Relações de consumo e as excludentes de responsabilidade civil na LGPD

Por Patricia Helena Martins, Bruna Borghi Tomé e Carolina Vargas Pegas

A Lei Geral de Proteção de Dados pessoais (LGPD) estipulou que os agentes de tratamento — controlador e processador — podem ser responsabilizados civilmente quando causarem danos ao titular de dados.

Muito embora a redação final da LGPD tenha excluído do texto os termos "independentemente de culpa" ou "atividade de risco", a lei não é perfeitamente clara sobre o regime de responsabilidade civil aplicado aos agentes de tratamento, se objetiva ou subjetiva. Haja vista a exclusão do termo "independentemente de culpa", a teoria que prevalece é a de que a responsabilidade seria subjetiva, ou seja, decorrente de dolo, negligência ou imprudência.

No que toca às relações de consumo, a LGPD estabelece que as regras de responsabilidade civil previstas no Código de Defesa do Consumidor (CDC) também são aplicáveis, o que poderia atrair o regime da responsabilidade civil objetiva. Nesse caso, o controlador e o operador podem vir a ser responsabilizados, no contexto de uma relação de consumo que envolva tratamento de dados, quando provados o ato ilícito, o nexo causal e o dano. Como a responsabilidade objetiva independe de culpa, a demonstração de que o agente agiu de forma diligente seria irrelevante para fins de sua responsabilização civil.

A responsabilidade civil dos agentes de tratamento pode, contudo, ser afastada quando se romper o nexo de causalidade entre a conduta dos agentes e o dano causado ao consumidor. O artigo 14, § 3º, do CDC prevê expressamente as seguintes hipóteses de excludente de responsabilidade: 1) quando inexistir defeito na prestação do serviço e 2) quando houver culpa exclusiva do consumidor ou de terceiro.

Trata-se de disposições em linha com as hipóteses de exclusão da responsabilidade civil dos agentes de tratamento previstas na LGPD. A nova lei também estabelece uma terceira possibilidade de exclusão de responsabilidade: quando os agentes de tratamento provarem que não fizeram o tratamento dos dados pessoais que lhes é atribuído pelo consumidor (inciso I do artigo 43 da LGPD).

Para a LGPD, o serviço defeituoso abarca tanto a falha na adoção de medidas de segurança quanto o uso inadequado dos dados para finalidade diversa da que foi informada, assim como violação às demais regras e princípios estabelecidos na LGPD.

Neste ponto, cabe traçar um paralelo entre serviço defeituoso e tratamento de dados irregular. De acordo com o artigo 14, § 1º, do CDC, o serviço é defeituoso quando não fornece a segurança esperada pelo consumidor. No entanto, no âmbito da relação de consumo, é necessário, ainda, para aferir o defeito no serviço, averiguar as circunstâncias relevantes que qualificaram aquela prestação de serviço, como o modo de seu fornecimento e a época em que foi fornecido, além dos resultados e riscos que podem razoavelmente ser esperados.

Por sua vez, a LGPD, em seu artigo 44, estabelece, de modo similar ao CDC, que o tratamento de dados é considerado irregular quando deixar de observar as normas dispostas na LGPD ou quando não for fornecida a segurança que o titular de dados dele pode esperar. Igualmente, a LGPD também dispõe que devem ser levadas em consideração, para avaliar se o tratamento de dados é irregular, as circunstâncias relevantes que caracterizaram aquele tratamento de dados, como o modo pelo qual foi realizado e as técnicas disponíveis à época na qual foi realizado, além dos resultados e riscos que dele podem ser razoavelmente esperados.

Nesse sentido, quando os agentes de tratamento procederem ao tratamento de dados observando efetivamente a LGPD e fornecendo a segurança esperada pelo consumidor/titular de dados, não haveria que se falar em defeito no serviço, afastando-se a responsabilidade civil dos agentes de tratamento nos termos do artigo 14, § 3º, I, do CDC. Evidentemente, a regularidade do tratamento de dados e a inexistência de defeito no serviço dependerão da aferição da expectativa de segurança criada para o consumidor titular de dados e dos riscos que razoavelmente se esperam.

Todavia, como se sabe, nenhuma ferramenta de segurança da informação é infalível e, pois, não se pode falar em expectativa de segurança absoluta no que se refere às medidas protetivas adotadas no tratamento de dados.

A responsabilidade civil dos agentes de tratamento pelos danos ao consumidor decorrentes de tratamento irregular por falha de segurança pode ser, portanto, mitigada ou afastada se restar comprovado que foram efetivamente adotadas medidas de segurança razoáveis e eficientes para proteger os dados pessoais.

Ainda em relação às excludentes de responsabilidade, a culpa exclusiva da vítima pode vir a gerar alguns questionamentos.

Haverá casos em que o dano decorreu por causa de conduta exclusiva da vítima, que pode ter agido com imprudência, por exemplo, ao fornecer seus dados a site que era claramente falso, sem ter tomado os devidos cuidados, afastando-se, portanto, o nexo causal com a conduta dos agentes de tratamento.

Os tribunais já se manifestaram em situações parecidas. A exemplo da apelação 1004216-07.2016.8.26.0299, o Tribunal de Justiça de São Paulo entendeu que seria hipótese de aplicação do artigo 14, § 3º, II, do CDC a situação na qual a consumidora "acessou sítio eletrônico falso e forneceu seus dados bancários, sem antes observar as medidas de segurança mínimas informadas pelas instituições bancárias".

Enfim, a harmonização dos interesses dos participantes das relações de consumo e compatibilização da proteção do consumidor com a necessidade de desenvolvimento econômico e tecnológico são a base principiológica do sistema de proteção e defesa do consumidor no Brasil e é com vistas a concretizar essa harmonização que se deve avaliar a questão da responsabilidade civil dos agentes de tratamento quando da interseção entre LGPD e CDC.

Conjur

Galeria de Imagens
Outras Notícias
Denúncia espontânea não se aplica em caso de compensação, decide Carf
Carf afasta PIS sobre correção de provisão técnica de sociedade de capitalização
Portaria sobre compensação tributária deve gerar judicialização, dizem advogados
STF decide que crédito presumido de IPI a exportadoras não integra o PIS/Cofins
Receita Federal regulamenta a ''Autorregularização Incentivada de Tributos'' para contribuintes com débitos fiscais
Os detalhes da MP que limita compensação tributária e reonera a folha
Entra em vigor lei que altera regras de tributação de incentivos fiscais
Ministério da Fazenda anuncia medidas que asseguram a sustentabilidade fiscal
Lula sanciona com veto lei complementar que faz alterações na Lei Kandir
MP de reoneração da folha de salários prevê alíquota cheia a partir de 2028
Justiça Federal condena dois empresários do ramo frigorífico a penas de quatro anos por sonegação fiscal
Crédito presumido de IPI no PIS/Cofins: vence posição próxima à 'tese do século'
Após votação histórica, Congresso promulga a Reforma Tributária. Veja o que muda nos impostos
RFB regulamenta regularização de créditos tributários decorrentes de decisões em favor da Fazenda Nacional com base no voto de qualidade no CARF
Repetitivo vai decidir sobre legalidade da inclusão de PIS e Cofins na base de cálculo do ICMS
STJ decide que PLR de diretor não pode ser abatida do IRPJ e da CSLL
Fazenda ainda luta por manutenção de vetos à multa qualificada e garantias
Câmara aprova medida provisória da tributação dos incentivos fiscais
Novas restrições ao uso de prejuízo fiscal e base de cálculo negativa na transação
Sancionada lei com nova tributação para fundos de investimentos e offshores
ICMS-ST também não compõe a base de cálculo de PIS e Cofins, decide STJ