Responsabilidade Civil do Controlador/Operador

diante da LGPD

ANPPD - Comitê de Conteúdo Documento Público © Copyright

contato@anppd.org

ANPPD® | Associação Nacional dos Profissionais de Privacidade de Dados

 Índice
Resumo ............................................................................................................................................ 3
Palavras-chave: Dano. Responsabilidade. LGPD. ............................................................................. 3
Abstract ........................................................................................................................................... 3
Introdução......................................................................................................................................... 4
1. Responsabilidade Civil ............................................................................................................ 4
2. Teoria Subjetiva ...................................................................................................................... 4
2.1. Ato Ilícito .......................................................................................................................... 4
2.2. Princípios de privacidade................................................................................................... 5
2.3. Dano ................................................................................................................................. 5
2.4. Nexo Causal ...................................................................................................................... 5
3. Teoria Objetiva .......................................................................................................................... 6
3.1. Teoria do Risco ................................................................................................................. 7
3.2. Culpa Presumida ............................................................................................................... 7
4. Responsabilidade Solidária ..................................................................................................... 7
5. Responsabilidades na LGPD................................................................................................... 8
Conclusão......................................................................................................................................... 9
Referências .................................................................................................................................... 10

ANPPD - Comitê de Conteúdo Documento Público © Copyright

contato@anppd.org

ANPPD® | Associação Nacional dos Profissionais de Privacidade de Dados

 Resumo
O propósito deste artigo é tratar e não esgotar o assunto da responsabilidade civil do
Controlador e/ou operador perante a possíveis danos ao titular dos dados pessoais quando da
inobservância à Lei Geral de Proteção de Dados (LGPD). Responsabilidade Civil é o ato contrário
a lei e causa dano a outrem titular dos dados pessoais, sejas por uma ação ou omissão.
Palavras-chave: Dano. Responsabilidade. LGPD.

Abstract
This article is treated and not exhausted or the liability of the Controller and / or operator may
cause damage to the personal data holder when failure to comply with the General Data
Protection Act (LGPD). Civil Liability is the act contrary to law and causes damage to another
person who holds personal data, whether by an action or omission.

Keywords: Damage. Responsibility. LGPD.

ANPPD - Comitê de Conteúdo Documento Público © Copyright

contato@anppd.org

ANPPD® | Associação Nacional dos Profissionais de Privacidade de Dados

 Introdução

A LGPD trata de maneira direta a responsabilidade administrativa quando a

empresa/ente público deixa de seguir os pressupostos estabelecidos e acaba violando as bases
legais de tratamento de dados pessoais, os objetivos, os fundamentos e os princípios inerentes
à lei.
A responsabilidade Civil está intrinsecamente ligada ao fato ilícito ou até mesmo
lícito do dano causado a terceiro, o titular dos dados, seja por culpa ou não, pois o fato de gerar
dano a outrem sem querer pode caracterizar causa de indenização também, desde que haja o
liame.
Destarte, para que o Controlador/operador seja a eles imputados o dever de indenizar
ante ao ato ilícito provocado deve-se demonstrar o dano e o nexo causal perante a culpa dos agentes
de tratamento de dados pessoais diante das disposições propriamente civis do Código Civil, Lei
10.406/2002, assim como a reparação objetiva disposta no CDC, Lei 8.078/1990.

1. Responsabilidade Civil
A cada período de renovação e mudanças sociais a responsabilidade civil se amolda
a fim de garantir os novos valores incorporados à sociedade, ela é dinâmica.
Cristiano Chaves acompanhado de Nelson Rosenvald e Felipe Braga assim trazem uma ideia
atual sobre o tema:
“A responsabilidade civil é como um edifício em construção, pois o ciclo
de mudanças sociais alterasse a uma velocidade espantosa, afastou-se
da conceituação de abstração e conceitualismo puro, já que sabedoria
não é o mero conhecimento, mas o uso ético dele”.
Assim, na lesão ao direito de outrem gerando dano – moral, material ou estético –
tenta-se reequilibrar o estado passado antes do dano via indenização. Ao evento danoso ora
praticado tem duas teorias a se aplicar – Teoria Subjetiva ou Teoria Objetiva.

2. Teoria Subjetiva
Nesta modalidade teórica a culpa perante o possível ato ilícito só é imputado
quando comprovada por quem alega, ou seja, a vítima tem que provar que o
Controlador/operador são culpados diante do dano sofrido.
Assim a melhor doutrina entende que para caracterizar o dever de indenizar por
parte do autor deve-se estar presente a culpa, o dano e o nexo causal diante do ato ilícito. É a
regra civil e processual.

2.1. Ato Ilícito

A empresa ou ente público são pessoas jurídicas perfeitamente possíveis de serem

rés ou autoras de ações, portanto tem a capacidade de serem imputáveis, ou seja, podem

ANPPD - Comitê de Conteúdo Documento Público © Copyright

contato@anppd.org

ANPPD® | Associação Nacional dos Profissionais de Privacidade de Dados

 sofrer a tutela do estado quando gerar ato contrário ao direito, neste caso caracteriza-se o ato
ilícito.

Explico melhor, o ordenamento jurídico faz uso do conceito clássico de ilícito onde
quem causa dano a outrem tem o dever de indenizar mesmo por ação ou omissão voluntária,
negligência ou imprudência, ainda que exclusivamente moral.

Logo, uma vez um dado pessoal vazado, capturado, hackeado e caído em mãos
erradas podem levar a vários inconvenientes aos titulares.

2.2. Princípio de privacidade

Todo o ato na teoria subjetiva tem como pano de fundo a prudência e diligência,
pois o dano deve ter sido realizado por ação ou omissão do agente causador –
controlador/operador – e provado pela vítima.

Portanto, o agente causador do dano deve ter agido com dolo, ou seja,
intencionalmente violou o dever jurídico com o desejo em ocasionar prejuízo a outrem perante
a um vínculo jurídico preexistente, ou no caso de um vínculo extrajudicial.

A visão subjetiva de culpa está diretamente relacionada com a ideia de

imprudência sendo a falta de cuidado, a negligência por falta dos devidos cuidados inerentes
a determinada circunstâncias, e pôr fim a imperícia perante a falta de qualificação ou
treinamento para desempenha determinada função.

2.3. Dano
Há uma enorme dificuldade provar o que seriam danos triviais de danos injustos,
o certo é que os danos aceitos atualmente não são os do passado não muito distante.
Tomemos os seguintes exemplos, o crime de injuria por meio digital, criação de documentos
com os dados vazados do controlador/operador.
O dano propriamente dito tem uma relação direta com o patrimônio material, mas
ao longo dos tempos outros surgiram como o moral e o estético, o exato é que o dano deve
ser provado e comprovado.
Destarte, o titular da ação na LGPD tem que provar o dano sofrido quando da relação
tratar da aplicação da teoria subjetiva.

2.4. Nexo Causal

O nexo causal estabelece a ligação direta entre a culpa e o dano sofrido pelo o
titular do direito ora violado, percebe-se que na falta de um dos dois, ou seja, não havendo
culpa não terá dolo, eis que só existe na dependência do outro.

ANPPD - Comitê de Conteúdo Documento Público © Copyright

contato@anppd.org

ANPPD® | Associação Nacional dos Profissionais de Privacidade de Dados

 Causa e feito em regra são relacionados com o evento dano. Explica-se, houve o
ato ilícito e o elemento imaterial ou virtual nexo causal da responsabilidade surge como elo de
interligação direta ao evento danoso.
Exemplificando: 1 - Empresa X por negligência deixa vazar dados, é o ato ilícito ante
a LGPD. 2 – Agente B toma posse dos dados e consegui criar vários documentos e posteriores
empréstimos vultosos – é o nexo causal. 3- Titular dos dados tem comprometido sua vida
financeira, nome nos órgãos de defesa do consumidor, é o dano.

Figura 1 – Nexo de causalidade

Fonte: Tartuce (2017)

Destarte, o liame culpa e dano é imprescindível para a comprovação e

responsabilização civil por parte do agente causador. Uma vez não se relacionando o dano a
culpa genérica ou lato sensu inexistirá responsabilidade civil.

3. Teoria Objetiva
A prova diabólica vem dá ensejo a teoria objetiva, uma vez que dificilmente se
conseguia provar a culpa dos empregadores pelos trabalhadores, estas vítimas de acidentes
de trabalho, assim como dados anônimos dificilmente encontram-se os culpados.
Sendo está modalidade como exceção no ordenamento jurídico, ainda, assim entende e
defende o ilustre doutrinador Flávio Tartuce:
“A culpa continua sendo relevante para a responsabilidade civil. Embora
tenha perdido aplicação em uma ampla gama de relações – hoje regida
pela responsabilidade objetiva – a noção de culpa, não em sua versão
psicológica ou moral, mas em sua roupagem contemporânea, continua
desempenhando papel importante na etiologia da responsabilidade
subjetiva”. (Grifou-se)

O que se nota na LGPD quando trata da relação Controlador/operador com o titular

dos dados pessoais é pela a opção da responsabilidade objetiva sendo relação consumerista,
especificações de lei ou do risco criado perante os direitos de outrem.
A responsabilidade civil da teoria objetiva tem a preocupação direta com a vítima afim de
reequilibrar a lesão sofrida, ou seja, provou-se o dano e nexo causal deve o agente indenizar em
consequência do risco criado e da culpa presumida.

ANPPD - Comitê de Conteúdo Documento Público © Copyright

contato@anppd.org

ANPPD® | Associação Nacional dos Profissionais de Privacidade de Dados

 3.1. Teoria do Risco
Tem-se no ordenamento jurídico várias espécies de riscos apontados - risco
proveito, risco criado, risco concorrente, risco integral, risco agravado e o risco da empresa ou
do empreendimento, além da mitigação do risco.
A teoria supra imputa o responsável a reparar o dano, abstendo-se de identificar o
culpado, ou seja, aqui a moralidade do agente e seu comportamento não são levados em
consideração.
Logo, se o risco da atividade do negócio criar um risco a outrem, e destas atividades
surgirem danos injustos, é pacífico no ordenamento jurídico que o controlador/operador será
responsabilizado de maneira objetiva.
Se o risco estiver incluído nas atividades do controlador/operador aplicar-se-á a
culpa presumida.

3.2. Culpa Presumida

Aqui não a que se falar em provar a culpa do agente causador do dano, já que o
ônus de provar o fato é do Controlador/operador que não agiu culposamente, a vítima por ser
a parte vulnerável e hipossuficiente não precisa fazer prova.
A prudência e diligência são intrínsecas aos controladores/operadores e uma vez
os titulares dos dados pessoais sofram danos injustos cabem a eles, os agentes de tratamento
de dados pessoais, provarem não serem os causadores dos danos.
Por mais que provem não serem culpados os agentes de tratamento
controlador/operador, estes terão a obrigação de reparar o dano via indenização ou outro
meio, é a força da responsabilidade objetiva.

4. Responsabilidade Solidária
Na relação havendo mais de um credor ou devedor na mesma obrigação
concorrem cada um com o direito ou obrigação no todo. Explica-se controlador/operador são
os responsáveis em coletar, usar, armazenar e descartar os dados pessoais dos titulares de
dado, caso haja algum dano injusto aos titulares, ambos controlador/operador responderam
pelos prejuízos causados independentemente da teoria aplicada ao caso concreto.
A vantagem para o titular dos dados pessoais nesta relação de responsabilidade é
que ele pode optar em pôr no polo passivo da ação apenas um dos causadores do dano injusto
ou ambos, pois cada um é responsável pelo o todo indenizável.
É verdade que a responsabilidade solidaria não é presumida, o ordenamento jurídico em
regra obriga uma cláusula de pacto ou previsão legal, a LGPD assim como o Código de Defesa do
Consumidor já traz no bojo da lei está previsão.

ANPPD - Comitê de Conteúdo Documento Público © Copyright

contato@anppd.org

ANPPD® | Associação Nacional dos Profissionais de Privacidade de Dados

 5. Responsabilidades na LGPD
A Lei geral de proteção de dados a depender da relação vai aplicar ora a teoria
subjetiva, ora a teoria objetiva, ou seja, numa relação b2b ou b2c.
O dano presente na LGPD obrigando a empresa ou ente público a repará-lo,
aquele, o da empresa, quando da relação de consumo aplicar-se-á a teoria objetiva do risco e
da culpa presumida, este, o do ente público, a teoria objetiva por força constitucional.
Já o dano causado pelo o operador caberá ao controlador se amparar da teoria
subjetiva ou vice-versa afim de afastar a responsabilidade solidaria na relação entre as partes.
Explica-se, houve o dano, o controlador indenizou o titular dos dados, mas o controlador alega
culpa do operador, neste caso deve-se provar a culpa do operador, o mesmo se dá em sentido
reverso.
Deste modo, a relação se der entre o controlador e o titular dos dados pessoais for
consumerista adotará a Responsabilidade Objetiva onde a culpa é presumida em sentido lato,
podendo também ser subjetiva se a relação for puramente civil como na relação condominial.
Por outro lado, se a relação for entre controlador e operador a Responsabilidade é subjetiva
cabendo a quem alegar provar conforme as disposições processuais ou extraprocessuais.

ANPPD - Comitê de Conteúdo Documento Público © Copyright

contato@anppd.org

ANPPD® | Associação Nacional dos Profissionais de Privacidade de Dados

 Conclusão

A Lei Geral de Proteção de Dados se apresenta como um microssistema que dialoga

com todo o ordenamento jurídico onde ela estabelece de maneira direta as sanções
administrativas sem descuidar dos possíveis danos civis e por fim as sanções penais.
O dano disposto na LGPD deve ser analisado sob a ótica subjetiva ou objetiva a
depender do caso concreto e da relação jurídica existente entre as partes envolvidas, o certo
que a responsabilidade em ambos os casos é solidaria entre controlador/operador caso haja
essa distribuição, já que o controlador e operador poder ser o mesmo.
Destarte, o case vai determinar ao operador do direito qual caminho seguir
perante a responsabilidade civil das partes envolvidas, é notório ser de características
subjetivas ou objetivas, disto tem-se clareza.

ANPPD - Comitê de Conteúdo Documento Público © Copyright

contato@anppd.org

ANPPD® | Associação Nacional dos Profissionais de Privacidade de Dados

 Referências
DE FARIAS, Cristiano Chaves. NETTO, Felipe Braga. ROSENVALD, Nelson. Manual de Direito Civil. 4.ed.
Salvador: JusPODIVM, 2019.
NETTO, Felipe Braga. Manual de Direito do Consumidor. 14.ed. Salvador: JusPODIVM, 2019.
TARTUCE, Flávio. Manual de Direito Civil. 7.ed. São Paulo: Gen, 2017.
TARTUCE, Flávio. NEVES, Daniel Amorim Assumpsção. Manual de Direito do Consumidor. 6.ed. São Paulo:
Gen, 2017.
TARTUCE, Flávio. Direito das obrigações e Responsabilidade Civil. 12.ed. São Paulo: Gen, 2017.
TEIXEIRA, Tarcisio. ARMELIN, Ruth Maria Guerreiro da Fonseca. Lei Geral de Proteção de dados
pessoais – comentada artigo por artigo. 1.ed. Salvador: JusPODIVM, 2019.

ANPPD - Comitê de Conteúdo Documento Público © Copyright

contato@anppd.org

ANPPD® | Associação Nacional dos Profissionais de Privacidade de Dados

 CLASSIFICAÇÃO DESSE DOCUMENTO - PÚBLICO

Anielle Martinelli, DPO Davis Alves, Dr.

Diretora de Conteúdos da ANPPD Presidente da ANPPD

Elaborador por:
Dr. Ilderlândio Teixeira, Membro ANPPD

Data de publicação:
02 de dezembro de 2019

ANPPD - Comitê de Conteúdo Documento Público © Copyright

contato@anppd.org

ANPPD® | Associação Nacional dos Profissionais de Privacidade de Dados