Por Patricia Helena Martins, Bruna Borghi Tomé e Carolina Vargas Pegas
A Lei Geral de Proteção de Dados pessoais (LGPD) estipulou que os agentes de tratamento — controlador e processador — podem ser responsabilizados civilmente quando causarem danos ao titular de dados.
Muito embora a redação final da LGPD tenha excluído do texto os termos "independentemente de culpa" ou "atividade de risco", a lei não é perfeitamente clara sobre o regime de responsabilidade civil aplicado aos agentes de tratamento, se objetiva ou subjetiva. Haja vista a exclusão do termo "independentemente de culpa", a teoria que prevalece é a de que a responsabilidade seria subjetiva, ou seja, decorrente de dolo, negligência ou imprudência.
No que toca às relações de consumo, a LGPD estabelece que as regras de responsabilidade civil previstas no Código de Defesa do Consumidor (CDC) também são aplicáveis, o que poderia atrair o regime da responsabilidade civil objetiva. Nesse caso, o controlador e o operador podem vir a ser responsabilizados, no contexto de uma relação de consumo que envolva tratamento de dados, quando provados o ato ilícito, o nexo causal e o dano. Como a responsabilidade objetiva independe de culpa, a demonstração de que o agente agiu de forma diligente seria irrelevante para fins de sua responsabilização civil.
A responsabilidade civil dos agentes de tratamento pode, contudo, ser afastada quando se romper o nexo de causalidade entre a conduta dos agentes e o dano causado ao consumidor. O artigo 14, § 3º, do CDC prevê expressamente as seguintes hipóteses de excludente de responsabilidade: 1) quando inexistir defeito na prestação do serviço e 2) quando houver culpa exclusiva do consumidor ou de terceiro.
Trata-se de disposições em linha com as hipóteses de exclusão da responsabilidade civil dos agentes de tratamento previstas na LGPD. A nova lei também estabelece uma terceira possibilidade de exclusão de responsabilidade: quando os agentes de tratamento provarem que não fizeram o tratamento dos dados pessoais que lhes é atribuído pelo consumidor (inciso I do artigo 43 da LGPD).
Para a LGPD, o serviço defeituoso abarca tanto a falha na adoção de medidas de segurança quanto o uso inadequado dos dados para finalidade diversa da que foi informada, assim como violação às demais regras e princípios estabelecidos na LGPD.
Neste ponto, cabe traçar um paralelo entre serviço defeituoso e tratamento de dados irregular. De acordo com o artigo 14, § 1º, do CDC, o serviço é defeituoso quando não fornece a segurança esperada pelo consumidor. No entanto, no âmbito da relação de consumo, é necessário, ainda, para aferir o defeito no serviço, averiguar as circunstâncias relevantes que qualificaram aquela prestação de serviço, como o modo de seu fornecimento e a época em que foi fornecido, além dos resultados e riscos que podem razoavelmente ser esperados.
Por sua vez, a LGPD, em seu artigo 44, estabelece, de modo similar ao CDC, que o tratamento de dados é considerado irregular quando deixar de observar as normas dispostas na LGPD ou quando não for fornecida a segurança que o titular de dados dele pode esperar. Igualmente, a LGPD também dispõe que devem ser levadas em consideração, para avaliar se o tratamento de dados é irregular, as circunstâncias relevantes que caracterizaram aquele tratamento de dados, como o modo pelo qual foi realizado e as técnicas disponíveis à época na qual foi realizado, além dos resultados e riscos que dele podem ser razoavelmente esperados.
Nesse sentido, quando os agentes de tratamento procederem ao tratamento de dados observando efetivamente a LGPD e fornecendo a segurança esperada pelo consumidor/titular de dados, não haveria que se falar em defeito no serviço, afastando-se a responsabilidade civil dos agentes de tratamento nos termos do artigo 14, § 3º, I, do CDC. Evidentemente, a regularidade do tratamento de dados e a inexistência de defeito no serviço dependerão da aferição da expectativa de segurança criada para o consumidor titular de dados e dos riscos que razoavelmente se esperam.
Todavia, como se sabe, nenhuma ferramenta de segurança da informação é infalível e, pois, não se pode falar em expectativa de segurança absoluta no que se refere às medidas protetivas adotadas no tratamento de dados.
A responsabilidade civil dos agentes de tratamento pelos danos ao consumidor decorrentes de tratamento irregular por falha de segurança pode ser, portanto, mitigada ou afastada se restar comprovado que foram efetivamente adotadas medidas de segurança razoáveis e eficientes para proteger os dados pessoais.
Ainda em relação às excludentes de responsabilidade, a culpa exclusiva da vítima pode vir a gerar alguns questionamentos.
Haverá casos em que o dano decorreu por causa de conduta exclusiva da vítima, que pode ter agido com imprudência, por exemplo, ao fornecer seus dados a site que era claramente falso, sem ter tomado os devidos cuidados, afastando-se, portanto, o nexo causal com a conduta dos agentes de tratamento.
Os tribunais já se manifestaram em situações parecidas. A exemplo da apelação 1004216-07.2016.8.26.0299, o Tribunal de Justiça de São Paulo entendeu que seria hipótese de aplicação do artigo 14, § 3º, II, do CDC a situação na qual a consumidora "acessou sítio eletrônico falso e forneceu seus dados bancários, sem antes observar as medidas de segurança mínimas informadas pelas instituições bancárias".
Enfim, a harmonização dos interesses dos participantes das relações de consumo e compatibilização da proteção do consumidor com a necessidade de desenvolvimento econômico e tecnológico são a base principiológica do sistema de proteção e defesa do consumidor no Brasil e é com vistas a concretizar essa harmonização que se deve avaliar a questão da responsabilidade civil dos agentes de tratamento quando da interseção entre LGPD e CDC.