nº
13.709/2018), na qual veio a surgir diante do avanço tecnológico e da comercialização e
exploração dos dados pessoais. Com a utilização dos dados para o desenvolvimento da
eficiência econômica, os titulares dos dados se tornaram cada vez mais vulneráveis, tendo sua
intimidade e capacidade de escolha suplantada pelos interesses das grandes corporações.
Neste contexto, devido às lacunas legislativas acerca da proteção dos dados pessoais,
determinou-se a necessidade de estipular limites para o exercício dessa atividade, de modo a
garantir direitos fundamentais ao titular dos dados.
Como verificado a LGPD é um marco importante na proteção de dados, visto que
estabelece princípios, conceitos, procedimentos, normas e punições acerca do tema. A
transmissão, coleta, armazenamento e processamento de dados pessoais coloca em risco o
direito das pessoas naturais à privacidade, liberdade e personalidade, uma vez que há
possibilidade de exposição e utilização indevida ou abusiva destes. A Lei Geral de Proteção de
Dados tem como objetivo fundamental regular o tratamento de dados pessoais, de modo a
garantir os direitos básicos e fundamentais de liberdade, privacidade e o livre desenvolvimento
da personalidade, resguardados na Constituição da República Federativa do Brasil.
A violação dos dispositivos trazidos pela LGPD coloca em risco os direitos dos
titulares dos dados. A responsabilidade dos agentes de proteção de dados vincula-se ao
cumprimento das exigências legais para garantir todos os objetivos, fundamentos e demais
princípios estabelecidos na Lei. Os agentes de tratamento de dados deverão, durante o ciclo de
vida do tratamento de dados sob sua responsabilidade, analisar a conformidade legal e
implementar os procedimentos de proteção de dados pessoais de acordo com a sua própria
ponderação de riscos. O descumprimento de suas atribuições e das regras estabelecidas
possibilita a responsabilização desses, motivo pelo qual a LGPD prontamente abarcou a
responsabilização e o ressarcimento de danos em capítulo específico.
A partir da exemplificação das hipóteses de responsabilização previstas na Lei Geral de
Proteção de Dados, iniciou-se um conflito doutrinário acerca da natureza da responsabilidade
civil dos agentes de tratamento, que levou ao presente estudo a necessidade de explanação
sobre os aspectos gerais da responsabilidade civil no ordenamento jurídico brasileiro e a sua
aplicação perante o diploma de proteção de dados pessoais.
Apesar da falta de consenso e da pouca doutrina e jurisprudência acerca da natureza da
responsabilidade civil no âmbito da proteção de dados pessoais, o fundamento da
6
REFERÊNCIAS
ANGELO, Tiago. Juíza aplica LGPD e condena construtora que não protegeu dados de
cliente. Revista Conjur, 30 set. 2020. Disponível em: https://www.conjur.com.br/2020-set-
30/compartilhar-dados-consumidor-terceiros-gera-indenizacao. Acesso em: 3 out. 2021.
BIONI, Bruno Ricardo; DIAS, Daniel. Responsabilidade civil na proteção de dados pessoais:
construindo pontes entre a lei geral de proteção de dados pessoais e o código de defesa do
consumidor. Civilistica.com, Rio de Janeiro, v. 9, n. 3, 2020.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Dispõe sobre a lei geral de proteção de
dados pessoais. Brasília, DF: Presidência da República, 2018. Disponível em:
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 15
ago. 2021.
BRUNO, Marcos Gomes da Silva. Dos agentes de tratamento de dados pessoais. In:
MALDONADO, Viviane Nóbrega; BLUM, Renato Opice. Lei geral de proteção de dados
comentada. 2. ed. rev. atual e ampl. São Paulo: Thomson Reuters Brasil, 2020.
CABELLA, Daniela Monte Serrat; LIMA, Deise; MOURA, Raíssa; ROCHA, Ana
Beatriz. Responsabilidade civil do encarregado pelo tratamento de dados pessoais: regime
celetista. Migalhas de Peso, 15 out. 2020. Disponível em:
https://www.migalhas.com.br/depeso/334947/responsabilidade-civil-do-encarregado-pelo-
tratamento-de-dados-pessoais--regime-celetista. Acesso em: 31 out. 2021.
6
CAVALIERI FILHO, Sérgio. Programa de responsabilidade civil. 8. ed. São Paulo: Atlas,
2015.
CAVALIERI FILHO, Sergio. Programa de responsabilidade civil. São Paulo: Grupo GEN,
Atlas, 2020. E-book. Acesso restrito via Minha Biblitoeca.
CUEVA, Ricardo Villas Bôas. A proteção de dados pessoais na jurisprudência do STJ. In:
FRAZÃO, Ana; TEPEDINO, Gustavo; OLIVA, Milena Donato. Lei geral de proteção de
dados pessoais e suas repercussões no direito brasileiro. 1. ed. São Paulo: Thomson
Reuters Brasil, 2019.
DEOCLECIO, Helison Lucas. Impactos da nova lei geral de proteção de dados para os
negócios e as pessoas naturais sob a perspectiva dos direitos fundamentais à privacidade.
Jus.com., jan. 2021. Disponível em: https://jus.com.br/artigos/88132/impactos-da-nova-
lei- geral-de-protecao-de-dados-para-os-negocios-e-as-pessoas-naturais-sob-a-perspectiva-
dos- direitos-fundamentais-a-privacidade. Acesso em: 02 out. 2021.
DIAS, José de Aguiar. Da responsabilidade civil. 12. ed. Rio de Janeiro: Forense. 2011.
DINIZ, Maria Helena. Curso de direito civil brasileiro: responsabilidade civil. 35. ed. São
Paulo: Saraiva, 2021. v. 7.
DONEDA, Danilo. Panorama histórico da proteção de dados pessoais. In: DONEDA, Danilo;
SARLET, Ingo Wolfgang; MENDES, Laura Schertel; RODRIGUES JUNIOR, Otavio Luiz;
BIONI, Bruno Ricardo. Tratado de proteção de dados pessoais. 1. ed. Rio de Janeiro:
Forense, 2021.
DONEDA, Danilo. Princípios de proteção de dados pessoais. In: LUCCA, Newton de;
SIMÃO FILHO; Adalberto; LIMA, Cíntia Rosa Pereira de (coord.). Direito & internet III:
marco civil de internet. São Paulo: Quartier Latin, 2015. t. 1.
FACCHINI NETO, Eugênio. Da responsabilidade civil no novo código. Rev. TST, Brasília,
v. 76, n. 1, jan./mar., 2010. Disponível em:
http://www.dpd.ufv.br/wp- content/uploads/Bibiografia-DIR-313.pdf.
Acesso em: 8 ago. 2021.
FRAZÃO, Ana; TEPEDINO, Gustavo; OLIVA, Milena Donato. Lei geral de proteção de
dados pessoais e suas repercussões no direito brasileiro. 1. ed. São Paulo: Revista dos
Tribunais, 2019.
GODINHO, Adriano Marteleto; QUEIROGA NETO, Genésio Rodrigues de; TOLÊDO, Rita
de Cássia de Morais. A responsabilidade civil pela violação a dados pessoais. Revista
IBERC, v. 3, n. 1, 3 abr. 2020.
GODOY, Cláudio Luiz Bueno. A responsabilidade civil na era digital. In: CONGRESSO
INTERNACIONAL DE RESPONSABILIDADE CIVIL DO IBERC, 3., 2019. Anais [...] São
Paulo [S. l.]: 2019.
GONÇALVES, Carlos Roberto. Direito civil brasileiro: responsabilidade civil. 12. ed. São
Paulo: Saraiva, 2017. v. 4.
GONÇALVES, Luiz da Cunha. Tratado de direito civil. 2. ed. São Paulo: M. Limonad,
2012. v. 12, t. 2.
MALDONADO, Viviane Nóbrega; BLUM, Renato Opice. LGPD, lei geral de proteção de
dados comentada. 2. ed. São Paulo: Thomson Reuters Revista dos Tribunais, 2020.
MATOS, Ana Carla Harmatiuk; RUZYK, Carlos Eduardo Pianovski. Diálogos entre a lei
geral de proteção de dados e a lei de acesso à informação. In: TEPEDINO, Gustavo;
FRAZÃO, Ana; OLIVA, Milena Donato. Lei geral de proteção de dados pessoais e as suas
repercussões no direito brasileiro. 2. ed. São Paulo: Thomson Reuters Brasil, 2020.
MENDES, Laura Schertel; DONEDA, Danilo. Reflexões iniciais sobre a nova lei geral de
proteção de dados. Revista de Direito do Consumidor, São Paulo: Ed. RT, v. 120, n. 27, p.
469-483, nov./dez., 2018.
6
MONTEIRO, Renato Leite. Cambridge analytica e a nova era snowden na proteção de dados
pessoais. El País, 20 mar. 2018. Disponível em:
https://brasil.elpais.com/brasil/2018/03/20/tecnologia/1521582374_496225.html. Acesso em:
27 out. 2021.
PAMPLONA FILHO, Rodolfo; GAGLIANO, Pablo Stolze. Novo curso de direito civil:
responsabilidade civil. 15. ed. São Paulo: Saraiva, 2017. v. 3.
PAMPLONA FILHO, Rodolfo; GAGLIANO, Pablo Stolze. Novo curso de direito civil:
obrigações. 22. ed. São Paulo: Saraiva, 2021. v. 2.
PANEK, Lin Cristina. Lei geral de proteção de dados nº 13.709/2018: uma análise dos
principais aspectos e do conceito privacidade na sociedade informacional. Trabalho de
conclusão de curso (Graduação em Direito) - Universidade Federal do Paraná, Curitiba, 2019.
Disponível em: https://acervodigital.ufpr.br/bitstream/handle/1884/68114/TCC%20FINAL
%20-
%20lgpd.pdf?isAllowed=y&sequence=1. Acesso em: 04 nov. 2021.
PEREIRA, Caio Mário da Silva. Responsabilidade civil. 12. ed. Rio de Janeiro: Forense,
2018.
PESTANA, Marcio. Direito administrativo brasileiro. 4. ed. São Paulo: Atlas, 2014.
REALE, Miguel. Lições preliminares de direito. 27. ed. São Paulo: Saraiva, 2003.
RODRIGUES, Silva. Direito civil: parte geral. 28. ed. São Paulo: Saraiva, 2009.
SCHREIBER; Anderson. Direitos da personalidade. 3. ed. São Paulo: Grupo GEN, 2014. E-
book. Acesso restrito via Minha biblioteca.
TAMBOSI, Paulo Vitor Petris. Responsabilidade civil pelo tratamento de dados pessoais
conforme a lei geral de proteção de dados (LGPD): subjetiva ou objetiva? Trabalho
conclusão de curso (Graduação em Direito) Universidade Federal de Santa Catarina,
Florianópolis, 2021. Disponível em: https://repositorio.ufsc.br/handle/123456789/223444.
Acesso em: 29 ago. 2021.
7
TASSO, Fernando Antonio. A responsabilidade civil na lei geral de proteção de dados e sua
interface com o código civil e o código de defesa do consumidor. Cadernos Jurídicos, São
Paulo, v. 21, n. 53, p. 97-115, jan./mar., 2020. Disponível em:
https://www.tjsp.jus.br/download/EPM/Publicacoes/CadernosJuridicos/ii_1_interface_entre_a
_lgpd.pdf?d=637250344175953621. Acesso em: 31 out. 2021.
VENOSA, Silvio de Salvo. Direito civil: obrigações e responsabilidade civil. 21. ed. Rio de
Janeiro: Forense, 2021.
ZANON, João Carlos. Direito à proteção dos dados pessoais. São Paulo: Revista dos
Tribunais, 2013.