Giovana Raulino Cunha

UNIVERSIDADE DO SUL DE SANTA CATARINA
GIOVANA RAULINO CUNHA
LEI GERAL DE PROTEÇÃO DE DADOS E A RESPONSABILIDADE CIVIL DOS

AGENTES DE PROTEÇÃO DE DADOS
Florianópolis
2021

Trabalho de Conclusão de Curso apresentado

ao Curso de Graduação em Direito, da
Universidade do Sul de Santa Catarina, como
requisito parcial para obtenção do título de
Bacharel em Direito.
Orientador: Prof. Jeferson Puel, Me.
Florianópolis
2021

Este Trabalho de Conclusão de Curso foi

julgado adequado à obtenção do título de
Bacharel em Direito e aprovado em sua forma
final pelo Curso de Graduação em Direito, da
Universidade do Sul de Santa Catarina.
Florianópolis, 22 de novembro de 2021.
Professor e orientador Jeferson Puel, Me.

Universidade do Sul de Santa Catarina
Prof. Nome do Professor, titulação

Prof. Nome do Professor, titulação

TERMO DE ISENÇÃO DE

Declaro, para todos os fins de direito, que assumo total responsabilidade pelo
aporte ideológico e referencial conferido ao presente trabalho, isentando a Universidade do
Sul de Santa Catarina, a Coordenação do Curso de Direito, a Banca Examinadora e o
Orientador de todo e qualquer reflexo acerca deste Trabalho de Conclusão de Curso.
Estou ciente de que poderei responder administrativa, civil e criminalmente em
caso de plágio comprovado do trabalho monográfico.
Florianópolis, 22 de novembro de 2021.

AGRADECIMENT
Expresso especial agradecimento ao Professor Jeferson Puel, pelo exemplo de

dedicação à profissão e ao ofício de ensinar, pela disponibilidade observada na receptividade
aos alunos, pelo conhecimento compartilhado e pelos dias dedicados à orientação do presente
trabalho. Meus agradecimentos e minha admiração.
Agradeço aos meus familiares e amigos pelo apoio incondicional e pela
compreensão com as minhas ausências durante os últimos meses, na qual me dediquei
exclusivamente aos estudos para o Exame da Ordem e a elaboração do presente trabalho.
Ainda, meus profundos agradecimentos aos colegas de faculdade, com quem
dividi minhas expectativas e sonhos, experiências e aprendizados.
RESUM
O presente trabalho tem como objetivo principal verificar na legislação nacional a

responsabilidade civil e a proteção de dados, de forma a identificar os limites e a natureza
jurídica da responsabilidade civil dos agentes de proteção de dados pessoais no Brasil a partir
da Lei Geral de Proteção de Dados (Lei nº 13.709/2018). Utiliza-se o método de abordagem
de pensamento dedutivo, o método de procedimento monográfico e a técnica de pesquisa
bibliográfica. Dessa forma, identificar-se-á os conceitos fundamentais, princípios e outros
aspectos gerais da LGPD, assim como distinguir os agentes de proteção de dados pessoais e
identificar suas principais atribuições. Será demonstrada a responsabilidade civil dos agentes
de proteção de dados pessoais diante do ordenamento jurídico brasileiro. Para atender ao
objetivo do presente trabalho, procedeu-se a exploração das normas de proteção de dados
pessoais, além de fazer uso de doutrina que versa sobre responsabilidade civil e sobre a Lei
Geral de Proteção de Dados. Apesar da pouca doutrina e jurisprudência acerca da natureza da
responsabilidade civil no âmbito da proteção de dados pessoais, a responsabilidade civil
objetiva que prevê a obrigação de indenizar os danos sem a obrigatoriedade de comprovação
de culpa, torna-se mais plausível no ambiente da sociedade da informação. Verifica-se, como
resultado da presente pesquisa monográfica, que a responsabilidade civil dos agentes de
tratamento e proteção de dados pessoais é um desafio a ser enfrentado pelo Poder Judiciário
brasileiro, com a base jurisprudencial e doutrinária em processo de consolidação.
Palavras-chave: Lei Geral de Proteção de Dados (LGPD); responsabilidade civil dos agentes
de tratamento de dados pessoais; titular de dados; ressarcimento e dano.
LISTA DE
ANPD Autoridade Nacional de Proteção de Dados

CC Código Civil
CCPA California Consumer Privacy Act
CDC Código de Defesa do Consumidor
DPO Data Protection Officer
GDPR General Data Protection Regulation
IBGE Instituto Brasileiro de Geografia e Estatística
LGPD Lei Geral de Proteção de Dados
PEC Proposta de Emenda à Constituição
STF Supremo Tribunal Federal
STJ Superior Tribunal de Justiça
SUMÁRI
1 INTRODUÇÃO.............................................................................................................9
2 LEI GERAL DE PROTEÇÃO DE DADOS.............................................................12
2.1 CONCEITO...................................................................................................................12
2.2 FUNDAMENTOS.........................................................................................................15
2.2.1 Privacidade..................................................................................................................15
2.2.2 Liberdade.....................................................................................................................17
2.2.3 Direito ao livre desenvolvimento da personalidade da pessoa natural..................18
2.3 ASPECTOS RELEVANTES DA LEI GERAL DE PROTEÇÃO DE DADOS..........20
2.3.2 Princípios.....................................................................................................................20
2.3.2 Definições de dados pessoais e outras terminologias...............................................23
2.3.3 Requisitos do tratamento e coleta de dados pessoais...............................................25
3 RESPONSABILIDADE CIVIL.................................................................................28
3.1 HISTÓRICO DA RESPONSABILIDADE CIVIL.......................................................28
3.2 PRESSUPOSTOS LEGAIS..........................................................................................30
3.3 MODALIDADES.........................................................................................................33
3.3.1 Civil e Penal.................................................................................................................33
3.3.2 Subjetiva e Objetiva....................................................................................................34
3.3.3 Contratual e Extracontratual.....................................................................................36
3.4 Excludentes de Responsabilidade.................................................................................37
4 A RESPONSABILIDADE CIVIL DOS AGENTES DE PROTEÇÃO DE DADOS
41
4.1 AGENTES DE PROTEÇÃO DE DADOS...................................................................41
4.1.1 Conceito........................................................................................................................42
4.1.2 Atribuições...................................................................................................................44
4.2 ACESSO A INFORMAÇÃO E GESTÃO...................................................................46
4.3 A RESPONSABILIDADE CIVIL DOS AGENTES DE PROTEÇÃO DE DADOS . 48
4.4 DECISOES JUDICIAIS A RESPEITO DO TEMA.....................................................55
4.4.1 Sentença prolatada nos autos do processo nº 1080233-94.2019.8.26.0100, oriundo
da 13ª Vara Cível do Tribunal de Justiça do Estado de São Paulo........................56
4.4.2 Apelação Cível nº 1024481-61.2020.8.26.0405, oriunda do Tribunal de Justiça de
São Paulo......................................................................................................................57
SUMÁRI
São Paulo......................................................................................................................58
5 CONCLUSÃO.............................................................................................................61
REFERÊNCIAS......................................................................................................................63
9
1 INTRODUÇÃO
A tecnologia na última década desempenha um papel relevante na sociedade. Com

influência em legislações semelhantes adotadas nos Estados Unidos da América (EUA) com a
California Consumer Privacy Act (CCPA), e em países da União Europeia, denominada de
General Data Protection Regulation (GDPR), o legislador brasileiro preocupou-se em
regulamentar efetivamente o tema de proteção de dados pessoais no país, com a edição da Lei
nº 13.709/2018.
Anteriormente a essa normativa, existiam outras leis que regulamentavam de forma
não específica e eficiente sobre essa temática como, por exemplo, o Código de Defesa do
Consumidor, o Marco Civil da Internet (Lei nº 12.965/2014), a Lei de Acesso à Informação
(Lei nº 12.527/2011) e a Lei do Cadastro Positivo (Lei nº 12.414/2011). Com o crescimento
da utilização de dados pessoais tanto pelo setor privado como pelo público, surgiu a
necessidade de legislar visando à tutela da proteção de dados pessoais.
Com efeito, o avanço tecnológico da informática e dos meios de comunicação a
contribuiu para necessidade de se tutelar de forma mais particular referidos direitos
fundamentais, haja vista a crescente utilização de meios digitais e, via de consequência, o
aumento no uso de processamento de dados. Desse modo, a evolução da capacidade
computacional de processamento e os sistemas característicos do mundo contemporâneo (Big
Data, Big Analytics e Inteligência Artificial) não só viabilizaram, como também acelerou a
realização de atividades de coleta, armazenamento e compartilhamento de dados em escala
incomensurável.
Com a utilização dos dados para o desenvolvimento da eficiência econômica, passando
a produzir e divulgar produtos de forma mais efetiva, os titulares dos dados, sendo esses
muitas vezes consumidores dos bens, se tornaram cada vez mais vulneráveis. As informações
passaram a circular entre os agentes econômicos, e a sua intimidade e capacidade de escolha
foi sendo suplantada pelos interesses das grandes corporações.
Nesse âmbito, devido às lacunas legislativas nessa seara, diversos agentes econômicos
passaram a explorar o tratamento dos dados pessoais com desideratos exclusivamente
econômicos, desconsiderando-se por completo direitos fundamentais e de personalidade
envolvidos em suas atividades. Esse contexto proporcionou a discussão sobre a necessidade
de regulamentação da exploração econômica dos dados pessoais, a partir das novas
tecnologias para o desenvolvimento econômico. Determinou-se a necessidade de estipular
limites para o
1
exercício de tal atividade, de modo a garantir direitos fundamentais ao titular dos dados, mas
não inviabilizando a exploração econômica da coleta e tratamento de dados.
Nesse contexto, a problemática de pesquisa foi elaborada da seguinte forma: qual os
limites e a natureza da responsabilidade civil dos agentes de proteção de dados pessoais?
O objetivo geral é verificar na legislação nacional acerca da responsabilidade civil e
proteção de dados, os limites e especificidades para reparação dos dados pelos agentes de
proteção, seguido dos objetivos específicos de identificar os conceitos fundamentais,
princípios e outros aspectos gerais da Lei Geral de Proteção de Dados, de forma a distinguir
os agentes de proteção de dados pessoais e identificar suas atribuições para demonstrar a
responsabilidade civil dos agentes de proteção de dados pessoais diante do ordenamento
jurídico brasileiro.
Para o desenvolvimento desta pesquisa monográfica, o presente trabalho utiliza-se do
método de abordagem de pensamento dedutivo, o qual parte dos aspectos gerais especificados
na Lei Geral de Proteção de Dados e da premissa geral da responsabilidade civil, e de
natureza qualitativa, por contextualizar os dados de caráter subjetivo, sem tratar de questões
estatísticas. O método de procedimento é o monográfico. A técnica de pesquisa é
bibliográfica, com base na doutrina, na jurisprudência e na legislação pertinentes.
A presente monografia está desenvolvida em cinco capítulos, iniciando pela
introdução e finalizando pela conclusão.
No segundo capítulo será abordado os conceitos, fundamentos, bem como os
princípios que a Lei Geral de Proteção de Dados trata ao longo de seus dispositivos, além de
definir as partes dessa relação jurídica e os principais aspectos da norma.
Ao capítulo três caberá apontar os elementos e espécies existentes de responsabilidade,
visto que se necessita de embasamento sobre a matéria para debater a respeito da
responsabilidade civil na esfera da proteção de dados pessoais. Será abordado o histórico da
responsabilidade civil, seus pressupostos legais, modalidades e excludentes a fim de
compreender a responsabilidade civil no âmbito de proteção de dados pessoais.
O capítulo quatro objetiva indicar o conceito e as atribuições dos agentes de proteção
de dados estipulados na LGPD, de forma a compreender a modalidade de responsabilidade
civil a ser aplicada a estes quanto a sua responsabilidade com relação aos titulares de dados.
Será demonstrado o posicionamento doutrinário e jurisprudencial acerca do tratamento de
dados pessoais e a responsabilidade civil respectiva de seus agentes de proteção.
A importância dessa temática diz respeito, também, aos episódios de vazamento de
informações de usuários por agentes de tratamento pessoais manifestam que um dos aspectos
mais importantes a ser regulamentado pela LGPD não será apenas o regramento a respeito da
1
coleta e do tratamento dos dados, mas, principalmente, a responsabilização daqueles que não
garantirem a integridade do direito fundamental dos titulares dos dados pessoais.
Sendo assim, é de suma importância compreender a natureza jurídica e limites da
responsabilidade civil no âmbito da proteção de dados pessoais, correlacionando as normas
gerais sobre responsabilidade civil e a norma específica trazida pela LGPD a respeito do tema.
Esse cotejamento se faz necessário para estabelecer os limites da responsabilidade que se abre
com o regramento da proteção de dados, em que pese a escassez doutrinária e jurisprudencial
sobre o tema.
1
2 LEI GERAL DE PROTEÇÃO DE DADOS
A proteção de dados pessoais, assim como a privacidade, são prerrogativas garantidas

na Constituição da República Federativa do Brasil. A proteção dos dados pessoais, públicos
ou privados, sensíveis ou não, está relacionada à tutela da intimidade e da vida privada dos
indivíduos. (RAMINELLI; RODEGHERI, 2016).
A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) é um meio de efetivação dos
direitos de personalidade (COELHOS, 2019). Criada em 14 de agosto de 2018, alterada pela
Medida Provisória nº 869/2018 e pela Lei nº 13.853/2019, entrou em vigor em 18 de setembro
de 2020, com a fiscalização pela Autoridade Nacional de Proteção de Dados iniciada em 1º de
agosto de 2021. É composta por 65 artigos, distribuídos em 10 capítulos.
Seu estudo é de suma importância tendo em vista que, dentre os objetivos e
fundamentos, está a tutela de interesses públicos e transindividuais. Através de princípios e
regras, regulamenta o tratamento de dados no território nacional e internacional, no âmbito
público ou privado. Garante um efetivo controle dos titulares sobre suas informações
pessoais, bem como estabelece sanções acerca dessa temática. (TAMBOSI, 2021).
Este capítulo apresenta os conceitos, fundamentos, bem como os princípios que a Lei
Geral de Proteção de Dados trata ao longo de seus dispositivos, além de definir as partes dessa
relação jurídica e os principais aspectos da norma.
2.1 CONCEITO
Em razão da evolução tecnológica da sociedade, as novas tecnologias de transmissão,

coleta, armazenamento e processamento permitiram que os dados pessoais fossem explorados
para o desenvolvimento da eficiência econômica (VAINZOF, 2020).
Esse cenário revelou um aumento de produtividade e eficiência de empresas e
governos e, por outro lado, também fez crescer a preocupação com a proteção da privacidade
de indivíduos, sobretudo diante do fluxo transfronteiriço de dados. Por isso, surgiram leis de
proteção da privacidade do indivíduo relativamente ao tratamento de seus dados pessoais,
alinhadas com o sentimento de equilíbrio entre a proteção das liberdades individuais e a
preservação de um fluxo aberto de dados pessoais, capazes de sustentar o livre comércio
internacional (MALDONADO; BLUM, 2019).
A Lei Geral de Proteção de Dados (LGPD) surgiu como uma resposta aos fenômenos
emergentes na Sociedade de Informação. Esta é caracterizada pela existência de redes de
1
expansão do conhecimento e a facilidade de acesso a estes, oportunizado pelo salto

tecnológico da sociedade e crescimento do acesso à Internet. Em decorrência destes avanços,
a informação torna-se cada vez mais democrática, facilmente acessada e com alta circulação.
As relações sociais, políticas, jurídicas e econômicas, por sua vez, se moldam e se
estabelecem a partir do conhecimento e da informação (CASTELLS, 2006).
Diante das inovações tecnológicas e da disseminação desenfreada das informações, é
inexequível inovar a legislação na velocidade dessas mudanças, deixando muitas vezes
lacunas e ignorando a alteração no tecido social e econômico causado pela circulação de
informações. Com o crescimento da utilização e da comercialização de dados pessoais, surgiu
a necessidade de legislar visando à tutela da proteção de dados pessoais (VAINZOF, 2020).
A LGPD expõe disposições preliminares a respeito da forma de subsunção de suas
normas ao tratamento de dados pessoais, estabelecendo os parâmetros norteadores de
incidência de seus dispositivos. Ademais, dispõe a respeito do relacionamento das empresas e
órgãos governamentais, em relação ao tratamento que é realizado com os dados pessoais das
pessoas naturais. A LGPD traz segurança jurídica nas relações com foco econômico e social.
Economicamente, possui o objetivo de fomentar o desenvolvimento econômico e tecnológico,
ao passo que, no aspecto social, possui a função de proteção de direitos e de liberdades
fundamentais (BIONI, 2020).
O artigo 1º da Lei nº 13.709/2018 estabelece:
Art. 1º. Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios
digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com
o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o
livre desenvolvimento da personalidade da pessoa natural. (BRASIL, 2018).
A LGPD tem como objetivo fundamental a proteção dos direitos fundamentais de

liberdade, de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Com
base nesse dispositivo, percebe-se a especial preocupação do legislador em proteger com
maior concretude não só a prerrogativa fundamental à privacidade e à intimidade dos titulares
de dados pessoais, consagrada expressamente no artigo 5º, X da Constituição da República
Federativa do Brasil, mas também as variadas situações existenciais, como as que envolvem o
direito à liberdade de se autodeterminar, relevantes para o livre desenvolvimento da
personalidade (SCALETSCKY, 2020).
Ainda que os regulamentos sobre a proteção de dados pessoais resultem em potentes
instrumentos de defesa e proteção de direitos e liberdades fundamentais dos seus titulares,
também fomentam os avanços tecnológicos, de forma a estimular o desenvolvimento de novas
1
tecnologias para a proteção de dados. Essa evolução na tecnologia e na capacidade

computacional de processamento não só viabilizam, como também caracterizam a realização
de atividades de coleta, armazenamento e compartilhamento de dados em escala relevante.
Neste âmbito, devido às lacunas legislativas, os agentes exploraram o tratamento de dados
pessoais com fins exclusivamente econômicos, desconsiderando-se os direitos fundamentais e
de personalidade atrelados a essa temática (VAINZOF, 2020).
Com o viés de proteger esses direitos fundamentais, tem-se como objeto principal da
lei a proteção dos dados pessoais de pessoas naturais, ou seja, pessoas físicas. A Lei Geral de
Proteção da Dados não tem como escopo os dados das pessoas jurídicas, mas sim aqueles que
estas têm das pessoas físicas. Seus dispositivos não atingem diretamente os dados de pessoa
jurídica, ou seus documentos e informações que não sejam relacionadas a pessoa natural
identificada ou identificável (KOHLS, 2021).
Destaca-se que a Lei Geral de Proteção de Dados é aplicável a operação de tratamento
de dados pessoais, realizado por pessoa natural ou jurídica de direito público ou privado,
independente do meio, localizados no território nacional ou que o objeto de tratamento foi
coletado no território nacional, conforme disposto no art. 3º da referida lei. No art. 4º do
mesmo Diploma Legal tem-se as hipóteses de tratamento de dados que não estão sujeitos à
aplicabilidade da LGPD, sendo o tratamento de dados pessoais realizado por pessoa natural
para fins exclusivamente particulares e não econômicos. Refere-se, por exemplo, aos dados
coletados eventualmente para uma pesquisa; o tratamento de dados pessoais para fins
exclusivamente jornalísticos e artísticos, uma vez que há a liberdade de expressão e a
liberdade de imprensa, ou ainda para fins acadêmicos (BRASIL, 2018).
Além do mais, exclui-se também da aplicabilidade da LGPD o tratamento de dados
coletados para fins de segurança pública, defesa nacional, segurança do Estado e atividades de
investigação e repressão a infrações penais. Nesse sentido, a legislação específica, que deverá
prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público,
observados o devido processo legal, os princípios gerais de proteção e os direitos do titular
previstos na LGPD (KOHLS, 2021).
Nesse panorama, ao conceituar a necessidade e aplicabilidade da LGPD,
compreendendo, ainda, a sua relação do fluxo apropriado de dados pessoais com a garantia de
direitos fundamentais de liberdade, privacidade e livre desenvolvimento da personalidade, a
seguir será tratado a respeito dessas prerrogativas e de seus respectivos contornos, de forma a
compreender os fundamentos, princípios, as partes e os requisitos presentes nessa relação
jurídica.
1
2.2 FUNDAMENTOS
A transmissão, coleta, armazenamento e processamento de dados pessoais coloca em

risco o direito das pessoas naturais à privacidade, liberdade e personalidade, uma vez que há
possibilidade de exposição e utilização indevida ou abusiva destes. A Lei Geral de Proteção
de Dados tem como objetivo fundamental regular o tratamento de dados pessoais de modo a
garantir os direitos básicos e fundamentais de liberdade, privacidade e o livre
desenvolvimento da personalidade, resguardados na Constituição da República Federativa do
Brasil (MALDONADO; BLUM, 2019).
O presente tópico aborda esses direitos fundamentais como base à proteção de dados
pessoais resguardados na LGPD.
2.2.1 Privacidade
O direito à privacidade é constitucionalmente assegurado (art. 5º, X da CRFB) em

decorrência da universalidade dos direitos fundamentais, a qual garante ao indivíduo, sob a
perspectiva informacional, o controle de suas próprias informações pessoais. O direito à
privacidade pode ser compreendido como a prerrogativa do indivíduo, de não ter suas
informações pessoais e características particulares expostas a terceiros ou ao público em geral
(MENDES, 2020). À luz da sistemática constitucional, garante-se não apenas o direito
material à intimidade, à vida privada e à honra, colorados do direito à privacidade, mas
também à devida proteção em decorrência de eventuais violações morais ou materiais.
Observa-se a vulnerabilidade da privacidade dos indivíduos, em razão das mudanças
sociais e o desenvolvimento tecnológico, ocasionando a ausência de proteção dos direitos
fundamentais diante das novas práticas de comercialização e tratamento de dados pessoais. A
tutela do direito fundamental à privacidade está no foco da proteção de dados pessoais, com a
promoção de condições propícias ao livre desenvolvimento da personalidade da pessoa
humana (MENDES, 2020). É uma garantia de não violação ou invasão de seus aspectos
privativos, sendo inviolável a vida privada.
Nesse viés, percebe-se que o direito à privacidade protege os dados pessoais
pertinentes ao seu detentor, o qual possui discricionariedade em mantê-los sob seu domínio
ou, se preferir, expô-los, podendo estabelecer limites e condições, para o seu uso e
tratamento. Faculta-se a
1
possibilidade de cada indivíduo controlar, de certa forma, o uso das informações que lhe
dizem respeito (DONEDA, 2020).
Nessa linha, na Sociedade de Informação, a privacidade recebeu novas feições para
contextualizar elementos referentes a necessidades diversas como, por exemplo, a busca da
igualdade, da liberdade de escolha e do anseio em não ser discriminado. Desta maneira, a
privacidade não é apenas um resguardo em face de ingerências externas, mas também como
elemento indutor da autonomia, da cidadania, da própria atividade política em sentido amplo e
dos direitos de liberdade de uma forma geral (DONEDA, 2020).
Como se percebe, a tutela da privacidade, em sua nova acepção, não se resume a
obstar a intromissão alheia na vida íntima, sendo previstos também deveres de caráter
positivo, como o dever de solicitar autorização e o consentimento do titular ao tratamento de
seus dados pessoais para uma finalidade determinada (SCHREIBER, 2020).
Nesse aspecto de proteção de dados pessoais, a privacidade consiste no direito de o
titular dos dados pessoais exercer o controle de determinar livremente a respeito do uso e da
divulgação de seus dados. No entanto, embora a relevância do direito à privacidade, a
proteção de dados pessoais está contida no âmbito de incidência deste, uma vez que seus
efeitos se encontram desprotegidos pelo Texto Constitucional de forma expressa, carecendo de
uma nova espécie autônoma de direito fundamental. Nesse sentido, o colendo Supremo
Tribunal Federal (STF)1 ao julgar demanda judicial relaciona ao compartilhamento de dados
de usuário de serviço de telefônica com o Instituto Brasileiro de Geografia e Estatística
(IBGE), para a produção de estatística oficial durante a pandemia do COVID-19, consagrou
de forma sublime, no plano jurisprudencial, a existência do direito fundamental à proteção de
dados pessoais (MENDES, 2020).
Dessa forma, a proteção de dados pessoais insere-se como categoria autônoma de
direito à privacidade, sendo relevante para a Lei Geral de Proteção de Dados que os titulares
dos dados tenhamos clareza sobre a forma como seus dados serão tratados (SCALETSCKY,
2020). A LGPD, ao normatizar essas questões, estabelece uma relação de confiança entre os
diversos sujeitos envolvidos no tratamento de dados, garantindo de certa forma o controle do
indivíduo sobre a utilização e tratamento de seus dados.
Ao compreender a abrangência da definição e do conceito do direito à privacidade, na
qual reflete à proteção de dados pessoais, faz-se necessária a compreensão de que a
privacidade apresenta correlação com o direito fundamental à liberdade e ao livre
desenvolvimento da
1
ADIs nº 6387, 6388, 6389 6393, 6390.
1
personalidade. Assim, convém apresentar algumas considerações a respeito desses direitos

fundamentais no viés da proteção de dados pessoais.
2.2.2 Liberdade
A Constituição da República Federativa do Brasil prevê que é livre a manifestação do

pensamento, sendo vedado o anonimato, assim como que é livre a expressão da atividade
intelectual, artística e de comunicação, independentemente de censura ou licença (BRASIL,
1988). Este direito fundamental consiste em um princípio geral de integração e interpretação
das liberdades em espécies reconhecidas. Porém, o direito geral de liberdade também está
aberto à integração com outras liberdades previstas nas declarações de direitos no plano
internacional, além de guardar sintonia com concepção de liberdades implícitas. A exemplo
disso, é possível relacionar a livre disposição de utilização de informática, o livre e igual
acesso à rede de comunicação e a livre disposição dos dados pessoais. (SARLET, 2017).
A liberdade, principalmente a de expressão, é relevante e integra o desenvolvimento
humano, de forma que a manutenção dessa prerrogativa garante a autodeterminação dos
indivíduos. O Estado deve se manter neutro quanto a liberdade de pensamento dos indivíduos,
para que possa ocorrer manifestação de forma livre. Sem comunicação livre não se pode falar
em sociedade livre, muito menos em soberania popular. A liberdade é um aspecto social, que
torna possível um espaço público de ideias, com ampla liberdade de posições contribuindo
para a formação de uma opinião pública independente, consciente e pluralista
(MALDONADO; BLUM, 2019).
No aspecto da proteção de dados pessoais, é possível reconhecer a relevante função
que o direito geral de liberdade exerce como cláusula de abertura material, visto que a
prerrogativa fundamental à proteção de dados pessoais como categoria autônoma e seus
consectários não estão previstos expressamente na Constituição (SCALETSCKY, 2020).
Contudo, é possível adequar o sistema jurídico existente aos parâmetros contemporâneos da
realidade tecnológica e de tratamento de dados pessoais.
A liberdade de expressão, de informação, de comunicação e de opinião estão
consignados, juntamente com a privacidade, nos ordenamentos jurídicos internacionais. Estão
ligados aos direitos humanos, como forma de garantir que o tratamento de dados pessoais seja
considerado ilícito caso viole essas garantias. Com o surgimento da Sociedade de Informação,
legislar nesse aspecto se tornou mais complexo, pois não só as manifestações puras de
pensamento precisam estar protegidas como também os interesses pessoais e características
do
1
ser humano realizadas por algoritmos, mediante potentes processadores de dados

A Lei Geral de Proteção de dados, ao citar expressamente como fundamento a
liberdade de expressão, demonstra a intenção de garantir a conciliação do almejado equilíbrio
de preceitos legais. É preciso assegurar a máxima expansão àquilo que tradicional e
sinteticamente é referido com os termos liberdade e democracia. Nesse sentido, a liberdade na
Sociedade de Informação foi emancipada pelos avanços tecnológicos e pelas novas
ferramentas de comunicação, porém, o exercício desta tornou-se mais restrito. Deste modo,
como reconhecimento dos direitos dos titulares de dados, evita-se que estes sejam utilizados
arbitrariamente pelo Estado e entes privados de modo a transformar um indivíduo em objeto
sob vigilância constante (SCALETSCKY, 2020).
Dessa forma, a LGPD possibilita evitar esse cenário de monitoramento abusivo sobre a
pessoa natural e seus dados, garantindo-o um controle sobre suas próprias informações como
forma expressiva de consagrar a liberdade. Assim, a LGPD protege, mediante o
reconhecimento expresso do direito à autodeterminação informativa, um “espaço de liberdade
no qual a escolha do indivíduo sobre a publicização e o tratamento de seus dados pessoais
deve prevalecer, como integrante do desenvolvimento de sua personalidade (MATOS;
RUZYK, 2020).
Com essas considerações, a seguir será contextualizado o direito ao livre
desenvolvimento da personalidade da pessoa natural.
2.2.3 Direito ao livre desenvolvimento da personalidade da pessoa natural
A proteção da pessoa humana deve ser entendida como valor máximo do ordenamento
jurídico, conforme fundamento estampado no art. 1º, III da Constituição da República
Federativa do Brasil. Não considerar a evolução tecnológica, que influencia na experiência
política, científica e cultural de uma sociedade, significa minimizar o direito ao seu próprio
tempo, tornando-o automaticamente obsoleto, insuficiente e incapaz de garantir os preceitos
da pessoa natural, tendo em vista a velocidade característica da revolução tecnológica
Embora não exista uma previsão constitucional expressa do direito fundamental ao
livre desenvolvimento da personalidade, é entendimento doutrinário e jurisprudencial de que
este decorre do princípio da dignidade da pessoa humana, sendo uma prerrogativa implícita
geral derivado também do direito à personalidade (SARLET, 2017).
1
A Convenção 108 do Conselho da Europa para a Proteção das Pessoas Singulares, no

que diz respeito ao Tratamento Automatizado de Dados Pessoais, de 28 de janeiro de 1981
(primeiro instrumento internacional juridicamente vinculativo adotado no domínio da
proteção de dados) foi emendada em 2018 para incluir a proteção de direitos fundamentais dos
indivíduos no processamento de dados pessoais. Considera necessidade de garantir a
dignidade humana e a proteção do ser humano, dada a diversificação, intensificação e
globalização do tratamento de dados pessoais (MALDONADO; BLUM, 2019). A referida
Convenção é o principal marco de proteção de dados pessoais relacionada aos dos direitos
fundamentais, sendo que a proteção de dados pessoais está diretamente vinculada à proteção
dos direitos humanos e das liberdades fundamentais, entendendo-a como pressuposto do
estado democrático (DONEDA, 2015).
Dessa forma, o direito ao livre desenvolvimento da personalidade prevê uma proteção
ampla em relação a violação dos bens da personalidade da pessoa natural. Abarca a
manifestação essencial à personalidade, de modo especial o direito à identidade pessoal e
moral que, por sua vez, inclui o direito à identidade genética do ser humano, ao nome, ao
conhecimento da paternidade e o direito à identidade (e autodeterminação) sexual. Embora
presentes zonas de confluência com os direitos especiais de personalidade, o direito geral de
personalidade, é um direito autônomo e indispensável à proteção integral (SARLET, 2017).
Os direitos fundamentais são instrumentos à dignidade da pessoa humana. Embora os
dados pessoais representem um novo produto a ser comercializado pelos agentes econômicos,
a personalidade erige-se como valor máximo do ordenamento, modelador da autonomia
privada e capaz de submeter toda a atividade econômica a novos critérios de validade
(SCALETSCKY, 2020). Assim, os dados pessoais, considerados como uma extensão da
personalidade humana, devem ser protegidos pelo ordenamento jurídico, a fim de que se possa
evitar a sua utilização irrestrita e desenfreada.
Os direitos especiais da personalidade regulados pelo Código Civil são expressões da
cláusula geral de tutela da pessoa humana, de forma dinâmica, para minimizar o risco de
deixar de atingir situações oriundas da evolução tecnológica, com o foco no livre
desenvolvimento da pessoa. A proteção de dados pessoais seria uma nova espécie de direitos
de personalidade, assegurando a pessoa a dignidade, a paridade, a não discriminação e a
liberdade. Quando os cidadãos passam a ser cada vez mais avaliados e classificados apenas a
partir de informações a seu respeito, a proteção e o cuidado com estas informações deixa de
ser um aspecto que somente diga respeito às esferas do sigilo ou da privacidade, passando a
figurar um componente essencial para determinar o grau de liberdade de autodeterminação
individual de cada pessoa,
2
com o objetivo de equilibrar os direitos de proteção, de defesa e de participação do indivíduo

nos processos comunicativos (MALDONADO; BLUM, 2019).
Desse modo, os dados pessoais estão contidos dentro das mais variada possibilidades
de representação da personalidade da pessoa. Estes, mesmo quando tratados, podem
representar a identidade de determinado indivíduo, de modo que a proteção de dados pessoais
tem um papel importante para que o individuo se realize e se relacione na sociedade. A
LGPD, ao utilizar como fundamento da proteção dos dados pessoais o livre desenvolvimento
da personalidade, à privacidade e a liberdade da pessoa natural, demonstra o objetivo em
proteger a pessoa natural titular dos dados, garantindo que os seus direitos fundamentais e a
sua dignidade sejam respeitados ao decorrer do processo de coleta e tratamento de seus dados
(SCALETSCKY, 2020).
Assim, a Lei estabelece procedimentos, requisitos a serem seguidos para uma coleta e
tratamento de dados pessoais em conformidade com a Lei, além de estabelecer limites de
aplicação e vedações, aspectos esses que serão tratados no tópico a seguir.
2.3 ASPECTOS RELEVANTES DA LEI GERAL DE PROTEÇÃO DE DADOS
Para que o objetivo fundamental da Lei Geral de Proteção de Dados, de garantir os

direitos básicos e fundamentais de liberdade, privacidade e o livre desenvolvimento da
personalidade da pessoa natural durante o tratamento de dados seja alcançado, é oportuno
dispor dos princípios e requisitos basilares a serem observados na coleta e processamento de
dados. (PESTANA, 2020).
O presente tópico versa sobre os princípios relevantes para a compreensão e aplicação
da LGPD, bem como apresenta as definições dos termos desta Lei e os requisitos para a
realização do tratamento de dados pessoais.
2.3.2 Princípios
Os princípios jurídicos são enunciações normativas de valor genérico, que

condicionam e orientam a compreensão do ordenamento jurídico ou mesmo a sua a aplicação
(REALE, 2003). A Lei nº 13.709/2018, em seu artigo 6º, leciona que as atividades de
tratamento de dados sejam presididas pela boa-fé (neste caso objetiva, pois trata-se de
relações jurídicas em que interessam as repercussões de determinadas condutas,
principalmente em relação àquelas de
2
caráter obrigacional), de forma a relacionar posteriormente em seus incisos, os princípios

jurídicos relevantes para o objeto disciplinado na Lei (BRASIL, 2018).
O amplo e novo cenário atingido pela LGPD não poderia ser contemplado pelo
normativo em sua totalidade, de maneira taxativa, sendo necessário utilizar os princípios
jurídicos especificados para adotá-los, em conjunto com outros consagrados princípios da
ordem jurídica, para afastar dúvidas e conflitos que as pessoas naturais, jurídicas, órgãos e
entidades poderão ter ao aplicar, em concreto, a LGPD em situações envolvendo a coleta e
tratamento de dados (PESTANA, 2020).
Os três princípios dispostos no art. 6º, da LGPD (finalidade, adequação e necessidade)
se conectam, formando, juntamente com o da transparência (art. 6º, IV da LGPD), um aspecto
relevante dessa norma jurídica, na medida em que determinantes para o respeito a proteção
dos direitos fundamentais de liberdade, de privacidade e do livre desenvolvimento da
personalidade da pessoa natural, por meio da tutela dos dados pessoais (MALDONADO;
BLUM, 2019).
O princípio da finalidade (art. 6º, I da LGPD) possui relevância prática, visto que, com
base nele, fundamenta-se a restrição de transferência de dados pessoais a terceiros. Ademais, é
possível a estipulação de um critério para valorar a razoabilidade na utilização de
determinados dados, para uma certa finalidade (fora da qual haveria abusividade) (DONEDA,
2020).
No intuito de garantir a tutela dos direitos do titular de dados pessoais, o princípio da
adequação (art. 6º, II da LGPD) estabelece que os dados pessoais devem ser compatíveis com
a finalidade informada pelo agente de proteção de dados, e de acordo com o contexto do
tratamento. Refere-se ao anexo de pertinência lógica de conformidade que se estabelece entre
o tratamento, a finalidade objetiva e a comunicação transmitida ao titular (PINHEIRO, 2020).
O princípio da necessidade (art. 6º, III da LGPD), por sua vez, consubstancia-se na
limitação do tratamento de dados pessoais ao mínimo necessário para a realização da
finalidade objetiva, com abrangência dos dados pertinentes e proporcionais. A regra geral
trazida pela LGPD é não se realizar o tratamento de dados. A exceção é a de realizá-la, se
e quando o atingimento de determinada finalidade se mostrar relevante para que o
tratamento seja realizado. Admite a realização do tratamento de dados, nos limites do que se
mostrar imprescindível e necessário para que o objetivo seja alcançado, previamente
delimitado e
aprovado pelo titular dos dados correspondentes (PESTANA, 2020).
Previsto no IV do mesmo dispositivo legal, o princípio do livre acesso, um dos
cardeais da LGPD, confere aos titulares dos dados a garantia de consulta facilitada e gratuita
sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados
2
pessoais, especialmente após terem sido tratados (BRASIL, 2018). Ainda, garante que antes
da realização
2
do tratamento, seja cientificado o respectivo titular, de forma gratuita, através do qual possa
acessar os dados tratados. No entanto, essa garantia somente estará materializada, nas
hipóteses dessas condições e respectivas concordâncias sejam satisfeitas e expressamente
colhidas dos respectivos titulares, na forma e no tempo adequados (DONEDA 2020).
A qualidade dos dados (art. 6º, V da LGPD) é importante a medida em que, com base
nas informações coletadas, uma serie de decisões serão tomadas a respeito do titular dos
dados. Para isso o controlador deve tomar medidas para garantir que o dado reflita da melhor
maneira possível a realidade. Este princípio, dessa maneira, garante aos titulares a exatidão,
clareza, relevância e atualização dos dados, de acordo com a necessidade e para o
cumprimento da finalidade de seu tratamento. (PESTANA, 2020).
O princípio da transparência (art. 6º, VI da LGPD) visa garantir que aos titulares sejam
prestadas informações claras, precisas e facilmente acessíveis sobre a realização do tratamento
de seus dados, os respectivos agentes de tratamento e proteção, resguardados os segredos
industriais e comerciais. Esses limites devem ser observados, ao se utilizarem da transparência
relativa aos tratamentos realizados com dados de pessoais naturais. Não há como tutelar
direitos fundamentais como privacidade e o livre desenvolvimento da personalidade, por meio
do tratamento ético, responsável e seguro dos dados pessoais, sem a tutela da referida
transparência. Este princípio é necessário para garantir a confiança nos procedimentos,
permitindo a compreensão dos titulares que, se necessário, poderão desafiá0los e exercer seus
direitos (MALDONADO; BLUM, 2019).
Segundo o princípio da não discriminação (art. 6º, IX), é vedada a utilização de dados
pessoais com fins discriminatórios considerados ilícitos ou abusivos, sendo que esses dois
aspectos são limitadores para caracterizar certas atividades como discriminatórias. Respectivo
abuso se refere ao manuseio excessivo ou imoderado dos dados das pessoas naturais, com isso
transbordando, inclusive, o nexo lógico e jurídico estabelecido pelo trinômio dado-tratamento-
finalidade, afrontando a orientação introduzida pela LGPD (PINHEIRO, 2020).
O princípio da prevenção (art. 6º, VIII da LGPD) prevê que no processo de tratamento,
sejam adotadas as medidas necessárias, para prevenir a ocorrência de danos em virtude do
tratamento de dados pessoais. Nesse aspecto, a Lei prevê que os agentes poderão formular
regras de boas práticas e de governança que estabeleçam as condições de organização, o
regime de funcionamento e os procedimentos, incluindo reclamações e petições de titulares,
as normas de segurança, as obrigações especificas para os diversos envolvidos no tratamento,
mecanismos internos de supervisão e de mitigação de riscos e outros pontos relacionados a
segurança e prevenção no tratamento de dados pessoais (BRUNO, 2020).
2
Desse modo, a violação de dados pessoas é uma das situações que colocam em
elevado risco os direitos dos titulares, de forma permanente. Acessos e coletas não
autorizados e ocorrências acidentais ou propositais acarretam na destruição, perda, alteração,
comunicação ou difusão de dados pessoais. Diante dessa exposição dos dados e do perigo de
sua utilização de forma indevida, o princípio da segurança (art. 6º, VII da LGPD) dispõe que
os agentes de tratamento devem utilizar medidas técnicas e administrativas, aptas a proteger os
dados pessoais de eventuais violações, dolosas ou acidentais. A ausência de segurança, além
da exposição indevida dos dados pessoais e violação do direito dos titulares desses, degrada a
reputação do controlador e do operador perante os quais os dados foram confiados e falharam
em seu dever de proteção (MALDONADO; BLUM, 2019).
Os controladores e operadores, agentes de proteção de dados, são responsáveis pelo
fiel cumprimento das exigências legais para garantir todos os objetivos, fundamentos e demais
princípios estabelecidos na Lei Geral de Proteção de Dados. Ao prever, no art. 6º, inciso X a
responsabilização e prestação de contas como princípio, a LGPD demonstra a intenção de
alertar os agentes que deverão, durante todo o ciclo de vida do tratamento de dados sob sua
responsabilidade, analisar a conformidade legal e implementar os procedimentos de proteção
dos dados pessoais de acordo com a sua própria ponderação de riscos (BIONI, 2020).
O agente de proteção de dados não só deverá comprovar, de um lado, ter adotado os
procederes e praticado os atos permitidos pelo normativo, como, também, de outro lado, que
tenham eficácia efetiva. Caso contrário, ainda que o agente tenha agido com boa-fé, o
descumprimento das normas de proteção de dados e o cometimento de determinadas infrações
equivalerá o enfrentamento frontal ao princípio da responsabilidade e da prestação de contas,
acarretando sua responsabilização e dever de cumprir certas sanções (PESTANA, 2020).
Com essas considerações, serão apresentadas as definições e outras terminologias
abordadas na LGPD, para compreender melhor a aplicação da norma e as partes dessa relação
jurídica.
2.3.2 Definições de dados pessoais e outras terminologias
Para compreender a aplicação das normas de proteção de dados pessoais, é preciso

entender os termos utilizados pela LGPD. A própria norma, no art. 5º, ao longo de dezenove
incisos, garante a explicação dos termos para facilitar a verificação dos elementos a serem
demonstrados. Desta forma, é preciso elucidar algumas dessas terminologias relevantes, para
discutir posteriormente a respeito da responsabilidade civil dos agentes de proteção de dados.
2
Nos primeiros três incisos do art. 5º, tem-se a definição de três modalidades de dados
pessoais. Primeiro, o dado pessoal (inciso I) é qualquer informação relacionada a pessoa
natural identificada ou identificável. Essa informação não precisa ser diretamente sobre a
pessoa, podendo ser dados indiretos que possuem potencial para tornar uma pessoa
identificável (BRASIL, 2018). É oportuno que tenha um componente da identidade de uma
pessoa natural, envolvendo inclusive atributos, fatos, comportamentos e padrões para
caracterizar o dado pessoal (MALDONADO; BLUM, 2019). Exemplificando, são dados
pessoais o CPF, título eleitoral, nome, gostos, interesses, hábitos de consumo, sexo, idade e
geolocalização.
Seguindo essa linha de raciocínio, os dados pessoais sensíveis (inciso II) são aqueles
ligados a questões mais subjetivas e comportamentais, trazendo algum tipo de discriminação
do titular quando do seu tratamento (origem racial, convicção religiosa, opinião política,
dados referentes à saúde), bem como, diante da sua criticidade, dados genéticos e biométricos
(BRASIL, 2018). Os dados pessoais sensíveis implicam riscos e vulnerabilidade
potencialmente mais gravosa aos direitos e liberdades fundamentais dos titulares (titular é a
pessoa natural a quem se referem os dados pessoais que são objeto de tratamento) (DONEDA,
2020).
Tendo em vista a intimidade desses dados sensíveis, o seu tratamento existe uma
atenuação ao princípio da privacidade, sendo necessária a cumulação dos requisitos de
consentimento do titular, de forma específica e destacada. Este tipo de dado pode ser essencial
para as empresas auferirem lucros, de forma a direcionar sua publicidade, sendo esta prática
extremamente comum na economia informacional contemporânea. Quando praticado de
forma abusiva e sem observar os requisitos para seu tratamento, acabam por fragilizar a
autonomia e liberdade do consumidor, assim como a privacidade do titular dos dados
(PANEK, 2019)
Já os dados anonimizados (inciso III) que são dados pessoais descaracterizados,
codificados ou pseudonimizados, que passam pelo procedimento de anonimização (IX). É
realizada a utilização de meios técnicos razoáveis e disponíveis no momento do tratamento,
por meio dos quais um dado perde a possibilidade de associação a um individuo. São
excluídos, a princípio, do escopo da aplicação da LGPD, conforme o art. 12 da referida lei,
visto que não há como identificar o titular dos dados, não tendo potencial de lhe causar danos.
A LGPD apenas protegerá os dados anonimizados, quando estes possuírem possibilidade de
serem revertidos e identificado assim o titular dos dados (MALDONADO; BLUM, 2019).
Outra terminologia importante que a LGPD estabelece é a dos agentes de tratamento
de dados (IX) e o encarregado (VIII). Como encarregado, tem-se uma pessoa indicada pelo
controlador e operador para atuar como canal de comunicação entre as partes da relação de
2
coleta e tratamento de dados, entre controlador, titulares e a Autoridade Nacional de Proteção

de Dados (ANPD) (BRASIL, 2018). Como agentes de tratamento de dados, tem-se o
controlador e o operador. Ambas as figuras são responsáveis pelo tratamento de dados, porém
é necessário distinguir estes.
O controlador (VI) é aquele que toma as decisões referentes ao tratamento de dados
pessoais, e que disponibiliza as informações necessárias à ANPD (órgão da administração
pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o
território nacional) ou ao usuário titular dos dados. Ademais, na hipótese de necessidade de
prova sobre a obtenção do consentimento do usuário para tratamento dos dados, o ônus será
do controlador (BRASIL, 2018) Por outro lado, o operador (VII) é aquele que realiza o
tratamento de dados pessoais em nome do controlador. Este não poderá tratar dados pessoais,
salvo determinações do controlador ou de previsão legal (BRASIL, 2018).
É destacável definir quem é o controlador e o operador em cada tratamento. Não pode
haver dúvidas para o titular ou para a ANPD, visto que a responsabilidade de cada agente de
proteção de dados, em caso de violação à Lei Geral de Proteção de dados, é diferente,
aplicando a cada um responsabilidades e sanções distintas, como será estudado nos capítulos
a seguir.
2.3.3 Requisitos do tratamento e coleta de dados pessoais
Compreendidos as principais terminologias dos elementos da relação de coleta e

tratamento de dados, além do objetivo da LGPD de proteger os direitos fundamentais da
privacidade, liberdade e livre desenvolvimento da personalidade e seus princípios
fundamentais, cabe esclarecer os aspectos mais práticos da LGPD. O art. 7º da referida lei
disponibiliza dez hipóteses, de forma taxativa, que legitimam o tratamento dos dados
pessoais. Destaca-se que é suficiente o atendimento de uma dessas bases legais, para o
tratamento e coleta de dados ser considerado legitimo.
O principal elemento a ser observado nos requisitos é o consentimento do titular (I). O
consentimento é muito utilizado para justificar o tratamento de dados. Ocorre que não é
suficiente, tendo em vista que o titular se encontra em situação de vulnerabilidade singular e,
nesse contexto, não há como atribuir apenas a ele o papel de abonador do processo de
tratamento de dados (BIONI, 2020). Apesar de ser considerado a principal base legal, é
apenas uma das dez hipóteses trazidas na legislação.
O consentimento, conforme disposto no art. 5º, XII da LGPD, é a manifestação livre,
informada e inequívoca do titular para que seja realizado o tratamento dos seus dados
pessoais.
2
Seria a escolha efetiva do titular sobre quais tipos de dados serão tratados em cada operação.
O consentimento será ilícito caso ocorra qualquer induzimento ou tipo de pressão para a
entrega deste por parte do titular (BRASIL, 2018). Conjuntamente com o consentimento, deve
ser observado o requisito da transparência, que se constitui como demonstração de boa-fé do
controlador.
A manifestação do consentimento ocorrerá antes da coleta dos dados pessoais. O art.
9º da LGPD especifica as informações que devem ser previamente fornecidas aos titulares,
sendo essas acerca do ciclo de vida do tratamento de seus dados pessoais, de forma clara e
ostensiva, assim como a finalidade específica do tratamento, a forma e duração deste. Deve-se
identificar ainda o agente de tratamento de dados, as responsabilidades deste e os direitos
pertencentes ao titular dos dados, bem como os possíveis riscos a que este possa estar sujeito.
Inclusive, o titular, a qualquer momento, pode revogar seu consentimento, excluindo seus
dados daquele tratamento. A segunda hipótese de tratamento é a de cumprimento de obrigação
legal ou regulatória pelo controlador (art. 7º, II da LGPD). Dessa forma, desnecessário o
consentimento do titular dos dados caso exista determinação legal para o tratamento de dados
pessoais. (MALDONADO; BLUM, 2019).
As outras hipóteses seriam as atividades de tratamento de dados pela administração
pública, necessários à execução de políticas publicas previstas em lei (III). Da mesma forma,
é dispensado o consentimento do titular dos dados para a coleta e tratamento destes para a
realização de estudos por órgãos de pesquisa, garantida, sempre que possível, a anonimização
dos dados pessoais (IV); quando necessário para a execução de contrato ou de procedimentos
preliminares relacionados a contrato do qual seja parte o titular, ou ainda, para o exercício
regular de direitos em processos judiciais, administrativos ou arbitral (VI); para a proteção da
vida ou da incolumidade física do titular ou de terceiros (VII) ou tutela da saúde, realizado por
profissionais de saúde ou autoridade sanitária (VIII) (BRASIL, 2018).
Além disso, o consentimento é dispensável quando o tratamento de dados for
necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso
de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados
pessoais (IX) ou para a proteção do crédito, inclusive, quanto ao disposto na legislação
pertinente (X) (BRASIL, 2018).
Outrossim, com o intuito de assegurar proteção ao titular, possibilitando a fiscalização
do procedimento e a defesa em possível irregularidades, o art. 37 da LGPD estabelece aos
agentes de tratamento de dados a realização do registro das operações de coleta e tratamento
realizadas. Não só o titular, mas os próprios agentes se beneficiam de tal medida, uma vez que
2
a partir do momento que podem demonstrar e justificar suas atividades em possível

procedimento de prestação de contas, principalmente se o tratamento estiver fundado na
hipótese de legítimo interesse (PINHEIRO, 2020).
A vista disso, no presente capítulo verifica-se que a LGPD estabelece nomenclaturas e
conceitos específicos necessários para a compreensão do bem jurídico protegido pela norma e
a sua aplicação. Para entender melhor a problemática e discussões oriundas da proteção de
dados pessoais, é substancial conhecer seus aspectos basilares, na qual fundamentam as
circunstâncias provenientes desta relação jurídica.
A relevância do presente capítulo para o tema diz respeito a compreensão dos sujeitos
e objeto das relações jurídicas no âmbito da proteção de dados pessoais, de forma a assimilar
com as disposições aceca da responsabilidade civil dos agentes de proteção de dados.
Dessa forma, percebe-se a preocupação da lei em caso de violação da norma e
ocorrência de dado ao titular dos dados, que se possa verificar de maneira mais clara o erro e
assim, impor ao responsável a obrigação de reparar da forma mais justa possível,
responsabilidade essa que será tratada no próximo capítulo.
2
3 RESPONSABILIDADE CIVIL
A responsabilidade civil é um instituto relativo ao ramo do direito obrigacional, que

decorre do reconhecimento dos direitos pessoais. Orienta a relação entre as pessoas, de forma
a impedir que os direitos pessoais sejam violados. A violação de direito, no âmbito civil, é ato
ilícito que gera a obrigação de reparar. Sendo assim, cria-se um vínculo jurídico que
estabelece para uma parte o direito de exigir da outra que cumpra determinada prestação
(GONÇALVES, 2017).
É relevante contextualizar os elementos e espécies existentes de responsabilidade,
visto que se necessita de embasamento sobre a matéria para debater a respeito da
responsabilidade civil na esfera da proteção de dados pessoais. Dessa forma, o presente
capítulo abordará o histórico da responsabilidade civil, seus pressupostos legais, modalidades
e excludentes a fim de compreender a responsabilidade civil no âmbito de proteção de dados
pessoais.
3.1 HISTÓRICO DA RESPONSABILIDADE CIVIL
A verificação histórica permite compreender a origem das regras, a sua conexão com a
estrutura e exigências da sociedade, correlacionando sua origem com o aspecto cultural e as
correntes de pensamento e costumes que orientam o legislador na elaboração de normas. O
conceito de responsabilidade civil evoluiu ao longo da história. O dano causado pelo ilícito é
objeto de estudo há muito tempo, no entanto a forma de demanda contra os danos sofridos em
decorrência de um ato praticado, em descumprimento a um dever de conduta, é que se
modificou ao longo da história do Direito Civil. Ademais, origem do instituto da
responsabilidade está calcada na concepção de vingança privada (GAGLIANO; PAMPLONA
FILHO, 2017).
Como primeira forma de reação contra comportamentos lesivos pode-se citar a
vingança. Os costumes estabeleciam as regras de convivência social, levando os ofendidos a
reagir de forma direta e violenta contra o causador do dano, muitas vezes, pela reação
conjunta de um grupo contra o agressor pela ofensa a um de seus componentes. Era a
denominada autotutela. A principal função da responsabilidade civil não era de ressarcir o
ofendido, mas a de punir o responsável pela lesão. Pretendia-se a reparação de danos reagindo
com ódio ao culpado, alterando a sua situação pessoal ou patrimonial, aplicando penas pública
e privada. O poder público neste período permanecia inerte muitas vezes, intervindo apenas
para declarar
3
quando e como a vítima poderia ter o direito de retaliação, para produzir no ofensor um dano
idêntico ao que experimentou (DINIZ, 2021).
Em um segundo momento, o período que sucedeu ao da vingança privada é o da
composição, em que a vítima optou pelas vantagens da substituição da violência pela
compensação econômica do dano. É vedado à vítima fazer justiça pelas próprias mãos. A
composição econômica, de voluntária passa a ser obrigatória e tarifada, na qual era vigente à
época o Código de Ur-Nammu, o Código de Manu e da Lei das XII Tábuas (GONÇALVES,
2017).
O marco na evolução histórica da responsabilidade civil ocorre com a edição da Lei
Aquília, na qual surge a moderna concepção da responsabilidade extracontratual. Esta
possibilitou atribuir ao titular de bens o direito de obter o pagamento de uma penalidade em
dinheiro, de quem tivesse destruído ou deteriorado seus bens. Esta regulava o dano produzido
pela injúria, consistente na destruição ou deterioração da coisa alheia por fato que tivesse
atingido coisa corpórea ou incorpórea, sem justificativa legal. Embora sua finalidade original
fosse limitada ao proprietário da coisa lesada, a sua aplicação e interpretação fez com que se
construísse uma efetiva doutrina romana da responsabilidade extracontratual (GAGLIANO;
PAMPLONA FILHO, 2017).
Após este período, o Estado assumiu o poder-dever de punir, atraindo a função da
punir os ofensores da ordem jurídica. Com a Lei Aquília se esboça o princípio geral regulador
da reparação do dano, surgindo a ação de indenização no momento em que a ação repressiva
de punir passou para o Estado. Punia-se por uma conduta que viesse ocasionar danos. Em
princípio, a culpa é punível traduzida pela imprudência, negligência ou imperícia, ou pelo
dano (VENOSA, 2021).
A teoria clássica da culpa não satisfazia as necessidades da vida em comum, na
hipótese de casos concretos em que os danos se perpetuavam sem reparação pela
impossibilidade de comprovação do elemento anímico. Assim, começou a vislumbrar novas
soluções, com a ampliação do conceito de culpa e mesmo o acolhimento excepcional de novas
teorias dogmáticas, que propugnavam pela reparação do dano decorrente, exclusivamente,
pelo fato ou em virtude do risco criado. Essas teorias foram amparadas nas legislações
modernas, sem afastar inteiramente à teoria tradicional da culpa (GAGLIANO; PAMPLONA
FILHO, 2017).
No ordenamento jurídico brasileiro, a responsabilidade civil passou por vários estágios
de desenvolvimento. Inicialmente, a reparação civil era condicionada à condenação criminal.
Posteriormente foi adotado o princípio da independência da jurisdição civil e da criminal. O
Código Civil de 1916 adotou a teoria subjetiva de responsabilidade, que exige prova de culpa
3
ou dolo do causador do dano para que seja obrigado a repará-lo. Com o desenvolvimento
industrial e a multiplicação dos danos, surgiram novas teorias tendentes a proporcionar maior
proteção às vítimas.
A teoria do risco, sem substituir a teoria(tirar) da culpa, denota a respeito do exercício
de atividade perigosa como fundamento da responsabilidade civil. O exercício de atividade
que possa oferecer algum perigo representa um risco, que o agente assuma, de ser obrigado a
ressarcir os danos que venham resultar a terceiros dessas atividades. O agente, no caso, será
exonerado se provar que adotou as medidas idôneas para evitar o dano (GONÇALVES,
2017). A culpa continua a ser o fundamento da responsabilidade civil, juntamente com o
risco, na teoria objetiva.
A evolução histórica da responsabilidade civil é marcada pela concepção de
reparabilidade por um prejuízo causado a alguém, partindo inicialmente com a vingança
privada até o conceito de reparação fundada na culpa, juntamente à objetivação do instituto na
teoria do risco. A responsabilidade civil, enquanto fenômeno jurídico decorrente da
conivência conflituosa do homem em sociedade é, na sua essência, um conceito uno,
incindível (GAGLIANO; PAMPLONA FILHO, 2017).
Em função de algumas peculiaridades dogmáticas da responsabilidade civil, faz-se
oportuno compreender sua classificação sistemática tomando por base os pressupostos e
modalidades, aspectos esses que serão tratados a seguir.
3.2 PRESSUPOSTOS LEGAIS
Os pressupostos são os elementos caracterizadores da responsabilidade civil, que

devem estar presentes para que se configure a responsabilidade civil. Não há uma unificação
doutrinária acerca da classificação desses pressupostos. Porém, ao verificar o conceito de ato
ilícito previsto no art. 186 do Código Civil, base fundamental da responsabilidade civil e que
contempla o princípio de que a ninguém é dado causar prejuízo a outrem, tem-se que aquele
que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano
a outrem, ainda que exclusivamente moral, comete ato ilícito (TARTUCE, 2021).
Do referido dispositivo legal, extraem-se os pressupostos legais da responsabilidade
civil subjetiva, sendo a conduta humana (ação ou omissão), dolosa ou culposa, o dano ou
prejuízo experimentado pela vítima e o nexo de causalidade. Na responsabilidade civil
objetiva, como verificar-se-á a seguir, não há que se perquirir do elemento culpa
(GAGLIANO; PAMPLONA FILHO, 2017).
3
A conduta humana é o ato humano comissivo (prática de um ato que ano deveria ser
efetivado) ou omissivo (inobservância de um dever de agir ou a não prática de um ato que
deveria ser realizado), ilícito (baseado na ideia de culpa) ou lícito (ato fundamentado na teoria
do risco), voluntário (controlável pela vontade) e objetivamente imputável (possibilidade de
atribuir a uma pessoa a responsabilidade por algum fato ou ato), do próprio agente ou de
terceiro, ou o fato de animal, ou coisa inanimada (responsabilidade civil indireta), que cause
dano a outrem, gerando o dever de satisfazer os direitos do lesado (DINIZ, 2021).
A conduta dolosa do agente consiste na vontade de cometer uma violação de direito,
deliberada, consciente e intencional do dever jurídico. A culpa, por outro lado, seria a
negligência (falta de cuidado, desleixo proposital), imprudência (falta de cautela ao realizar
determinado ato) ou imperícia (ausência de habilidade necessária para realização de
determinada atividade) presente em determinada ação realizada pelo agente causador do dano.
Para obter a reparação do dano, a vítima geralmente tem de provar o dolo ou culpa do agente,
sendo a teoria subjetiva adotada pelo ordenamento civil brasileiro. Há hipóteses específicas de
responsabilidade sem culpa, sendo esta a responsabilidade civil objetiva, com base na teoria
do risco (GONÇALVES, 2017).
Outro pressuposto caracterizador da responsabilidade civil é o dano ou o prejuízo
experimentado pela vítima. Haverá responsabilidade civil se houver um dano a ser reparado.
Não há que se falar em indenização ou ressarcimento se não houver o dano. Pode haver
responsabilidade sem culpa, mas não pode haver responsabilidade sem dano. O dano é a lesão
a um interesse jurídico tutelado, patrimonial ou não, causado por ação ou omissão do agente
infrator (TARTUCE, 2021).
Para haver dano indenizável, será oportuno a ocorrência dos seguintes requisitos: a)
diminuição ou infração a um bem jurídico, patrimonial ou moral, pertencente a uma pessoa; b)
efetividade ou certeza do dano, pois a lesão não poderá ser hipotética ou conjetural; c)
causalidade, já que deverá haver uma relação entre a falta ou a ação e o prejuízo causado; d)
subsistência do dano no momento da reclamação do lesado, ou seja, o dano não pode já ter
sido reparado pelo responsável; e) legitimidade: para poder pleitear a reparação a vítima
precisa ser titular do direito atingido; f) ausência de causas excludentes de responsabilidade,
porque podem ocorrer danos que não resultem dever ressarcitório como os causados por caso
fortuito, força maior ou culpa exclusiva da vítima (DINIZ, 2021).
O dano, ainda, pode ser patrimonial ou material, atingindo os bens integrantes do
patrimônio da vítima, ou seja, o conjunto de relações jurídicas de uma pessoa apreciáveis em
dinheiro. Nem sempre o dano patrimonial resulta da lesão de bens ou interesses patrimoniais,
3
pode haver violação de bens personalíssimos como o bom nome, a reputação, a saúde, a
imagem e a própria honra, gerando perda de receitas ou realização de despesas, configurando
dano patrimonial indireto (CAVALIERI FILHO, 2015). Em contraponto, os danos morais se
traduzem em turbações de ânimo, em reações desagradáveis, desconfortáveis ou
constrangedoras, produzidas na esfera do lesado. Seria o dano extrapatrimonial, do qual o dano
moral é apenas uma das espécies, visto a existência de outras, como o dano estético, lucros
cessantes e dano emergente (FACCHINI NETO, 2010).
O dano extrapatrimonial, conhecido como dano moral, não se restringe à dor, tristeza e
sofrimento, estendendo a sua tutela aos bens personalíssimos. Este é insusceptível de
avaliação pecuniária, podendo apenas ser compensado com a obrigação pecuniária
estabelecida ao causador do dano. É mais uma satisfação do que uma indenização
Após elencar os dois primeiros elementos da responsabilidade civil, relevante
esclarecer acerca do nexo de causalidade, pressuposto da responsabilidade civil. O nexo de
causalidade é o liame que une a conduta do agente ao dano, de modo que por meio do exame
dessa relação causal é que se verifica quem foi o causador do dano. Apesar da
responsabilidade objetiva dispensar a comprovação da culpa, o nexo causal não será
dispensável (VENOSA, 2021). Não há que se falar em responsabilidade civil sem existir
relação de causalidade entre o dano e a conduta que o provocou. É o vínculo, a relação de
causa e efeito entre a conduta e o resultado (CAVALIERI FILHO, 2015).
Há três teorias principais que explicam o nexo de causalidade: da equivalência de
condições, da causalidade adequada e a teoria da causalidade direta ou imediata.
A teoria da equivalência das condições não diferencia os antecedentes do resultado
danoso, de forma que tudo aquilo que concorra para o evento será considerada causa. Os
fatores causais se equivalem, caso tenham relação com o resultado. Toda e qualquer
circunstância que haja concorrido para a produção do dano será considerada causa
Na teoria da causalidade adequada considera-se como causadora do dano a condição
apta a produzi-lo. Ocorrendo certo dano, tem-se que o fato que originou era capaz de lhe dar
causa. Na hipótese da relação de causa e efeito existe nos casos dessa natureza, diz-se que a
causa era adequada a produzir esse efeito. Se existiu no caso em apreciação somente por força
de uma circunstância acidental, diz-se que a causa não era adequada. Para se considerar uma
causa adequada, esta deverá, de forma abstrata, ser apta à efetivação do resultado. Existe na
aplicação dessa teoria uma discricionariedade do julgador, a quem cabe avaliar, no plano
3
abstrato e conforme o curso normal das coisas, se determinado fato pode ser considerado no
caso concreto como sendo, realmente, a causa do evento danoso (GONÇALVES, 2017).
A terceira e última teoria, a da causalidade direta ou imediata, ou como também
chamada teoria da interrupção do nexo causal, tem como causa o antecedente fático que,
ligado por um vínculo de necessidade ao resultado danoso, determine este último como uma
consequência sua, direta e imediata. Entre a conduta e o dano requer-se uma relação de causa
e efeito direta e imediata, devendo a causa ser necessária, por não existir outra que explique o
mesmo dano (GAGLIANO; PAMPLONA FILHO, 2017).
Desse modo, para a caracterização da responsabilidade civil, é oportuna a presença de
determinados pressupostos, os quais são extraídos pela maioria da doutrina do artigo 186 do
Código Civil. Para contextualizar o entendimento a respeito da responsabilidade civil do
ordenamento jurídico brasileiro, faz-se necessário compreender suas modalidades.
3.3 MODALIDADES
A palavra “responsabilidade” origina-se do latim respondere, que encerra a concepção

de segurança ou garantia da restituição, ou compensação do bem objeto da lesão. Significa
recomposição, obrigação de restituir ou ressarcir. Motivada, inicialmente, pelo desejo de
vingança privada (autotutela), a responsabilidade civil evoluiu para a categoria de punição
pecuniária ao dano causado. Diante de uma coletividade ou manifestação da atividade
humana, coexiste a responsabilidade civil (GONÇALVES, 2017).
No entanto, a responsabilidade pode apresentar-se sob várias espécies, formas, tipos e
aspectos. Essa classificação deve-se às diferentes perspectivas que servem como base de
estudo científico da responsabilidade civil. Desse modo, abordar-se-á no presente tópico
algumas das modalidades da responsabilidade, sendo a responsabilidade civil e penal, objetiva
e subjetiva e de meio e de resultado.
3.3.1 Civil e Penal
Entre os romanos não havia distinção entre responsabilidade civil e penal, que não
passava de uma pena estabelecida ao causador do dano. Na Lei Aquília, como mencionado
anteriormente, foi realizada uma distinção, embora a responsabilidade continuasse sendo
penal, a indenização pecuniária passou a ser a única forma de sanção nos casos de atos lesivos
não criminosos (GONÇALVES, 2012).
3
Uma ação ou uma omissão pode acarretar a responsabilidade civil do agente, ou

apenas a responsabilidade penal, ou ambas. No caso da responsabilidade penal, o agente
infringe uma norma de direito público. O interesse lesado é o da sociedade. Na
responsabilidade civil, o interesse lesado é o privado. O prejudicado poderá pleitear ou não a
reparação (GONÇALVES, 2017).
Em relação a outros aspectos distinguem-se, ainda, a responsabilidade civil e a penal.
Enquanto esta é intransferível, respondendo o réu com a privação de sua liberdade, a
responsabilidade civil é patrimonial, ou seja, o patrimônio do devedor que responde por suas
obrigações. Outros aspectos como tipicidade e culpabilidade diferenciam-se nas duas
modalidades de responsabilidade, visto que a tipicidade é um dos requisitos genéricos do
crime, sendo necessário que haja) adequação do fato concreto ao tipo penal. No cível, no
entanto, a ação ou omissão pode gerar a responsabilidade civil, desde que viole direito e causa
prejuízo a outrem. (VENOSA, 2021).
Na esfera cível, a culpa, ainda que leve, obriga indenizar e, em casos de
responsabilidade objetiva, até mesmo a ausência de culpa pode levar a obrigação de indenizar.
Na esfera criminal, nem toda culpa acarreta a condenação do réu, pois se exige que tenha um
certo grau ou intensidade. Em conceito, a culpa civil e a penal são iguais, pois possuem os
mesmos elementos. Contudo, a diferença é apenas de grau ou de critério de aplicação da lei,
pois o juiz criminal há mais exigência, não vislumbrando infração em caso de culpa levíssima
(TARTUCE, 2021).
A imputabilidade também é tratada de modo diverso, visto que somente os maiores de
18 anos são responsáveis, civil e criminalmente, por seus atos. Admite-se, porém no cível, que
os incapazes absolutos ou relativos sejam responsabilizados, de modo equitativo, se as
pessoas encarregadas de sua guarda ou vigilância não puderem fazê-lo, desde que não fiquem
privados do necessário (art. 928, parágrafo único, do CC). Na esfera criminal, os menores
estão sujeitos às medidas de proteção e socioeducativas do Estatuto da Criança e do
Adolescente (GONÇALVES, 2017).
Compreendendo melhor as diferenças entre responsabilidade civil e penal, passa-se a
diferenciar a responsabilidade civil subjetiva e a objetiva.
3.3.2 Subjetiva e Objetiva
Conforme o fundamento que se dê à responsabilidade, a culpa será ou não considerado

elemento da obrigação de reparar o dano.
3
A responsabilidade civil subjetiva pressupõe a culpa como fundamento. A prova da

culpa do agente passa a ser pressuposto necessário do dano indenizável. Nessa concepção, a
responsabilidade do causador do dano se configura se agiu (na hipótese de agir) com dolo ou
culpa. A concepção básica da responsabilidade civil, na doutrina subjetiva, é o princípio
segundo o qual cada um responde pela própria culpa. Por se caracterizar em fato constitutivo
do direito à pretensão reparatória, caberá ao autor o ônus da prova a respeito da culpa do réu
Há situações em que o ordenamento jurídico atribui a responsabilidade civil a alguém
por dano que não foi causado diretamente, mas sim por um terceiro com quem mantem algum
tipo de relação jurídica. Nesses casos, trata-se de uma responsabilidade civil indireta, em que
o elemento culpa é presumido, não desprezado, em função do dever geral de vigilância a que
está obrigado o réu. Na tese da presunção de culpa subsiste o conceito genérico de culpa,
como fundamento da responsabilidade civil. Há. todavia, distanciamento da concepção
subjetiva tradicional no que concerne ao ônus da prova. Na teoria clássica da culpa, a vítima
tem que demonstrar a existência dos elementos fundamentais de sua pretensão, sobressaindo o
comportamento culposo do demandado. Já na culpa presumida, ocorre uma inversão do ônus
probandi. Em certas circunstâncias, presume-se o comportamento culposo do causador do
dano, cabendo-lhe demonstrar a ausência de culpa, para se eximir do dever de indenizar. É um
modo de apurar a responsabilidade civil sem a necessidade de provar a conduta culposa do
agente, mas sem repelir o pressuposto subjetivo caracterizador da responsabilidade
(PEREIRA, 2018).
Entretanto, para certas pessoas e em determinadas situações a lei estabelece a
reparação de um dano independentemente de culpa. Esta teoria, da responsabilidade civil
objetiva, ou do risco, tem como postulado que todo dano é indenizável, e deve ser reparado
por quem a ele se liga por um nexo de causalidade, independentemente de culpa
(GAGLIANO; PAMPLONA FILHO, 2017). A culpa pode ou não existir, mas será irrelevante
para a configuração do dever de indenizar. É suficiente que haja relação de causalidade entre a
ação e o dano. Os casos de culpa presumida são hipóteses de responsabilidade subjetiva, pois
se fundam ainda na culpa, mesmo que presumida (GONÇALVES, 2017).
A teorias objetivas da responsabilidade civil procuram contemplá-la como mera
questão de reparação de danos, fundada diretamente no risco da atividade exercida pelo
agente. Haverá obrigação de reparar o dano, independentemente de culpa, nos casos
especificados em lei, ou quando a atividade normalmente desenvolvida pelo autor do dano
implicar, por sua natureza, risco para os direitos de outrem (TARTUCE, 2021).
3
Tem-se no Brasil uma regra geral dual de responsabilidade civil, em que a

responsabilidade subjetiva, regra geral, coexistindo com a objetiva, especialmente em função
da atividade de risco desenvolvida pelo autor do dano (PEREIRA, 2018). Quando a lesão
decorre do descumprimento de uma obrigação espontaneamente assumida pelo infrator, em
função da celebração de um negócio jurídico é oportuno contextualizar, no próximo tópico, a
responsabilidade civil contratual e a extracontratual.
3.3.3 Contratual e Extracontratual
Fixados os pressupostos genéricos da responsabilidade civil, abstrai-se das hipóteses

de responsabilidade subjetiva com presunção de culpa ou de responsabilidade objetiva, que
existe uma dificuldade na demonstração da culpa do agente ou da antijuridicidade de sua
conduta para ensejar a sua responsabilidade civil. Essa dificuldade é minorada quando a
conduta ensejadora do dano é resultante do descumprimento de um dever contratual, pois,
nessas hipóteses, presumir-se-ia a culpa, uma vez que a própria parte se obrigou, diretamente,
a obrigação descumprida (GONÇALVES, 2017).
Desse modo, quem infringe dever jurídico em sentido amplo fica obrigado a reparar o
dano causado. Esse dever de violação pode ter como fonte tanto uma obrigação imposta
oriunda de um dever geral de Direito, ou pela própria lei quanto uma relação negocial
preexistente. Dessa forma, a responsabilidade civil contratual surge do inadimplemento da
obrigação prevista no contrato, há uma violação de norma contratual anteriormente fixada
pelas partes. Já a responsabilidade civil extracontratual surge da violação de uma normal legal
(CAVALIERI FILHO, 2015).
Para diferenciar essas modalidades de responsabilidade civil, pode-se apontar três
elementos diferenciadores, ou seja, a preexistência de uma relação jurídica entre lesionado e
lesionante, o ônus da prova quanto à culpa e a diferença quanto a capacidade. Para
caracterizar a responsabilidade contratual, a vítima e o agente causador do dano precisam ter
se aproximado anteriormente e se vinculado para o cumprimento de uma ou mais prestações,
sendo a culpa contratual a violação de um dever de adimplir, que constitui justamente o objeto
do negócio jurídico, ao passo que, na responsabilidade extracontratual, viola-se um dever
necessariamente negativo, sendo a obrigação de não causar dano a ninguém (DINIZ, 2021).
Na responsabilidade civil extracontratual, a culpa deve ser provada pela vítima,
enquanto na responsabilidade contratual, a culpa pode ser presumida, em regras invertendo-se
o ônus da prova. Assim, cabe ao lesionado comprovar que a obrigação não foi cumprida,
sendo
3
do devedor o ônus probandi, de que não agiu com culpa ou que ocorreu alguma causa
excludente do elo de causalidade (CAVALIERI FILHO, 2015).
Esclarecidas as modalidades e os pressupostos mais importantes da responsabilidade
civil para o entendimento do presente trabalho monográfico, distinguindo-a nas vertentes
cíveis e penais, contratual e extracontratual, subjetiva e objetiva, indicando os elementos
existentes como a conduta humana, o dano e o nexo de causalidade, passa-se a contextualizar
as excludentes de responsabilidade.
3.4 EXCLUDENTES DE RESPONSABILIDADE
Como causas excludentes de responsabilidade civil devem ser entendidas as

circunstâncias que, por atacar um dos elementos ou pressupostos gerais da responsabilidade
civil, rompendo o nexo causal, encerram a pretensão indenizatória. Mesmo reconhecendo que
a culpa é um elemento acidental para a caracterização da responsabilidade civil, quando da
perspectiva subjetiva, esse pressuposto também é observado em relação a ocorrência da causa
excludente (GAGLIANO; PAMPLONA FILHO, 2017).
Em regra, ato ilícito é indenizável. A exceção a essa regra geral está prevista no artigo
188 do Código Civil, que excepciona os praticados em legítima defesa, no exercício regular
de um direito reconhecido e a deterioração ou destruição da coisa alheia, de modo a remover
perigo iminente.
Art. 188. Não constituem atos ilícitos:

I - os praticados em legítima defesa ou no exercício regular de um direito
reconhecido; II - a deterioração ou destruição da coisa alheia, ou a lesão a pessoa, a
fim de remover perigo iminente.
Parágrafo único. No caso do inciso II, o ato será legítimo somente quando as
circunstâncias o tornarem absolutamente necessário, não excedendo os limites do
indispensável para a remoção do perigo. (BRASIL, 2002).
O estado de necessidade é uma das causas excludentes de responsabilidade civil, que

consiste na agressão a um direito alheio, de valor jurídico igual ou inferior àquele que se
pretende proteger, para remover perigo iminente quando as circunstâncias do fato não
autorizarem outra forma de atuação. O estado de necessidade, segundo o parágrafo único do
dispositivo legal supramencionado, será considerado legitimo quando as circunstâncias o
tornarem absolutamente necessário, não excedendo os limites do indispensável para a
remoção do perigo (GAGLIANO; PAMPLONA FILHO, 2017). O agente, atuando em estado
de necessidade, não está isento do dever de atuar nos estritos limites de sua necessidade em
situação de perigo, cabendo responsabilização por excesso que cometa (TARTUCE, 2021).
3
Já na legítima defesa (I), o individuo encontra-se diante de uma situação atual ou

iminente de injusta agressão, dirigida a si ou a terceiro, que não é obrigado a suportar. É
legitima a defesa de um interesse juridicamente tutelado, desde que o agente não tenha atuado
com excesso (GAGLIANO; PAMPLONA FILHO, 2017). A legítima defesa real pressupõe a
reação proporcional a uma injusta agressão, atual ou iminente, utilizando-se moderadamente
dos meios de defesa postos à disposição do ofendido. Esse tipo de legitima defesa é que
impede a ação de ressarcimento de danos. A desnecessidade ou imoderado dos meios de
repulsa poderá caracterizar o excesso, sendo passível de responsabilização. A legítima defesa
putativa não exime o agente de indenizar o dano, pois exclui a culpabilidade e não a
antijuridicidade do ato (GONÇALVES, 2017).
Na segunda parte do inciso I, do art. 188 do CC, elucida-se que não poderá haver
responsabilidade civil se o agente atuar no exercício regular de um direito reconhecido.
(VENOSA, 2021). Por outro lado, se o sujeito extrapola os limites racionais do lídimo
exercício do seu direito, fala-se em abuso de direito, situação desautorizada pela ordem
jurídica que poderá repercutir inclusiva na seara criminal. O abuso de direito é o contraponto
do seu exercício regular. Para o reconhecimento do abuso do direito, que o agente tenha a
intenção de prejudicar terceiro, é suficiente que exceda manifestamente os limites da
finalidade econômica ou social, pela boa-fé ou pelos bons costumes. (RODRIGUES, 2009).
A respeito da excludente por caso fortuito ou de forca maior (art. 393 do CC), a forca
maior conhece-se como o motivo ou a causa que dá origem ao acontecimento, pois se trata de
um fato da natureza. Já no caso fortuito, o acidente que acarreta o dano advém de causa
desconhecida (DINIZ, 2021). O caso fortuito constitui um impedimento relacionado com a
pessoa do devedor ou com a sua empresa, enquanto a forca maior advém de um
acontecimento externo. A característica básica da força maior é a sua inevitabilidade, mesmo
sendo a sua causa conhecida, ao passo que o caso fortuito, por sua vez, tem a sua nota
distintiva na sua imprevisibilidade. A ocorrência repentina e até então desconhecida do evento
atinge a parte incauta, impossibilitando o cumprimento de uma obrigação. No entanto, à luz
do princípio da autonomia da vontade, pode ocorrer a responsabilização pelo cumprimento da
obrigação, mesmo sem configurar evento fortuito (GAGLIANO; PAMPLONA FILHO,
2021).
No tocante a responsabilidade civil objetiva, a assunção de riscos poderia afastar a
responsabilização no caso de comprovação efetiva, pelo sujeito responsabilizado, de ausência
dos elementos essenciais da responsabilidade civil, sendo a conduta humana, o nexo causal e
o dano, como verificado anteriormente (GAGLIANO; PAMPLONA FILHO, 2017). Além
disso, nesse contexto de responsabilidade objetiva não há como discutir cláusulas de
exclusão da
4
responsabilidade, pois essa espécie de cláusula ataca o nexo de causalidade da conduta ao

excluir a culpa do agente. Destaca-se que são válidas para a verificação na responsabilidade
subjetiva, salvo na hipótese de culpa exclusiva da vítima ou de terceiros (GRINOVER, 2011),
A exclusiva atuação culposa da vítima também é uma excludente de responsabilidade
civil, uma vez que rompe o nexo causal do delito, a relação de causa e efeito entre o ato e o
prejuízo experimentado pela vítima, eximindo o agente da referida responsabilidade. O
causador do dano não passa de mero instrumento do acidente. Não há liame de causalidade
entre o seu ato e o prejuízo da vítima. Há casos em que a culpa da vítima é apenas parcial, ou
concorrente com a do agente causador do dano, na hipótese em que o autor e vítima
contribuem, simultaneamente, para a produção de um mesmo fato danoso. Existindo uma
parcela de culpa também do agente, haverá repartição de responsabilidades, de acordo com o
grau de culpa (GONÇALVES, 2017).
No mesmo sentido, a culpa de terceiro não exonera o autor direto do dano do dever
jurídico de indenizar, tendo em vista a predominância do princípio da obrigatoriedade do
causador direto em reparar o dano. Caberá ação regressiva contra o terceiro que criou a
situação de perigo, para reaver a importância despendida no ressarcimento ao dono da coisa.
O autor do dano responde pelo prejuízo que causou, ainda que o seu procedimento venha
legitimado pelo estado de necessidade. No entanto, o ato de terceiro que seja causa exclusiva
do prejuízo faz desaparecer a relação de causalidade entre a ação ou a omissão do agente e o
dano. A exclusão de responsabilidade se dará porque o fato de terceiro se reveste de
características semelhantes as do caso fortuito, sendo imprevisível e inevitável. Quando o fato
de terceiro se revestir dessas caracterizas é que poderá ser excluída a responsabilidade do
causador direto do dano (DINIZ, 2021).
É relevante que se destaque, também, que a responsabilidade é solidária entre o
fabricante, produtor, construtor, nacional ou estrangeiro e o importador, conforme a redação
do art. 12 do Código do Consumidor. Assim, o Código Consumerista) aumenta as
possibilidades de o consumidor buscar reparação de eventuais danos, maneira que a
legislação fixa o entendimento de que todos aqueles que concorreram para a prestação do
serviço são responsáveis pelas eventuais consequências negativas (VENOSA, 2021).
Nesse contexto, novas perspectivas da responsabilidade civil se estabelecem, com
crescente ampliação das hipóteses e entendimentos de cabimento da responsabilidade, tendo
em vista que as novas tecnologias trazem à tona novos riscos. Novas leis e hipóteses de
responsabilidade devem ser analisadas à luz da releitura dos institutos tradicionais da
responsabilidade civil, cabendo essas estabelecerem regras de conduta no espaço
4
contemporâneo, de maneira a prever deveres aos agentes dessa nova relação jurídica, bem
como critérios de escolha daquele que ressarcirá por eventual dano provocado (GODOY,
2019).
A responsabilidade civil, como verificado no presente capítulo, passou por diversas
mutações e evoluções ao longo da história. Como ramo do direito obrigacional, segundo a
qual a conduta humana vincula-se a seu fim, surgindo, na eventualidade do descumprimento
de uma obrigação, o dever de compensar o dano causado por meio de uma indenização. As
disposições atinentes à historicidade e os pressupostos da responsabilidade civil visam dar
elementos para reconhecer que o prejuízo deve ser indenizado, pois do contrário seria ineficaz
a construção doutrinária e jurisprudencial erigida ao longo da história.
A relevância do presente capítulo para o tema diz respeito a importância em compreender
os pressupostos e modalidades da responsabilidade civil, para apresentar embasamento com às
disposições acerca de responsabilidade civil trazidas pela LGPD.
Desse modo, uma vez que em posse (legítima e consentida) dos dados pessoais ou
sensíveis, os agentes de tratamento poderão tratá-los livremente desde que observados os
princípios e limites estabelecidos pela legislação e regulação oriunda da Autoridade Nacional de
Proteção de Dados, sob pena de incorrer em responsabilidade civil, que será discutido no capítulo
a seguir.
4
4 A RESPONSABILIDADE CIVIL DOS AGENTES DE PROTEÇÃO DE DADOS
Como tratado anteriormente, a responsabilidade civil decorre do reconhecimento dos

direitos pessoais. Surge da criação de um vínculo jurídico que outorga a uma parte o direito de
exigir da outra que cumpra determinada prestação.
A violação dos princípios trazidos pela LGPD coloca em risco os direitos dos titulares
dos dados. A responsabilidade dos agentes de proteção de dados vincula-se ao cumprimento
das exigências legais para garantir todos os objetivos, fundamentos e demais princípios
estabelecidos na LGPD. Estes deverão, durante o ciclo de vida do tratamento de dados sob sua
responsabilidade, analisar a conformidade legal e implementar os procedimentos de proteção
de dados pessoais de acordo com a sua própria ponderação de riscos. O descumprimento
dessas normas e princípios, além do cometimento de determinadas infrações, acarretará a
responsabilização e aplicação de sanções ao agente de proteção de dados (MALDONADO;
BLUM, 2019).
Neste capítulo será abordado o conceito e as atribuições dos agentes de proteção de
dados estipulados na LGPD, de forma a compreender a modalidade de responsabilidade civil
a ser aplicada a estes quanto a sua responsabilidade com relação aos titulares de dados, bem
como demonstrar o posicionamento doutrinário e jurisprudencial acerca do tratamento de
dados pessoais e a responsabilidade civil de seus agentes de proteção.
4.1 AGENTES DE PROTEÇÃO DE DADOS
A Lei nº 13.709/18, no Capítulo VI, conceitua os agentes de tratamento de dados

pessoais e, ainda, trata a respeito da responsabilidade e do ressarcimento de danos. Para
efeitos da responsabilidade civil, é destacável definir quem é o controlador e o operador
em cada tratamento. Não pode haver dúvidas para o titular ou para a ANPD, visto que a
responsabilidade de cada agente de proteção, em caso de violação à Lei Geral de Proteção de
dados, é diferente. Desse modo, antes de adentrar na responsabilidade civil aplicável aos
agentes de proteção de dados, faz-se necessário conceituar os agentes de tratamento e
definir suas
atribuições, que demonstrar-se-á no presente tópico.
4
4.1.1 Conceito
Como verificado, a LGPD define no art. 5º o conceito básico de agentes de tratamento

de dados e do encarregado. São agentes de tratamento o controlador e o operador de dados
pessoais, os quais podem ser pessoas naturais ou jurídicas, de direito público ou privado (art.
5º, inciso VI e VII da LGPD). Não são considerados controladores ou operadores os
indivíduos subordinados, como funcionários, servidores públicos ou as equipes de trabalho de
uma organização, já que atuam sob o poder diretivo do agente de tratamento. No contexto de
uma pessoa jurídica, a organização é o agente de tratamento para os fins da LGPD, já que é
esta que estabelece as regras para o tratamento de dados pessoais, a serem executadas por seus
representantes ou prepostos. (BRUNO, 2020).
O agente de tratamento é definido para cada operação de tratamento de dados pessoais.
Dessa forma, a mesma organização poderá ser controladora e operadora, de acordo com sua
atuação em diferentes operações de tratamento (MALDONADO; BLUM, 2019). Tanto o
controlador como o operador são responsáveis pelo tratamento de dados, porém é necessário
distinguir estes.
O controlador é aquele que toma as decisões referentes ao tratamento de dados
pessoais, e que disponibiliza as informações necessárias à ANPD (órgão da administração
pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o
território nacional) ou ao usuário titular dos dados. Na hipótese de necessidade de prova sobre
a obtenção do consentimento do usuário para tratamento dos dados, o ônus será do
controlador (art. 8º, § 2º, LGPD) (PINHEIRO, 2020). Por outro lado, o operador é aquele que
realiza o tratamento de dados pessoais em nome do controlador. Este não poderá tratar dados
pessoais, salvo determinações do controlador ou de previsão legal (art. 5º, VII e art. 39 da
LGPD).
Pessoas naturais podem ser consideradas controladoras ou operadoras de dados
pessoais. Serão controladoras quando atuarem de acordo com os próprios interesses, com
poder de decisão sobre as finalidades e os elementos essenciais de tratamento. Serão
operadoras quando atuarem de acordo com os interesses do controlador, sendo-lhes facultada
apenas a definição de elementos não essenciais à finalidade do tratamento. O operador deve
ser uma entidade distinta do controlador, isto é, não atua como profissional subordinado a este
ou como membro de seus órgãos (AUTORIDADE NACIONAL DE PROTEÇÃO DE
DADOS, 2021).
Aquele que realiza tratamento de dados é obrigado a indicar um encarregado. Como
encarregado pela proteção de dados pessoais (ou Data Protection Officer – DPO), tem-se uma
pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre as
4
partes da relação de coleta e tratamento de dados, entre controlador, titulares e a ANPD (art.
5º, inciso VIII, da LGPD). Sendo assim, o encarregado é o responsável por garantir a
conformidade de uma organização à LGDP, e por garantir que as informações fiquem
centralizadas recebendo a efetiva validação (MALDONADO; BLUM, 2019).
Em dissonância com o disposto pela General Data Protection Regulation (GDPR), o
DPO pode ter qualquer tipo de formação, sem uma necessidade específica. A Lei nº 13.853 de
2019 vetou o § 4º e seus três incisos, do art. 41 da LGPD, na qual continha redação inspirada
na GDPR. O mencionado dispositivo estabelecia que o encarregado deveria ser detentor de
um conhecimento jurídico-regulatório e, também, garantidor da autonomia técnica e
profissional durante o exercício do cargo. Dessa maneira, as atividades do encarregado
demonstram muito mais um serviço a ser prestado do que a realização de uma atividade por
um único indivíduo (PINHEIRO, 2020).
No referido dispositivo não há menção se este encarregado deverá ser pessoa física ou
pessoa jurídica, o que permite interpretações. Considerando as boas práticas internacionais, o
encarregado poderá ser tanto um funcionário da instituição quanto um agente externo, de
natureza física ou jurídica. Recomenda-se que o encarregado seja indicado por um ato formal,
como um contrato de prestação de serviços ou um ato administrativo (AUTORIDADE
NACIONAL DE PROTEÇÃO DE DADOS, 2021). No caso do encarregado ser pessoas
jurídicas, o agente de tratamento será considerado de forma institucional, já que será a pessoa
jurídica e não os indivíduos que trabalham na empresa, que será considerada agente de
tratamento. Na hipótese de pessoa física, em casos excepcionais também pode ser considerada
agente de tratamento, na hipótese de atuar de forma autônoma com o tratamento de dados
(PINHEIRO, 2020).
Conforme a publicação do Guia de Agentes de Tratamento e do Encarregado pela
própria ANPD em maio de 2021, verifica-se que, por regra geral, a organização deverá indicar
uma pessoa para assumir este papel, diferentemente do que ocorrem em outras legislações de
proteção de dados estrangeiras, como a GDPR. O art. 41, §3º da LGPD possibilita que a
Autoridade Nacional, em norma complementar, estabeleça hipóteses de dispensa da
necessidade da indicação do encarregado, de acordo com a natureza da entidade ou a
quantidade de operações de tratamento de dados. Pode, além disso, estabelecer normas
complementares sobre a definição e as atribuições do encarregado. (AUTORIDADE
NACIONAL DE PROTEÇÃO DE DADOS, 2021)
Dessa forma, após conceituar quem são os agentes de tratamento de dados, passa-se
destacar as atribuições de cada agente.
4
4.1.2 Atribuições
A LGPD determina, no art. 37, que o controlador e operador devem manter registro
das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado
no legítimo interesse. Está é uma das obrigações mais importantes previstas aos agentes de
tratamento. É recomendável, dessa forma, a manutenção de registro das operações realizadas,
desde a coleta até o descarte dos dados pessoais, uma vez que o mapeamento dessas
operações é relevante para a correta mitigação dos riscos e para prestação de contas advinda
do art. 38 da referida norma. A empresa que realiza atividades de tratamento de dados
pessoais sujeitas à LGPD, está obrigada a realizar esses registros (BRUNO, 2020).
A iniciativa de elaboração do relatório de impacto deve partir do responsável pela
operação de tratamento de dados pessoais sob análise, que deverá solicitar o parecer do
encarregado pelo tratamento de dados pessoais, quando designado. Neste relatório, deverão
estar presentes as informações previstas no parágrafo único do art. 38 da LGPD, sem prejuízo
de outras informações como, por exemplo, a avaliação da necessidade e proporcionalidade
das operações diante de seus objetivos e a avaliação dos riscos para os direitos e liberdades
dos titulares dos dados tratados (MALDONADO; BLUM, 2019).
Ainda, tanto o controlador como o operador devem demonstrar a adoção de medidas
eficazes e capazes, de comprovar a observância e o cumprimento das normas de proteção de
dados pessoais e, inclusive, da eficácia dessas medidas (art. 6º, X da LGPD). Deverá também
formular e empregar regras de boas práticas e governança em proteção de dados pessoais,
levando em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a
finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de
tratamento de dados do titular (art. 50, caput, da LGPD), respeitando os princípios legais
(PRINHEIRO, 2020).
Apesar do controlador e do operador compartilharem certos deveres e, embora haja
semelhança entre esses no que tange à natureza jurídica, cada agente possui suas atribuições
legais e responsabilidades próprias. O controlador, segundo o art. 5º, inciso VI da LGPD, é o
responsável pela tomada de decisões sobre o tratamento de dados pessoais, possuindo maiores
encargos e responsabilidades em relação ao operador. Pertence ao controlador o poder de
decisão, admitindo-se que este forneça instruções para que um terceiro (operador) realize o
tratamento em seu nome. Não há necessidade de que todas as decisões sejam tomadas pelo
controlador, de modo que é suficiente que este mantenha sob sua influência e controle as
4
principais decisões, relativas aos elementos essenciais para o cumprimento da finalidade do

tratamento de dados (AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS, 2021).
Outrossim, compete ao controlador avaliar o enquadramento de ao menos uma das
bases legais para a realização de cada tratamento de dados pessoais (art. 7º e 11, da LGPD),
bem como cabe a este comunicar a ANPD e ao titular sobre a ocorrência de incidente de
segurança que possa acarretar risco ou dano relevante aos titulares (art. 48, caput, da LGPD).
Pode ser responsabilizado civilmente no caso de violação à LGPD (art. 42, LGPD)
(FIEGELSON; BECKER; CAMARINHA, 2020).
Em reforço ao normatizado pelo art. 5º da Lei, o art. 39 estabelece que o operador atua
como executor da operação de tratamento de dados pessoais, em observância às solicitações
do controlador. Este deverá realizar o tratamento segundo as instruções fornecidas pelo
controlador, que verificará a observância das próprias instruções e das normas sobre a
matéria. Essa atuação em nome do controlador não exime o operador de adotar,
independentemente das instruções do controlador, medidas para conformidade com a
legislação de proteção de dados, bem como medidas técnicas e organizacionais de segurança
(BRUNO, 2020).
Além das obrigações citadas no Capítulo VI da LGPD, os agentes de tratamento
devem fazer a adoção das medidas de segurança, técnicas e administrativas aptas a proteger os
dados pessoais de acesso não autorizados e de situações acidentais ou ilícitas de destruição,
perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito (art. 46,
caput, da LGPD). Deve atuar em conformidade com o princípio da segurança abordado pelo
art. 6º, inciso VII da referida Lei, demandando aos agentes a adoção de medidas de segurança
como forma de antever a possibilidade de acessos não autorizados ou alguma forma de
violação (PINHEIRO, 2020).
Ademais, como demonstrado, o controlador é o responsável por indicar o encarregado
pelo tratamento de dados pessoais (art. 41, caput, da LGPD). Este, segundo o art. 41, §2º da
LGPD, possui como atribuições aceitar reclamações e comunicações dos titulares e da
autoridade nacional, prestando esclarecimento e adotando providências, além de orientar os
funcionários e os controladores da entidade a respeito das praticas a serem tomadas em
relação à proteção de dados pessoais. Deve, ainda, executar as demais atribuições
determinadas pelo controlador ou estabelecidas em normas complementares (BRASIL, 2018).
Por ser responsável em manter contato com os titulares de dados e a ANPD, é
importante que as informações de contato do encarregado estejam facilmente acessíveis, de
forma clara e objetiva, para que se possa contatar este quando necessário (AUTORIDADE
NACIONAL DE PROTEÇÃO DE DADOS, 2021). A norma é omissa quando a necessidade
de comunicação ou
4
de registro da identidade e das informações de contato do encarregado perante a ANPD

(FIEGELSON; BECKER; CAMARINHA, 2020).
Importante pontuar que mesmo que não haja uma designação de encarregado pelo
tratamento de dados pessoais, a organização que realizar a coleta e tratamento não fica
desobrigada do cumprimento das demais obrigações previstas na LGPD, não se eximindo
também de alocar seu pessoal ou consultores externos em assuntos relacionados à proteção de
dados pessoais. O que seria aplicável em relação ao encarregado de forma obrigatória,
também será ao encarregado nomeado em base voluntária (MALDONADO; BLUM, 2019).
Compreendendo melhor as atribuições dos agentes de tratamento de dados, passe-se a
verificação do acesso a informação e gestão.
4.2 ACESSO A INFORMAÇÃO E GESTÃO
Como citado anteriormente, a Autoridade Nacional de Proteção de Dados (ANPD)

fiscaliza a aplicação da LGPD, de forma a zelar pela proteção dos dados pessoais.
Além de fiscalizar há outras atribuições previstas no art. 55-J da LGPD. Entre as
competências e responsabilidades destacadas no referido dispositivo legal, ressalta-se que
cabe a ANPD elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da
Privacidade, editar relatórios de impacto à proteção de dados pessoais nos casos em que o
tratamento dessas informações, represente alto risco à garantia dos princípios gerais de
proteção de dados pessoais. A ANPD deverá fiscalizar o tratamento realizado pelos agentes de
proteção de dados, de forma a garantir a simplicidade, a clareza, a acessibilidade e a devida
adequação do tratamento dos dados pessoais, resignando aos agentes de tratamento para
eliminar irregularidades, incertezas e situações de risco relacionados ao tratamento e à
privacidade de dados pessoais. Aplica-se sanções a estes em casos de descumprimento à lei,
dentro de seus limites (PINHEIRO, 2020).
O rol de atribuições da ANPD não se encerra no art. 55-J da LGPD. A regra reforça o
compromisso legal com a transparência das operações de tratamento de dados pessoais, em
prestígio ao princípio da publicidade previsto no art. 37 da Constituição da República
Federativa do Brasil e do princípio da transparência previsto no art. 6º, inciso VI da LGPD.
Como apontado, o controlador deverá comunicar à autoridade nacional e ao titular de
dados, a ocorrência de incidente de segurança que possa acarretar risco (probabilidade de um
evento vir a ocorrer e de suas consequências) ou dano relevante (prejuízo expressivo
efetivamente sofrido) aos titulares. O incidente de segurança seria um acontecimento
4
indesejado que seja hábil a comprometer a segurança dos dados pessoais, de modo a expô-los
a acessos não autorizados e a situações acidentais ou ilícitas de distribuição, perda, alteração,
comunicação ou qualquer forma de tratamento inadequado ou ilícito. É associado, dessa
forma, a uma ameaça à segurança da informação (MALDONADO; BLUM, 2019).
Na hipótese da ANPD não for cientificada do incidente pelo controlador, não será
possível zelar pela proteção dos dados pessoais, bem como o titular dos dados afetado não
poderá agir de modo a mitigar os riscos aos quais estará exposto. Por isso, apenas com a
correta gestão de dados concomitantemente com o adequado acesso a informação, há garantia
da segurança e da devida proteção dos dados pessoais dos titulares. (BRUNO, 2020).
O objetivo da gestão de dados ou dos incidentes de segurança da informação é garantir
que incidentes e ocorrências similares sejam formalmente registrados, e exista uma busca pela
efetiva causa do mesmo com a finalidade de corrigir e resolver em tempo aceitável para a
realização do negócio (FONTES, 2008). A gestão de dados pode ser caracterizada através de
diversas operações que fazem parte do uso dessas informações, podendo ser por meio da
coleta, do acesso, do processamento e armazenamento, bem como por meio da comunicação e
controle da informação. Cada empresa realizadora de tratamento de dados possui o seu
processo de gerenciamento, com finalidade específica, devendo essa estar em conformidade
com a lei proposta, fornecendo informações com consentimento e cumprindo suas obrigações
legais (PINHEIRO, 2020).
Já a segurança e acesso a informação é caracterizada pela proteção de dados nas
organizações contra diversos tipos de ameaças. É um conjunto de ações que possuam a
finalidade de gestão de dados de forma consciente, segura e de acordo com a norma. A
segurança envolve a adoção de procedimentos, tecnologias e soluções que garantam maior
proteção dos dados pessoais em casos de acessos não autorizados e de situações acidentais ou
ilícita. Conforme o princípio da segurança (art. 6, inciso VII, da LGPD), devem ser utilizados
medidas técnicas e administrativas aptas a proteger os dados pessoais. Essas medidas não
envolvem apenas técnicas e ferramentas de proteção, mas envolvem principalmente a
cooperação entre os agentes de proteção e a ANPD, na qual suas atividades e obrigações
precisam estar em sintonia para garantir ao titular dos dados uma efetiva segurança e
reparação de dano, caso tenha ocorrido (PESTANA, 2020).
A LGPD é uma medida legal para assegurar às pessoas sobre o uso de suas
informações, mas a segurança quem tem que garantir é a instituição que realiza a coleta e
tratamento de seus dados. O papel dos agentes de proteção de dados, juntamente com a
ANPD, é de grande importância não só para o desenvolvimento correto do tratamento de
dados, como para a
4
segurança desse tratamento perante os titulares. Uma má gestão de dados põe em risco o
direito do titular de dados à privacidade, liberdade e ao livre desenvolvimento da pessoa
natural, podendo resultar em atos contra os princípios e obrigações previstas na LGPD,
gerando a obrigação de reparar o dano causado, sem prejuízo a aplicação de outras sanções
previstas (BIONI; DIAS, 2020).
A partir desses ensinamentos, passa-se a demonstrar as formas de responsabilização
dos agentes de tratamento de dados e as suas peculiaridades no âmbito da LGPD.
4.3 A RESPONSABILIDADE CIVIL DOS AGENTES DE PROTEÇÃO DE DADOS
A Lei Geral de Proteção de Dados, conforme exposto inicialmente, surgiu com o salto
tecnológico da sociedade e crescimento do acesso à Internet. Tendo em vista as lacunas
decorrentes das mudanças no âmbito jurídico em relação ao direito digital e aos dados
pessoais, conjuntamente com o crescimento da utilização e comercialização destes, observou-
se a necessidade de legislar visando à tutela da proteção de dados pessoais (VAINZOF, 2020).
A Lei nº 13.709/18, ao utilizar como fundamento da proteção dos dados pessoais o livre
desenvolvimento da personalidade, à privacidade e a liberdade da pessoa natural, demonstra o
objetivo em proteger a pessoa natural titular dos dados. Tem por foco garantir que os seus
direitos fundamentais e a sua dignidade sejam respeitados ao decorrer do processo de coleta e
tratamento de seus dados. Para isso, é necessário cumprir certos requisitos, limites de
aplicação e as vedações expressas na lei. A inobservância dos princípios e das obrigações no
processo de tratamento de dados, além de expor indevidamente o titular e infringir as
garantias deste, degrada a reputação dos agentes de proteção perante os quais os dados
foram confiados
Como apurado, tem-se como agentes de tratamento de dados o controlador, sendo
aquele que toma as decisões referentes ao tratamento de dados pessoais, e o operador, que
realiza o tratamento de dados pessoais em nome do controlador. Ambos são responsáveis pelo
cumprimento das exigências legais, de forma a garantir os objetivos e princípios estabelecidos
na LGPD (PINHEIRO, 2020). Além das atribuições específicas de cada agente, esses devem
observar os princípios da responsabilização e prestação de contas, devendo durante o ciclo de
vida do tratamento de dados sob sua responsabilidade, analisar a conformidade legal e
implementar os procedimentos de proteção dos dados pessoais de acordo com a sua própria
ponderação de riscos. Ademais, devem utilizar medidas técnicas e administrativas, aptas a
5
proteger os dados pessoais de eventuais violações, dolosas ou acidentais, conforme o

princípio da segurança (DONEDA, 2021).
Não obstante, o encarregado, indicado pelo controlador e operador para atuar como
canal de comunicação entre estes, os titulares dos dados e a Autoridade Nacional de Proteção
de Dados, é o responsável por garantir a conformidade de uma organização à LGPD. Atenta-
se entre as suas atribuições a observância do princípio do livre acesso, transparência e
segurança, uma vez que deve informar seu contato para a disposição dos titulares de dados e
da ANPD quando necessários para prestar esclarecimentos e informações (BIONI; DIAS,
2020).
O descumprimento por parte dos agentes de proteção de dados das normas de
proteção, princípios, limitações e requisitos para a realização da coleta e tratamento de dados,
ainda que de ocorrência acidentária ou de boa-fé, o cometimento de determinadas infrações
equivalerá o enfrentamento ao princípio da responsabilidade e da prestação de contas,
acarretando sua responsabilização e dever de cumprir certas sanções (MALDONADO;
BLUM, 2019).
Os deveres jurídicos, quando violados, causam danos a outrem, e a responsabilidade
do agente que causou o dano será buscada para reparar o ônus sobre a vítima. A
responsabilidade civil tem como objetivo estabelecer deveres para as condutas externas dos
indivíduos, de modo a não ofender, causar dano ou prejuízo a outrem (CAVALIERI FILHO,
2020). Dessa violação ao dever jurídico nasce um vínculo jurídico que outorgar a uma parte, o
direito de exigir da outra que cumpra determinada prestação (GONÇALVES, 2017).
Para a caracterização da responsabilidade civil, é relevante a presença de determinados
pressupostos, os quais são extraídos pela maioria da doutrina nacional do artigo 186, do
Código Civil. Estão presentes tanto na responsabilidade objetiva quanto na subjetiva, a
conduta humana omissiva ou comissiva, o dano ou prejuízo experimentado pela vítima e o
nexo de causalidade, que são elementos fundamentais para a existência da obrigação de
reparar um dano. A culpa, no viés subjetivo, será pressuposto necessário para caracterizar a
responsabilidade civil. Já no viés objetivo, o dano é indenizável, devendo ser reparado por
quem a ele se liga por um nexo de causalidade, independentemente de culpa (GAGLIANO;
PAMPLONA FILHO, 2017).
Diante das hipóteses envolvendo o vazamento de dados, como foi o caso do Edward
Snowden e da Cambridge Analytica (MONTEIRO, 2018), a aplicação da responsabilidade
civil passou a ser oportuna para o equilíbrio das relações jurídicas no âmbito tecnológico da
utilização dos dados pessoais (MALDONADO; BLUM, 2019). Desse modo, o exercício
irregular da atividade de proteção de dados advém danos materiais ou morais a um titular ou a
uma coletividade.
5
A Lei Geral de Proteção de Dados regulamenta sobre a responsabilidade e

ressarcimento de danos na Seção III do capítulo VI. Os agentes de proteção de dados estão
submetidos as responsabilidades nos artigos 42 a 45 da referida norma, porém a aplicação
destas dependerá da relação jurídica existente (MALDONADO; BLUM, 2019). A
responsabilidade dos agentes de proteção surge do exercício da atividade que viole as normas
jurídicas de proteção de dados e as normas técnicas, voltadas à segurança e a proteção de
dados pessoais (art. 44, parágrafo único, LGPD), como preconiza o art. 46 da LGPD. Essa
normativa estabelece que os agentes de tratamento deverão adotar medidas de segurança,
técnicas e administrativas visando a proteção de dados pessoais, como mencionado nos
capítulos anteriores.
Todavia, não é suficiente violar essas normas para caracterizar a responsabilidade
civil, é necessário a presença de certos elementos como a existência de nexo de causalidade
com o dano causado a um titular ou a uma coletividade, existindo o elemento culpa ou não,
como será contextualizado a seguir.
Conforme preceitua o art. 42, o controlador ou o operador que, em razão do exercício
de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral,
individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a
repará-lo (BRASIL, 2018). Esse dispositivo restringe a responsabilidade ao utilizar a
conjunção alternativa “ou”, estabelecendo a alternância entre o controlador ou o operador,
afastando de certa forma a possibilidade de uma responsabilidade solidária. Porém, se a
relação jurídica do titular com o controlador e o operador for de natureza consumerista, há
possibilidade de aplicação das normas de responsabilidade solidária dos art. 12 e 18 do
Código de Defesa do Consumidor (BIONI; DIAS, 2020).
A solidariedade entre o controlador e o operador, além das hipóteses consumeristas,
está prevista no §1º do art. 42 da LGPD, prevendo dois casos específicos a fim de assegurar a
efetiva indenização ao titular dos dados. Como primeira hipótese, o operador responderá
solidariamente com o controlador quando descumprir as obrigações da legislação de proteção
de dados, ou quando não tiver seguido as instruções lícitas do controlador (art. 42, § 1º, I, da
LGPD). Como segunda hipótese, tendo em vista que o tratamento de dados é realizado por
uma rede complexa, na qual vários agentes concorrem para o seu funcionamento, é possível
que em certas situações exista mais de um controlador na realização do tratamento e
processamento de dados. Neste caso, o inciso II do referido dispositivo legal aponta que
ocorrerá solidariedade entre os controladores que estiverem diretamente envolvidos no
tratamento, no caso de estabelecerem, em conjunto, decisões que violem o microssistema da
proteção de dados ou às normas técnicas cabíveis (MALDONADO; BLUM, 2019).
5
Dessa forma, o art. 42 aborda a regra geral de responsabilidade nos casos de violação à
LGPD, especificando quais agentes poderão ser responsabilizados. Exclui neste caso o
encarregado e, ainda, traz quatro espécies de danos que podem ser ocasionados com a
violação dos dados pessoais, sendo o dano patrimonial, moral, individual ou coletivo. O
legislador traz como circunstância para reparação do dano, a necessidade de a operação de
tratamento ter sido lesiva. Por mais que não esteja previsto no dispositivo o elemento culpa,
não há exclusão de forma expressa (TASSO, 2020). Há divergências doutrinárias acerca da
natureza da obrigação de indenizar no âmbito de proteção de dados pessoais, no tocante de ser
objetiva ou subjetiva. Dessa forma, cabe esclarecer os posicionamentos no que diz respeito a
natureza da responsabilidade civil a ser utilizada na aplicação da LGPD.
No que se refere a responsabilidade civil subjetiva, a doutrina compreende que a
LGPD, ao prever causas excludentes do nexo de causalidade no art. 43, expõe presumidamente
a autoria do tratamento por parte do agente a quem é atribuído e a culpa deste. Esta pode ser
afastada caso demonstrado a observação do regramento de conduta esperado, empregando
medidas idôneas para evitar o dano (GUEDES; TEPEDINO; TERRA, 2020). O art. 43 prevê
três hipóteses de exclusão de responsabilidade. O inciso I refere-se a causa excludente do
nexo causal, quando os dados forem tratados por terceiros, havendo ilegitimidade passiva do
controlador ou operador no caso. O inciso II exclui a responsabilidade quando o dano resultar
da prática de um ato lícito, inexistindo, violação à legislação de proteção de dados. E o inciso
III afasta a responsabilidade quando o dano for causado por culpa exclusiva da vítima. Neste
caso, o titular ou terceiro agiria de modo a contrariar seus interesses quando descuida da
segurança ou subestima os riscos de uma determinada medida, acarretando riscos que
fugiriam do controle do controlador (SCHREIBER, 2020).
Ainda mencionando o inciso III do art. 43, encontra-se a possibilidade da
responsabilização do encarregado, no qual há exoneração dos agentes de tratamento da
responsabilidade quando o dano é decorrente de culpa exclusiva de terceiro, limitando-se a
responsabilidade ao exercício adequado de suas funções (CABELLA, 2020).
Outro ponto defendido pelos subjetivistas extrai-se do art. 44, na qual o tratamento
irregular de dados configura-se defeito de serviço, estabelecendo uma nova hipótese para a
responsabilização civil, pois se vincula à noção de potencial violação à segurança de dados
que o titular pode esperar do tratamento (TEIXEIRA; ARMELIN, 2019).
Esse dispositivo ajusta as hipóteses instituídas como ensejadoras de responsabilidade
civil, ao sistematizar critérios para aferição da culpa dos agentes de tratamento de dados. Ao
determinar que a irregularidade no tratamento ocorrerá apenas quando inobservado a
legislação
5
ou quando não for fornecido a segurança esperada pelo titular, levando em consideração o
modo, o resultado e as técnicas de tratamento disponíveis à época da realização deste.
Restringe-se os limites na qual a culpa se encontra, enquanto requisito para configuração do
dever de indenizar. A verificação do referido dispositivo legal, conjuntamente com o art. 50,
§§1º e 2º da LGPD, pressupõe a necessidade de realizar-se um julgamento acerca da
culpabilidade do causador do dano em determinado caso concreto, dando margem para a
aplicabilidade da teoria subjetiva (GUEDES; MEIRELES, 2019).
As professoras Gisela Sampaio da Cruz Guedes e Rose Melo Venceslau Meireles
foram as pioneiras a sustentar a aplicação da teoria subjetiva, no tocante a responsabilidade
civil dos agentes de proteção de dados. Defendem que a criação de obrigações, a imposição
de comportamentos, como deveres sucessivos instituídos pela lei a serem adotados durante a
cadeia de tratamento de dados, não fariam sentido se a responsabilização dos agentes
independesse de culpa de fato. Esse conjunto de previsões legais indicariam que a LGPD
instituiu um standard de conduta (GUEDES; MEIRELES, 2019).
No mesmo viés, Bruno Bioni e Daniel Dias defendem que a hipótese de exclusão de
responsabilidade exposta no art. 43, II, somado à principiologia, às boas práticas e governança
(art. 50 da LGPD). Com a obrigação dos agentes de proteção em realizar relatórios de impacto
à proteção de dados pessoais, propiciam o afastamento de uma possível sistemática de
responsabilidade civil objetiva, visto que há presença de elementos normativos na qual
convergem a um juízo de valor em torno da culpa do lesante (BIONI; DIAS, 2020).
Dessa forma, a responsabilidade civil subjetiva dos agentes de proteção de dados se
fundamenta logicamente pela série de elementos, standards e medidas de segurança que o
legislador prevê à atividade de tratamento de dados (artigos 46 a 54 da LGPD). O
descumprimento da lei e a não adoção de medidas de segurança seriam garantias de
comportamento culposo (negligência, imprudência e imperícia), vez que não faria sentido a
responsabilização do agente de tratamento pelo simples desempenho de sua atividade
adequada a lei (GUEDES; TEPEDINO; TERRA, 2020).
Em contrapartida, o risco é o fundamento para imputação do dever de indenizar
conforme a LGPD. Tem-se, como precursores do entendimento da responsabilidade objetiva
dos agentes de proteção de dados, Danilo Doneda e Laura Schertele Mendes. O principal
argumento dos autores, e que foi citado por aqueles que se alinham à esta corrente de
pensamento, consiste na afirmação de que o tratamento de dados apresenta risco intrínseco
aos seus titulares. Argumentam que os dispositivos não contemplados na seção sobre a
responsabilidade civil dos agentes de tratamento da LGPD, constroem uma normativa no
5
sentido de restringir as possibilidades de tratamento de dados, limitando-as às situações em

que as operações com os dados pessoais dos titulares sejam uteis e necessárias. Citam, ainda,
a delimitação exaustiva no art. 7º das hipóteses em que o tratamento de dados pessoais poderá
ser realizado, e os princípios da finalidade e da adequação expostos no art. 6º, na qual
prescrevem que o tratamento não deve ser admitido quando for inadequado ou
desproporcional em relação à sua finalidade (MENDES; DONEDA, 2018).
Há compreensão no sentido de que a LGPD denota a obrigação de se levar em conta o
risco presente no tratamento de dados. Ao delimitar expressamente as hipóteses permitidas de
tratamento, de forma a evitar sua banalização, fica caracterizado uma atividade como sendo
de risco, a ponto de atrair a responsabilização dos agentes de tratamento, independentemente
da conduta culposa. O fato de que se está diante de infringência de um direito fundamental,
atingindo direitos difusos, justificaria a adoção da responsabilidade civil objetiva
(MULHOLLAND, 2020). Ademais, o art. 43, sob outra perspectiva, ao delimitar as
excludentes de responsabilidade sem mencionar a verificação de culpa ou dolo como
elementos necessários à caracterização do dever de reparar, é suficiente para comprovar que
se está diante da adoção do risco como fundamento à imputação da responsabilidade civil dos
agentes de tratamento de dados (GODINHO; QUEIROGA NETO; TOLÊDO, 2020).
Danilo Doneda e Laura Schertele Mendes evidenciam que a inteligência artificial,
utilizada nos tratamentos de dados, deve ser interpretada como mera ferramenta a fim de
auxiliar os agentes de tratamento de dados, os quais assumem os riscos de seus atos e da
execução das ferramentas que optam por utilizar, de modo a atraírem a incidência da
responsabilidade objetiva (MENDES; DONEDA, 2018).
Dessa forma, a responsabilidade civil objetiva dos agentes de proteção de dados é
sustentada por aqueles que verificam na norma, uma adoção da teoria do risco da atividade de
tratamento de dados. Compreendido a ausência de culpa como excludente de
responsabilidade, bem como a existência de restrições e previsões de tratamento de dados
pessoais, caracterizaria o tratamento de dados como uma atividade de risco, a ponto de atrair a
responsabilização dos agentes de tratamento, independentemente da conduta culposa
(NOVAKOVSKI; NASPOLINI, 2020).
Há uma terceira via de entendimento acerca da responsabilidade civil dos agentes de
proteção de dados, adotando uma responsabilidade civil sui generis, como sustenta Maria
Celina Bodin de Moraes. Tem como baliza a concepção de que o legislador adotou um
sistema específico de proteção do risco da atividade, buscando além da prevenção, evitar de
forma proativa a ocorrência de qualquer dano. Bruno Bioni e Daniel Dias também seguem
por essa
5
linha de pensamento, uma vez que assentam que não deve haver dúvidas de que a política
legislativa adotada pela LGPD exige a investigação em torno de um juízo de culpa dos
agentes de tratamento de dados. Ao mesmo tempo, prescreve uma série de elementos com alto
potencial de erosão dos filtros para que os agentes de tratamentos de dados sejam
responsabilizados. O resultado é no sentido de um regime jurídico de responsabilidade civil
subjetiva, com alto grau de objetividade (BIONI; DIAS, 2020).
Ainda denotam que há dubiedade no que tange a atividade de tratamento de dados ser
de meio ou resultado, visto que o princípio da responsabilidade e prestação de contas disposto
no art. 6º, XV da LGPD, possibilita uma obrigação de resultado, ao passo que os dispositivos
relacionados a adoção de medidas de segurança e boas práticas (art. 46 e seguintes), indicam
uma obrigação de meio desde o início do ciclo de tratamento de dados (BIONI; DIAS, 2020).
Diante disso, o melhor entendimento é o equivalente a uma responsabilidade sui
generis da culpa presumida com grau de objetividade, visto que a LGPD estabelece um
standard de obrigações aos agentes de tratamento. Configura um dever jurídico sucessivo e
uma culpa presumida sobre a apuração do tratamento irregular causador dos danos, ao mesmo
tempo que a ausência de culpa como excludente de responsabilidade, bem como a existência de
restrições e previsões de tratamento de dados pessoais caracterizam o tratamento de dados como
uma atividade de risco. Assim, estabelece a responsabilização dos agentes de tratamento,
independentemente da conduta culposa.
Importante evidenciar que no mês de outubro de 2021, o Plenário do Senado Federal
aprovou a Proposta de Emenda à Constituição (PEC) 17/2019, que torna a proteção de dados
pessoais, inclusive nos meios digitais, um direito fundamental. O texto segue para
promulgação. A constitucionalização da proteção de dados como direito fundamental e
cláusula pétrea, traz avanços significativos para os titulares de dados pessoais e para a garantia
dos direitos de privacidade, proteção de dados e outras prerrogativas. Evidencia-se a
necessidade de um esforço multissetorial para o fortalecimento de uma cultura de privacidade
e proteção de dados. Com essa mudança significativa no cenário da legislação sobre proteção
de dados, haverá novas discussões acerca do tema e de sua aplicabilidade.
Apresentada as principais considerações acerca da responsabilidade civil na Lei Geral
de Proteção de Dados Pessoais parte-se à verificação de decisões judiciais existentes a
respeito do tema.
5
4.4 DECISOES JUDICIAIS A RESPEITO DO TEMA
No presente tópico, será examinado como a proteção de dados é verificada nas Cortes
de Justiça, a fim de observar o posicionamento jurisprudencial no tocante a natureza da
responsabilidade civil aplicada aos agentes de proteção de dados.
No tocante ao desenvolvimento normativo e jurisprudencial a respeito da tutela
jurídica do tratamento de dados pessoais no Brasil, o microssistema protetivo especial do
Código de Defesa do Consumidor (CDC) (Lei nº 8.078/90) concentrou um volume
considerável das demandas relacionadas a dados pessoais. Neste encontram-se previsões
expressas relacionadas ao direito do consumidor sobre seus dados pessoais, conforme
respaldado no art. 43, caput, e seus parágrafos, muito dos quais foram replicados pela LGPD.
O CDC foi o primeiro diploma normativo a trazer influências palpáveis para o
amadurecimento jurisprudencial, do direito à proteção dos dados das pessoas naturais no
Brasil (CUEVA, 2019).
Nessa perspectiva, a partir da edição do diploma consumerista, tem-se o início das
primeiras discussões envolvendo danos indenizáveis por consequência de atividades como
sendo de tratamento de dados pessoais. A maior parte dessas discussões estão atreladas aos
cadastros de proteção ao crédito, hipóteses dede inscrição indevida, cujo qual o a recorrência
acarretou na edição da Súmula nº 385 do colendo STJ, que modula a possibilidade da
obtenção de indenização por dano moral nesse contexto (FRAZÃO; TEPEDINO; OLIVA,
2019).
Dessa forma, ainda não é possível extrair-se algum posicionamento concreto, seja
doutrinário, legislativo ou jurisprudencial quanto a natureza da responsabilidade civil
aplicável no contexto do tratamento de dados pessoais. A concepção consolidada a respeito da
proteção de dados versa sobre relações consumeristas, circunstância que explica de certa
forma a influência do CDC para a redação dos dispositivos que abordam sobre a
reponsabilidade na LGPD, tendo em vista que a figura do consumidor foi protagonista na
construção do conhecimento jurídico pré-existente sobre o direito à proteção dos dados
pessoais. (BIONI, DIAS, 2020).
Nesse sentido, são contextualizadas três decisões judiciais, sendo que a primeira delas
foi obtida através de pesquisa no sítio eletrônico do Conjur Brasil (CONJUR, 2020), com os
termos “responsabilidade civil objetiva”, “LGPD”. A primeira decisão judicial foi notícia no
Brasil, visto que foi pioneira na aplicação da Lei Geral de Proteção de Dados em caso
concreto. As outras duas decisões, encontradas por meio de pesquisa no sítio eletrônico
do Tribunal de Justiça de São Paulo, com os termos “LGPD, “responsabilidade civil”,
“tratamento de dados”, “art. 42 da LGPD”, em busca específica pela ementa, resultou em
5
nove acórdãos.
5
Dentre os acórdãos, extraíram-se os dois na qual reconhecem que a responsabilidade objetiva

do agente que realiza o tratamento de dados.
Ademais, realizou-se pesquisa no sítio eletrônico do colendo Superior Tribunal de
Justiça e Supremo Tribunal Federal, bem como sítio do Tribunal de Justiça de Santa Catarina,
ambos com as expressões de busca “LGPD”, “responsabilidade civil objetiva”,
“responsabilidade civil subjetiva”, “responsabilidade do agente de proteção”, “tratamento de
dados”, porém não foram encontradas decisões acerca da responsabilidade civil dos agentes
de proteção de dados. Há decisões que utilizam a LGPD como fundamento, no entanto, não
solidificam entendimento em relação a natureza e aplicação da responsabilidade civil dos
agentes de proteção.
4.4.1 Sentença prolatada nos autos do processo nº 1080233-94.2019.8.26.0100, oriundo

da 13ª Vara Cível do Tribunal de Justiça do Estado de São Paulo
Nesse contexto, importante mencionar a primeira decisão que tratou a respeito da

responsabilização civil em razão de tratamento indevido de dados pessoais, proferida pela
Juíza Tonia Yuka Koroku da 13ª Vara Cível do Tribunal de Justiça do Estado de São Paulo,
no processo nº 1080233-94.2019.8.26.0100, publicada em 29 de setembro do ano de 2020.
A decisão, em síntese, destaca:
[...] Isto posto, a responsabilidade da ré é objetiva (arts. 14, caput, CDC e 45,
LGPD). Inexiste suporte para a exclusão de responsabilidade (art. 14, § 3º, I a III,
CDC), de sorte que caracterizado o ato ilícito relativo a violação a direitos de
personalidade do autor, especialmente por permitir e tolerar (conduta omissiva) ou
mesmo promover (conduta comissiva) o acesso indevido a dados pessoais do
requerente por terceiros. Irrelevante se a ré possui mecanismos eficazes para a
proteção de dados, seja porque se sujeita às normas consumeristas em relação à sua
responsabilidade, bem como pelo fato de que houve utilização indevida dos dados
do requerente em decorrência do contrato firmado entre as partes. Sendo a
responsabilidade objetiva, não há suporte para se inquirir a existência de culpa
ou a presença de suas modalidades (imperícia, negligência ou imprudência).
Tampouco desnecessário aferir se outras pessoas físicas ou jurídicas participaram da
ilicitude (como no caso de corretores de imóveis), porquanto todos que participam
da cadeia produtiva respondem de forma solidária pelos danos causados (arts. 7º,
parágrafo único, e 25, I, CDC). [...].
A discussão da demanda referia-se a uma relação contratual entre um cidadão e uma

empresa do ramo imobiliário que utilizou os dados cadastrais daquele, presentes no contrato,
para transmitir a terceiros sem o consentimento e autorização, causando-lhe danos
extrapatrimoniais. A presente demanda judicial tem natureza consumerista, aplicando-se
conjuntamente ao caso a LGPD e o CDC. Foi constatado na decisão que o autor foi assediado
5
por empresas em decorrência do vazamento de seus dados cadastrais, uma vez este foi
utilizado de forma indevida ao desviar-se da finalidade prevista no contrato, na qual possuía
escopo meramente cadastral e de inserção em banco de dados, violando a LGPD.
Desta forma, fundamentou a magistrada na responsabilidade objetiva do fornecedor de
serviços, com base nos artigos 14, caput do CDC e art. 45 da LGPD, afirmando que de fato
houve a utilização indevida dos dados do requerente em decorrência do contrato firmado entre
as partes. Inexiste hipótese de exclusão de responsabilidade ou suporte para se inquirir a
existência de culpa ou a presença de suas modalidades, condenando, assim, a parte ré a
reparação do dano moral.
Ainda, demonstrou a magistrada que seria irrelevante a utilização pela empresa de
mecanismos eficazes para a proteção de dados, uma vez que se sujeita às normas
consumeristas em relação à sua responsabilidade, bem como pelo fato de que houve utilização
indevida dos dados do requerente em decorrência do contrato firmado entre as partes.

São Paulo
No mesmo sentido, há entendimentos do TJSP a respeito da responsabilidade civil

objetiva do responsável pelo tratamento de dados. Dessa forma, infere-se do seguinte julgado
nos autos da apelação cível nº 1024481-61.2020.8.26.0405, sendo relator o Desembargador Luiz
Guilherme da Costa Wagner Junior, da 34ª Câmara de Direito Privado, assim ementado:
Apelação. Responsabilidade civil. Prestação de serviços. Energia elétrica.

Vazamento de dados do sistema da prestadora do serviço. Ação de reparação por
danos morais. Sentença de improcedência. Invasão de sistema da concessionária.
Responsabilidade objetiva da empresa no tratamento de dados (art. 42 da
LGPD). Falha na prestação de serviços (art. 14 do CDC). Dados que não se
relacionam à intimidade e não envolve dado pessoal sensível (art. 5º, II, da LGPD).
Dados básicos informados com frequência em diversas situações, muitos constantes
em simples folha de cheque. Ausente utilização dos dados vazados e efetivo dano.
Impossibilidade de indenizar expectativa de dano. Sentença mantida. Honorários
majorados. RECURSO DESPROVIDO (SÃO PAULO, 2021).
A discussão da demanda referia-se a uma relação contratual entre o Apelante (pessoa

física autora da demanda) e o Apelado (empresa concessionária de distribuição de energia
elétrica) para prestação de serviços de fornecimento de energia elétrica, na qual o autor teve
seus dados cadastrais acessados por terceiros, em decorrência de acidente de segurança
interno na empresa. Dentre os dados vazados do consumidor estavam o seu nome, CPF e RG,
gênero,
6
data de nascimento, idade, telefone, e-mail, número da agência bancária, conta corrente e
endereço.
No presente acórdão foi mantida a decisão de primeiro grau, em que houve o
indeferimento dos pedidos formulados na ação de indenização por danos morais, em razão da
inexistência de consequências gravosas à imagem, personalidade ou dignidade da parte autora.
Pelos elementos probatórios anexos aos autos, o prejuízo foi apenas hipotético.
Desta forma, fundamentou o relator que incumbe a empresa processadora dos dados
zelar pela total segurança de seu sistema, de modo a evitar acesso ou fraude praticada por
terceiros. Tratar-se de risco da atividade econômica que desenvolve, respondendo
objetivamente por eventuais danos causados aos consumidores em decorrência de acesso
indevido de dados, nos termos dos art. 14 do CDC e art. 42 da LGPD. Entretanto, como no
presente caso entendeu-se pela inexistência de utilização indevida, por terceiros, dos dados
vazados ou dano efetivo ao Apelante, a mera suposição de que o Apelante está sujeito a
ocorrência de fraudes se trata de fato eventual e incerto. Desse modo, não há o condão de
gerar direito indenizatório, pois apenas com sua efetiva ocorrência haverá prejuízo material ou
moral à vítima, não existindo a possibilidade de se indenizar uma expectativa de dano.
Assim, observa-se que para o agente de tratamento de dados ser responsabilizado,
independe de conduta culposa, uma vez que se trata de risco da atividade econômica que
desenvolve. No entanto, o simples vazamento de dados não caracterizaria dano ao titular, é
necessário a comprovação de dano efetivo e o nexo de causalidade com o dano auferido a um
titular ou a uma coletividade.

São Paulo
Verifica-se do julgamento oriundo da apelação cível nº1024016-52.2020.8.26.0405,

sendo relator o Desembargador Kioitsi Chicuta, da 32ª Câmara de Direito Privado do Tribunal
de Justiça São Paulo, assim ementado:
Responsabilidade civil. Prestação de serviços. Ação de obrigação de fazer cumulada

com indenização por danos morais. Sentença de improcedência. Vazamento de
dados pessoais do autor decorrente de invasão do sistema da concessionária. Falha
na prestação de serviços evidenciada. Art.v14 do CDC. Responsabilidade objetiva
da empresa no tratamento de dados (art. 42 da LGPD). Dados vazados que não
estão abrangidos no conceito de dado pessoal sensível (art. 5º, II, da LGPD).
Ausente prova segura acerca da utilização dos dados vazados e efetivo dano. Dano
hipotético não enseja indenização. Recurso desprovido, com observação. A
prestadora de serviços tem o dever de zelar pela total segurança do seu sistema,
evitando acesso e fraude por
6
terceiros, na medida em que deve assumir os riscos de sua atividade empresarial. A

responsabilidade, no caso, é objetiva relativamente à prestadora de serviços pelos
danos causados aos consumidores em caso de acesso indevido de dados. Todavia, a
prova coligida não permite a conclusão de que a requerida deve ressarcir o apelante
devido aos fatos apontados na exordial, sendo certo que não há demonstração de que
a invasão do sistema da concessionária com vazamento de dados tenha causado
danos de ordem extrapatrimonial (SÃO PAULO, 2021).
Trata-se de um recurso interposto contra sentença que julgou improcedente a ação

ajuizada pelo Apelante, na qual alegava que seus dados foram vazados pela empresa Apelada.
Aponta incidente de segurança, aduzindo que enfrentou problemas como o recebimento de
mensagens indesejadas no seu celular, bem como propagandas pelo celular e em seu e-mail.
Afirma ser uma possível vítima de fraude, considerando que foram vazados seus dados como
nome, número do RG e CPF, bem como endereço e telefone.
No presente acórdão foi mantida a decisão de primeiro grau, na qual indeferiu o pleito
inicial. O relator fundamentou que, apesar da existência de falha na prestação dos serviços e
do dever do agente de tratamento de zelar pela segurança de seus sistemas, assumindo os
riscos de sua atividade empresarial, a responsabilidade deste, no caso, é objetiva pelos danos
causados aos seus consumidores em caso de acesso indevido de dados. No entanto, na
presente lide não houve demonstração de que a invasão do sistema e o vazamento de dados,
sob zelo do agente de tratamento, tenha causado danos de ordem extrapatrimonial ao
Apelante.
No mesmo sentido da outra decisão apresentada, apesar do agente de tratamento ter o
dever de adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados
pessoais de acessos não autorizados e de situações acidentais ou de qualquer forma de
tratamento inadequado ou ilícito, o simples vazamento sem demonstração de dano efetivo não
enseja a responsabilização do agente, ainda que esta seja objetiva por conta do risco da
atividade econômica desenvolvida.
Dessa forma, verifica-se nessas decisões a aplicação do entendimento da
responsabilidade civil objetiva dos agentes de proteção de dados. O art. 44 da LGPD, ao
prever que o tratamento de dados pessoais será irregular quando deixar de observar a
legislação ou quando não fornecer a segurança que o titular dele pode esperar, estabelece uma
versão adaptada do conceito de defeito de serviço previsto no art. 14, parágrafo 1° do CDC.
Assim, existindo a possibilidade de um tratamento defeituoso, a LGPD emprega uma
construção análoga àquela empregada na lei consumerista, na qual a responsabilidade dos
agentes tutelados é de cunho objetivo. Nesse sentido, o tratamento de dados pessoais está
ligado a uma atividade de risco, visto a sua capacidade de causar danos quando realizados de
forma inadequada que possa gerar dano efetivo ao titular (SCHREIBER, 2020).
6
Isto posto, sendo a proteção de dados pessoais um desafio a ser enfrentado pelo Poder
Judiciário, há certos posicionamentos pelo resguardo dos dados além da responsabilização
objetiva, nos casos de desrespeito aos direitos atrelados aos dados dos titulares. A base
jurisprudencial a respeito da responsabilidade civil no âmbito da LGPD ainda está sendo
consolidada nos tribunais superiores. Assim, deve-se aguardar tempo hábil para verificação do
tema e de entendimento sobre o regime adequado, na responsabilização do agente de
tratamento na relação jurídica com o titular dos dados.
Com essas considerações, a seguir será apresentada a conclusão em consonância com
o referencial teórico apresentado.
6
5 CONCLUSÃO
O presente trabalho trouxe como tema a Lei Geral de Proteção de Dados (Lei nº
13.709/2018), na qual veio a surgir diante do avanço tecnológico e da comercialização e
exploração dos dados pessoais. Com a utilização dos dados para o desenvolvimento da
eficiência econômica, os titulares dos dados se tornaram cada vez mais vulneráveis, tendo sua
intimidade e capacidade de escolha suplantada pelos interesses das grandes corporações.
Neste contexto, devido às lacunas legislativas acerca da proteção dos dados pessoais,
determinou-se a necessidade de estipular limites para o exercício dessa atividade, de modo a
garantir direitos fundamentais ao titular dos dados.
Como verificado a LGPD é um marco importante na proteção de dados, visto que
estabelece princípios, conceitos, procedimentos, normas e punições acerca do tema. A
transmissão, coleta, armazenamento e processamento de dados pessoais coloca em risco o
direito das pessoas naturais à privacidade, liberdade e personalidade, uma vez que há
possibilidade de exposição e utilização indevida ou abusiva destes. A Lei Geral de Proteção de
Dados tem como objetivo fundamental regular o tratamento de dados pessoais, de modo a
garantir os direitos básicos e fundamentais de liberdade, privacidade e o livre desenvolvimento
da personalidade, resguardados na Constituição da República Federativa do Brasil.
A violação dos dispositivos trazidos pela LGPD coloca em risco os direitos dos
titulares dos dados. A responsabilidade dos agentes de proteção de dados vincula-se ao
cumprimento das exigências legais para garantir todos os objetivos, fundamentos e demais
princípios estabelecidos na Lei. Os agentes de tratamento de dados deverão, durante o ciclo de
vida do tratamento de dados sob sua responsabilidade, analisar a conformidade legal e
implementar os procedimentos de proteção de dados pessoais de acordo com a sua própria
ponderação de riscos. O descumprimento de suas atribuições e das regras estabelecidas
possibilita a responsabilização desses, motivo pelo qual a LGPD prontamente abarcou a
responsabilização e o ressarcimento de danos em capítulo específico.
A partir da exemplificação das hipóteses de responsabilização previstas na Lei Geral de
Proteção de Dados, iniciou-se um conflito doutrinário acerca da natureza da responsabilidade
civil dos agentes de tratamento, que levou ao presente estudo a necessidade de explanação
sobre os aspectos gerais da responsabilidade civil no ordenamento jurídico brasileiro e a sua
aplicação perante o diploma de proteção de dados pessoais.
Apesar da falta de consenso e da pouca doutrina e jurisprudência acerca da natureza da
responsabilidade civil no âmbito da proteção de dados pessoais, o fundamento da
6
responsabilidade civil objetiva que prevê a obrigação de indenizar os danos sem a

obrigatoriedade de comprovação de culpa se torna mais plausível no ambiente da sociedade da
informação em que estamos inseridos. Embora haja vertentes de que a responsabilidade civil
disposta na LGPD seria sui generis, uma vez que a vertente da teoria do risco é a mais aplicada
conforme os julgados existentes a respeito do tema. Entretanto, pelo mesmo motivo não se
torna possível asseverar com certeza que este é e será o entendimento geral, posto que a
vertente contrária, que sustenta a responsabilidade subjetiva, encontra sustentação na letra da
lei.
Com efeito, a responsabilidade civil dos agentes de tratamento e proteção de dados
pessoais é um desafio a ser enfrentado pelo Poder Judiciário brasileiro, considerando, inclusive,
que não há muitos julgados em específicos que abordem a discursão do tema. A base
jurisprudencial e doutrinária a respeito da responsabilidade civil no âmbito da LGPD ainda está
sendo consolidada. No que diz respeito da responsabilidade do encarregado, a falta de
referenciação sobre a possibilidade de sua responsabilização por parte da legislação, assim
como a ausência de estudos acerca dele torna o tema amplo para debates de futuras decisões
jurisprudenciais ou advindas da própria Autoridade Nacional de Proteção de Dados.
Desta forma, compreendendo que os direitos decorrentes da proteção de dados
pessoais ainda estão sendo discutido no ordenamento jurídico brasileiro como, por exemplo, a
existência da PEC nº 17/2019, aprovada no dia 20 de outubro de 2021. Torna a proteção de
dados pessoais, inclusive nos meios digitais, um direito fundamental e, ainda, acompanhando a
evolução dos efeitos da instituição da LGPD. Considera que a proteção de dados tem ganhado
legitimidade, espaço e relevância na sociedade brasileira, os debates e aplicações da norma
tendem a crescer nos próximos anos, de forma a complementar as lacunas deixadas pela LGPD.
Ademais, estabelece correntes doutrinárias e entendimentos jurisprudenciais a respeito da
proteção dos dados e, principalmente, da aplicação da responsabilidade civil aos agentes de
tratamento de dados, respondendo-se ao problema de pesquisa.
6
REFERÊNCIAS
ALIMONTI, Veridiana. Autodeterminação informacional na LGPD: antecedentes, influência

e desafios. In: CUEVA, Ricardo Villas Bôas; DONEDA, Danilo; MENDES, Laura Schertel.
Lei geral de proteção de dados (lei 13.709/2018): a caminho da efetividade: contribuições
para a implementação da LGPD. 1. ed. São Paulo: Thomson Reuters Brasil, 2020. Ebook.
Acesso restrito via Thomson Reuters Proview.
ANGELO, Tiago. Juíza aplica LGPD e condena construtora que não protegeu dados de
cliente. Revista Conjur, 30 set. 2020. Disponível em: https://www.conjur.com.br/2020-set-
30/compartilhar-dados-consumidor-terceiros-gera-indenizacao. Acesso em: 3 out. 2021.
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (Brasil). Guia orientativo para

definições dos agentes de tratamento de dados pessoais e do encarregado. Brasília, DF:
ANPD, maio 2021. Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-
publicacoes/2021.05.27GuiaAgentesdeTratamento_Final.pdf. Acesso em: 22 out. 2021.
BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento.

2. ed. Rio de Janeiro: Forense, 2020.
BIONI, Bruno Ricardo; DIAS, Daniel. Responsabilidade civil na proteção de dados pessoais:
construindo pontes entre a lei geral de proteção de dados pessoais e o código de defesa do
consumidor. Civilistica.com, Rio de Janeiro, v. 9, n. 3, 2020.
BIONI, Bruno.; DIAS, Daniel. Responsabilidade civil na proteção de dados pessoais:

construindo pontes entre a lei geral de proteção de dados pessoais e o código de defesa do
consumidor. civilistica.com, v. 9, n. 3, 2020.
BRASIL. [Constituição (1988)]. Constituição da República Federativa do Brasil de 1988.

Brasília, DF: Presidência da República, 1988. Disponível em
http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm. Acesso em: 04 set. 2021.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Dispõe sobre a lei geral de proteção de
dados pessoais. Brasília, DF: Presidência da República, 2018. Disponível em:
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 15
ago. 2021.
BRUNO, Marcos Gomes da Silva. Dos agentes de tratamento de dados pessoais. In:
MALDONADO, Viviane Nóbrega; BLUM, Renato Opice. Lei geral de proteção de dados
comentada. 2. ed. rev. atual e ampl. São Paulo: Thomson Reuters Brasil, 2020.
CABELLA, Daniela Monte Serrat; LIMA, Deise; MOURA, Raíssa; ROCHA, Ana
Beatriz. Responsabilidade civil do encarregado pelo tratamento de dados pessoais: regime
celetista. Migalhas de Peso, 15 out. 2020. Disponível em:
https://www.migalhas.com.br/depeso/334947/responsabilidade-civil-do-encarregado-pelo-
tratamento-de-dados-pessoais--regime-celetista. Acesso em: 31 out. 2021.
6
CASTELLS, Manuel A. Sociedade em rede: do conhecimento à política. In: CASTELLS,

Manuel; CARDOSO, Gustavo (Org.). A sociedade em rede: do conhecimento a acção
política. Lisboa: Imprensa Nacional: Casa da Moeda, 2006.
CAVALIERI FILHO, Sérgio. Programa de responsabilidade civil. 8. ed. São Paulo: Atlas,
2015.
CAVALIERI FILHO, Sergio. Programa de responsabilidade civil. São Paulo: Grupo GEN,
Atlas, 2020. E-book. Acesso restrito via Minha Biblitoeca.
CUEVA, Ricardo Villas Bôas. A proteção de dados pessoais na jurisprudência do STJ. In:
FRAZÃO, Ana; TEPEDINO, Gustavo; OLIVA, Milena Donato. Lei geral de proteção de
dados pessoais e suas repercussões no direito brasileiro. 1. ed. São Paulo: Thomson
Reuters Brasil, 2019.
DEOCLECIO, Helison Lucas. Impactos da nova lei geral de proteção de dados para os
negócios e as pessoas naturais sob a perspectiva dos direitos fundamentais à privacidade.
Jus.com., jan. 2021. Disponível em: https://jus.com.br/artigos/88132/impactos-da-nova-
lei- geral-de-protecao-de-dados-para-os-negocios-e-as-pessoas-naturais-sob-a-perspectiva-
dos- direitos-fundamentais-a-privacidade. Acesso em: 02 out. 2021.
DIAS, José de Aguiar. Da responsabilidade civil. 12. ed. Rio de Janeiro: Forense. 2011.
DINIZ, Maria Helena. Curso de direito civil brasileiro: responsabilidade civil. 35. ed. São
Paulo: Saraiva, 2021. v. 7.
DONEDA, Danilo. da privacidade à proteção de dados pessoais, fundamentos da lei geral

de proteção de dados. 2. ed., rev. e atual. São Paulo: Revista dos Tribunais, 2020.
DONEDA, Danilo. Da privacidade à proteção de dados pessoais. 1. ed. São Paulo:

Thomson Reuters Brasil, 2020. E-book. Acesso restrito via Thomson Reuters.
DONEDA, Danilo. Panorama histórico da proteção de dados pessoais. In: DONEDA, Danilo;
SARLET, Ingo Wolfgang; MENDES, Laura Schertel; RODRIGUES JUNIOR, Otavio Luiz;
BIONI, Bruno Ricardo. Tratado de proteção de dados pessoais. 1. ed. Rio de Janeiro:
Forense, 2021.
DONEDA, Danilo. Princípios de proteção de dados pessoais. In: LUCCA, Newton de;
SIMÃO FILHO; Adalberto; LIMA, Cíntia Rosa Pereira de (coord.). Direito & internet III:
marco civil de internet. São Paulo: Quartier Latin, 2015. t. 1.
FACCHINI NETO, Eugênio. Da responsabilidade civil no novo código. Rev. TST, Brasília,
v. 76, n. 1, jan./mar., 2010. Disponível em:
http://www.dpd.ufv.br/wp- content/uploads/Bibiografia-DIR-313.pdf.
Acesso em: 8 ago. 2021.
FIEGELSON, Bruno; BECKER, Daniel; CAMARINHA, Sylvia M. F. Comentários à lei

geral de proteção de dados: lei 13.709/2018. 1. ed. São Paulo: Thomson Reuters Brasil,
2020. E-book. Acesso restrito via base de dados Thomson Reuters.
FONTES, Edison. Praticando a segurança da informação. Rio de Janeiro: Brasport, 2008.

6
FRAZÃO, Ana; TEPEDINO, Gustavo; OLIVA, Milena Donato. Lei geral de proteção de
dados pessoais e suas repercussões no direito brasileiro. 1. ed. São Paulo: Revista dos
Tribunais, 2019.
GODINHO, Adriano Marteleto; QUEIROGA NETO, Genésio Rodrigues de; TOLÊDO, Rita
de Cássia de Morais. A responsabilidade civil pela violação a dados pessoais. Revista
IBERC, v. 3, n. 1, 3 abr. 2020.
GODOY, Cláudio Luiz Bueno. A responsabilidade civil na era digital. In: CONGRESSO
INTERNACIONAL DE RESPONSABILIDADE CIVIL DO IBERC, 3., 2019. Anais [...] São
Paulo [S. l.]: 2019.
GONÇALVES, Carlos Roberto. Direito civil brasileiro: responsabilidade civil. 12. ed. São
Paulo: Saraiva, 2017. v. 4.
GONÇALVES, Luiz da Cunha. Tratado de direito civil. 2. ed. São Paulo: M. Limonad,
2012. v. 12, t. 2.
GRINOVER, Ada Pellegrini. Código de defesa do consumidor comentado pelos autores

do anteprojeto. 10. ed. Rio de Janeiro: Forense, 2011.
GUEDES, Gisela Sampaio da Cruz; MEIRELES, Rose Melo Venceslau. Término do

tratamento de dados. In: FRAZÃO, Ana; TEPEDINO, Gustavo; OLIVA, Milena Donato. Lei
geral de proteção de dados pessoais e suas repercussões no direito brasileiro. 1. ed. São
Paulo: Thomson Reuters Brasil, 2019. p. 219-241.
KOHLS, Cleize; DUTRA, Luiz Henrique; WELTER, Sandro. LGPD: da teoria à

implementação nas empresas. 1. ed. São Paulo: Rideel, 2021.
MALDONADO, Viviane Nóbrega; BLUM, Renato Opice. LGPD, lei geral de proteção de
dados comentada. 2. ed. São Paulo: Thomson Reuters Revista dos Tribunais, 2020.
MATOS, Ana Carla Harmatiuk; RUZYK, Carlos Eduardo Pianovski. Diálogos entre a lei
geral de proteção de dados e a lei de acesso à informação. In: TEPEDINO, Gustavo;
FRAZÃO, Ana; OLIVA, Milena Donato. Lei geral de proteção de dados pessoais e as suas
repercussões no direito brasileiro. 2. ed. São Paulo: Thomson Reuters Brasil, 2020.
MENDES, Gilmar Ferreira; BRANCO, Paulo Gustavo Gonet. Curso de direito

constitucional. 15. ed. São Paulo: Saraiva, 2020.
MENDES, Laura Schertel. Decisão histórica do STF reconhece o direito fundamental à

proteção de dados pessoais. JOTA, São Paulo, 10 de maio de 2020. Disponível em:
https://www.jota.info/opiniao-e-analise/artigos/decisao-historica-do-stf-reconhece-direito-
fundamental-a-protecao-de-dados-pessoais-10052020 Acesso em: 31 ago. 2021.
MENDES, Laura Schertel; DONEDA, Danilo. Reflexões iniciais sobre a nova lei geral de
proteção de dados. Revista de Direito do Consumidor, São Paulo: Ed. RT, v. 120, n. 27, p.
469-483, nov./dez., 2018.
6
MENDES, Laura Schertel; DONEDA, Danilo; SARLET, Ingo Wolfgang; RODRIGUES

JUNIOR, Otávio Luiz. Tratado de proteção de dados pessoais. Rio de Janeiro: Forense,
Gen, 2021.
MONTEIRO, Renato Leite. Cambridge analytica e a nova era snowden na proteção de dados
pessoais. El País, 20 mar. 2018. Disponível em:
https://brasil.elpais.com/brasil/2018/03/20/tecnologia/1521582374_496225.html. Acesso em:
27 out. 2021.
MULHOLLAND, Caitlin. A LGPD e o fundamento da responsabilidade civil dos agentes de

tratamento de dados pessoais: culpa ou risco? Migalhas, 30 jun. 2020. Disponível em:
https://www.migalhas.com.br/coluna/migalhas-de-responsabilidade-civil/329909/a-lgpd-e-o
fundamento-da-responsabilidade-civil-dos-agentes-de-tratamento-de-dados-pessoais--culpa
ou-risco. Acesso em: 03 nov. 2021.
OLIVEIRA, José Eduardo da Silva. Responsabilidade civil dos agentes de proteção de

dados no Brasil. 49 f. 2019. Trabalho de conclusão de curso (Graduação em Direito) -
Universidade Federal da Paraíba, Santa Rita, 2019. Disponível em:
https://repositorio.ufpb.br/jspui/bitstream/123456789/16584/1/JESO04102019.pdf. Acesso
em: 4 ago. 2021.
PAESANI, Liliana Minardi. Direito e internet: liberdade de informação, privacidade e

responsabilidade civil. 7. ed. São Paulo: Atlas, 2014.
PAMPLONA FILHO, Rodolfo; GAGLIANO, Pablo Stolze. Novo curso de direito civil:
responsabilidade civil. 15. ed. São Paulo: Saraiva, 2017. v. 3.
PAMPLONA FILHO, Rodolfo; GAGLIANO, Pablo Stolze. Novo curso de direito civil:
obrigações. 22. ed. São Paulo: Saraiva, 2021. v. 2.
PANEK, Lin Cristina. Lei geral de proteção de dados nº 13.709/2018: uma análise dos
principais aspectos e do conceito privacidade na sociedade informacional. Trabalho de
conclusão de curso (Graduação em Direito) - Universidade Federal do Paraná, Curitiba, 2019.
Disponível em: https://acervodigital.ufpr.br/bitstream/handle/1884/68114/TCC%20FINAL
%20-
%20lgpd.pdf?isAllowed=y&sequence=1. Acesso em: 04 nov. 2021.
PEREIRA, Caio Mário da Silva. Responsabilidade civil. 12. ed. Rio de Janeiro: Forense,
2018.
PESTANA, Marcio. Direito administrativo brasileiro. 4. ed. São Paulo: Atlas, 2014.
PESTANA, Marcio. Os princípios no tratamento de dados na LGPD: Lei Geral da

Proteção de Dados Pessoais. Conjur, 2020. Disponível em:
https://www.conjur.com.br/dl/artigo- marcio-pestana-lgpd.pdf. Acesso em: 07 set. 2021.
PINHEIRO, Patricia Peck. Proteção de dados pessoais: comentários à lei n. 13.709/2018

(LGPD). 2. ed. São Paulo: Saraiva Educação, 2020.
6
RAMINELLI, Francieli Puntel; RODEGHERI, Letícia Bodanese. A proteção de dados

pessoais na internet no Brasil: análise de decisões proferidas pelo supremo tribunal federal.
Revista Cadernos do Programa de Pós-Graduação em Direito PPGDir: UFRGS, Porto
Alegre, v. 11, n. 2, 2016. Disponível em: http://seer.ufrgs.br/ppgdir/article/view/61960/39936
Acesso em 15 ago. 2021.
REALE, Miguel. Lições preliminares de direito. 27. ed. São Paulo: Saraiva, 2003.
RODRIGUES, Silva. Direito civil: parte geral. 28. ed. São Paulo: Saraiva, 2009.
SÃO PAULO. Tribunal de Justiça. Apelação Cível nº 1024016-52.2020.8.26.0405, A. M. S.

Relator: Des. Kioirsi Chicuta. São Paulo, 21 out. 2021. Disponível em:
https://esaj.tjsp.jus.br/cjsg/getArquivo.do?cdAcordao=15122429&cdForo=0. Acesso em: 14
de nov. de 2021.
SÃO PAULO. Tribunal de Justiça. Apelação Cível nº 1024481-61.2020.8.26.0405, Cleiton

de Carvalho Borges. Relator: Des. Luiz Guilherme Costa Wagner. São Paulo, 23 ago. 2021.
Disponível em: https://esaj.tjsp.jus.br/cjsg/getArquivo.do?cdAcordao=14963791&cdForo=0.
Acesso em: 14 nov. 2021.
SÃO PAULO. Tribunal de Justiça. Processo Digital nº: 1080233-94.2019.8.26.0100.

Indenização por Dano Moral. Juíza: Tonia Yuka Koroku. São Paulo, 29 set. 2020. Disponível
em: https://www.conjur.com.br/dl/compartilhar-dados-consumidor-terceiros.pdf. Acesso em:
14 nov. 2021.
SARLET, Ingo Wolfgang; MARINONI, Luiz Guilherme; MITIDIERO, Daniel. Curso de

direito constitucional. 6. ed. São Paulo: Saraiva, 2017.
SCALETSCKY, Rodrigo Litvin. A responsabilidade civil dos agentes de tratamento de

dados pessoais no âmbito da lei nº 13.709/2018. 32 f. 2020. Trabalho de conclusão de curso.
(Graduação em Direito) - Universidade Católica do Rio Grande do Sul, Porto Alegre, 2020.
Disponível em: https://www.pucrs.br/direito/wp-
content/uploads/sites/11/2021/01/rodrigo_scaletscky.pdf. Acesso em: 17 ago. 2021.
SCHREIBER, Anderson. Responsabilidade civil na lei geral de proteção de dados

pessoais. In: BIONI, Bruno Ricardo (org.). Tratado de proteção de dados pessoais. 1. Rio
de Janeiro: Forense, 2020. v. 1.
SCHREIBER; Anderson. Direitos da personalidade. 3. ed. São Paulo: Grupo GEN, 2014. E-
book. Acesso restrito via Minha biblioteca.
SOMBRA, Thiago Luís Santos. Fundamentos da regulação da privacidade e proteção de

dados pessoais: pluralismo jurídico e transparência em perspectiva. São Paulo: Revista dos
Tribunais, 2019.
TAMBOSI, Paulo Vitor Petris. Responsabilidade civil pelo tratamento de dados pessoais
conforme a lei geral de proteção de dados (LGPD): subjetiva ou objetiva? Trabalho
conclusão de curso (Graduação em Direito) Universidade Federal de Santa Catarina,
Florianópolis, 2021. Disponível em: https://repositorio.ufsc.br/handle/123456789/223444.
Acesso em: 29 ago. 2021.
7
TARTUCE, Flávio. Responsabilidade civil. 3. ed. Rio de Janeiro: Forense, 2021.
TASSO, Fernando Antonio. A responsabilidade civil na lei geral de proteção de dados e sua
interface com o código civil e o código de defesa do consumidor. Cadernos Jurídicos, São
Paulo, v. 21, n. 53, p. 97-115, jan./mar., 2020. Disponível em:
https://www.tjsp.jus.br/download/EPM/Publicacoes/CadernosJuridicos/ii_1_interface_entre_a
_lgpd.pdf?d=637250344175953621. Acesso em: 31 out. 2021.
VAINZOF, Rony. Disposições preliminares. In: MALDONADO, Viviane Nóbrega; BLUM,

Renato Opice. Lei geral de proteção de dados comentada. 2. ed. rev., atual e ampl. São
Paulo: Thomson Reuters Brasil, 2020.
VENOSA, Silvio de Salvo. Direito civil: obrigações e responsabilidade civil. 21. ed. Rio de
Janeiro: Forense, 2021.
ZANON, João Carlos. Direito à proteção dos dados pessoais. São Paulo: Revista dos
Tribunais, 2013.

Giovana Raulino Cunha - LGPD e Responsabilidade Civil Dos Agentes de Proteção de Dados - TCC - FINAL

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Giovana Raulino Cunha - LGPD e Responsabilidade Civil Dos Agentes de Proteção de Dados - TCC - FINAL

Enviado por

Direitos autorais:

Formatos disponíveis

UNIVERSIDADE DO SUL DE SANTA CATARINA

LEI GERAL DE PROTEÇÃO DE DADOS E A RESPONSABILIDADE CIVIL DOS

LEI GERAL DE PROTEÇÃO DE DADOS E A RESPONSABILIDADE CIVIL DOS

Trabalho de Conclusão de Curso apresentado

Orientador: Prof. Jeferson Puel, Me.

LEI GERAL DE PROTEÇÃO DE DADOS E A RESPONSABILIDADE CIVIL DOS

Este Trabalho de Conclusão de Curso foi

Florianópolis, 22 de novembro de 2021.

Professor e orientador Jeferson Puel, Me.

Prof. Nome do Professor, titulação

Prof. Nome do Professor, titulação

LEI GERAL DE PROTEÇÃO DE DADOS E A RESPONSABILIDADE CIVIL DOS

Florianópolis, 22 de novembro de 2021.

GIOVANA RAULINO CUNHA

Expresso especial agradecimento ao Professor Jeferson Puel, pelo exemplo de

O presente trabalho tem como objetivo principal verificar na legislação nacional a

ANPD Autoridade Nacional de Proteção de Dados

A tecnologia na última década desempenha um papel relevante na sociedade. Com

2 LEI GERAL DE PROTEÇÃO DE DADOS

A proteção de dados pessoais, assim como a privacidade, são prerrogativas garantidas

Em razão da evolução tecnológica da sociedade, as novas tecnologias de transmissão,

expansão do conhecimento e a facilidade de acesso a estes, oportunizado pelo salto

A LGPD tem como objetivo fundamental a proteção dos direitos fundamentais de

tecnologias para a proteção de dados. Essa evolução na tecnologia e na capacidade

A transmissão, coleta, armazenamento e processamento de dados pessoais coloca em

O direito à privacidade é constitucionalmente assegurado (art. 5º, X da CRFB) em

personalidade. Assim, convém apresentar algumas considerações a respeito desses direitos

A Constituição da República Federativa do Brasil prevê que é livre a manifestação do

ser humano realizadas por algoritmos, mediante potentes processadores de dados

2.2.3 Direito ao livre desenvolvimento da personalidade da pessoa natural

A Convenção 108 do Conselho da Europa para a Proteção das Pessoas Singulares, no

com o objetivo de equilibrar os direitos de proteção, de defesa e de participação do indivíduo

2.3 ASPECTOS RELEVANTES DA LEI GERAL DE PROTEÇÃO DE DADOS

Para que o objetivo fundamental da Lei Geral de Proteção de Dados, de garantir os

Os princípios jurídicos são enunciações normativas de valor genérico, que

caráter obrigacional), de forma a relacionar posteriormente em seus incisos, os princípios

2.3.2 Definições de dados pessoais e outras terminologias

Para compreender a aplicação das normas de proteção de dados pessoais, é preciso

coleta e tratamento de dados, entre controlador, titulares e a Autoridade Nacional de Proteção

2.3.3 Requisitos do tratamento e coleta de dados pessoais

Compreendidos as principais terminologias dos elementos da relação de coleta e

a partir do momento que podem demonstrar e justificar suas atividades em possível

A responsabilidade civil é um instituto relativo ao ramo do direito obrigacional, que

3.1 HISTÓRICO DA RESPONSABILIDADE CIVIL

3.2 PRESSUPOSTOS LEGAIS

Os pressupostos são os elementos caracterizadores da responsabilidade civil, que

A palavra “responsabilidade” origina-se do latim respondere, que encerra a concepção

3.3.1 Civil e Penal

Uma ação ou uma omissão pode acarretar a responsabilidade civil do agente, ou

3.3.2 Subjetiva e Objetiva

Conforme o fundamento que se dê à responsabilidade, a culpa será ou não considerado

A responsabilidade civil subjetiva pressupõe a culpa como fundamento. A prova da

Tem-se no Brasil uma regra geral dual de responsabilidade civil, em que a

3.3.3 Contratual e Extracontratual

Fixados os pressupostos genéricos da responsabilidade civil, abstrai-se das hipóteses

3.4 EXCLUDENTES DE RESPONSABILIDADE

Como causas excludentes de responsabilidade civil devem ser entendidas as

Art. 188. Não constituem atos ilícitos:

O estado de necessidade é uma das causas excludentes de responsabilidade civil, que

Já na legítima defesa (I), o individuo encontra-se diante de uma situação atual ou

responsabilidade, pois essa espécie de cláusula ataca o nexo de causalidade da conduta ao

4 A RESPONSABILIDADE CIVIL DOS AGENTES DE PROTEÇÃO DE DADOS