A responsabilidade civil na LGPD (Lei Geral de Proteção de Dados Pessoais) é abordada sobretudo nos arts. 42 a 45 da Lei 13.709/2018, que tratam sobre a responsabilidade dos agentes de tratamento e sobre o ressarcimento de danos ao titular de dados pessoais.
A regra legal é que sempre que o controlador ou o operador que, ao tratar dados pessoais, violar a LGPD e causar qualquer tipo de dano patrimonial, moral, individual ou coletivo, é obrigado a repará-lo.
Neste artigo, vamos explorar em detalhes o regime de responsabilidade civil na LGPD, analisando as disposições legais, as hipóteses de exclusão de culpa e os impactos para empresas e titulares de dados, analisando os seguintes tópicos:
- O que é responsabilidade civil na LGPD?
- Quem responde pelos danos causados
- Hipóteses de exclusão da responsabilidade civil na LGPD
- O tratamento irregular de dados pessoais e seus impactos
- Relação da responsabilidade civil na LGPD com outras normas e direitos do consumidor
Iniciemos com o conceito de responsabilidade civil na LGPD.
O que é responsabilidade civil na LGPD?
Responsabilidade civil é o dever de reparar danos causados a terceiros em razão de uma conduta ilícita ou de um risco assumido.
No caso da LGPD, esse conceito se aplica ao tratamento inadequado de dados pessoais, gerando o dever de indenizar os titulares prejudicados.
A responsabilidade civil na LGPD estabelece que os agentes de tratamento (controladores e operadores) podem ser responsabilizados se causarem dano patrimonial, moral, individual ou coletivo em razão do descumprimento da legislação.
Responsabilidade Civil na LGPD em comparação com outros diplomas legais
A responsabilidade civil na LGPD possui semelhanças e diferenças em relação a outros regimes jurídicos:
- Código Civil: A responsabilidade civil no Código Civil é baseada nos princípios da culpa e do risco, podendo ser subjetiva (exige comprovação de dolo ou culpa) ou objetiva (independente de culpa, baseada no risco da atividade).
- Código de Defesa do Consumidor: O CDC adota um regime de responsabilidade objetiva para fornecedores de produtos e serviços, o que pode se aplicar a empresas que tratam dados de consumidores.
- Marco Civil da Internet: Estabelece regras sobre a responsabilidade de provedores de internet em relação a conteúdos de terceiros, mas não se aplica diretamente ao tratamento de dados pessoais como a LGPD.
A LGPD adota tanto a responsabilidade subjetiva quanto a objetiva, dependendo da situação. Controladores e operadores podem responder solidariamente, e há exceções que podem excluir a responsabilidade, como veremos nos próximos tópicos.
Quem responde pelos danos causados
O art. 42 da LGPD dispõe que o controlador e o operador de dados podem ser responsabilizados pelos danos causados a terceiros em razão do tratamento inadequado ou ilícito de dados pessoais.
A lei prevê a obrigação de indenizar tanto danos patrimoniais quanto danos morais, individuais ou coletivos, garantindo maior proteção aos titulares de dados.
Relembrando o texto sobre agentes de tratamento:
- Controlador: Pessoa física ou jurídica que toma as decisões sobre o tratamento de dados pessoais. É o principal responsável pela conformidade com a LGPD.
- Operador: Pessoa física ou jurídica que realiza o tratamento de dados em nome do controlador, seguindo suas instruções.
Ambos podem ser responsabilizados, mas de forma diferenciada:
- O controlador responde diretamente pelos danos causados, já que tem o poder de decisão sobre os dados.
- O operador pode ser responsabilizado se descumprir as instruções do controlador ou se agir com negligência, imprudência ou dolo no tratamento dos dados.
O tipo de responsabilidade civil na LGPD pode ser considerado um modelo misto, variando entre a responsabilidade subjetiva e a solidária:
- Responsabilidade subjetiva: A regra geral exige que seja comprovada a culpa ou dolo do controlador ou operador para que haja indenização.
- Responsabilidade solidária: O operador pode responder solidariamente com o controlador quando não seguir as diretrizes estabelecidas ou quando for comprovado que contribuiu para o dano.
Para ilustrar a aplicação do art. 42, vejamos alguns exemplos:
- Vazamento de dados por falha de segurança: Se uma empresa controladora não adotar medidas de proteção adequadas e os dados de seus clientes forem expostos, ela pode ser responsabilizada.
- Uso indevido de dados pessoais: Se uma empresa compartilhar informações de seus clientes com terceiros sem consentimento ou outra base legal, poderá ser processada por danos morais e materiais.
- Operador que descumpre instruções do controlador: Um provedor de serviços contratado para armazenar dados que vaza informações por negligência pode ser responsabilizado solidariamente.
O art. 42 estabelece a base para a responsabilização civil na LGPD, mas existem hipóteses que podem excluir a responsabilidade do controlador e do operador, conforme previsto no art. 43, que será tratado a seguir.
Hipóteses de exclusão da responsabilidade civil na LGPD
O art. 43 da LGPD estabelece as situações em que o controlador e o operador podem ser isentos de responsabilidade, mesmo quando ocorre um incidente envolvendo dados pessoais.
O espírito deste dispositivo legal é reconhecer que nem todo dano decorrente do tratamento de dados deve gerar indenização automática, sendo necessário analisar a origem do problema e a conduta dos envolvidos.
De acordo com o artigo, o controlador e o operador não serão responsabilizados caso provem:
- que não realizaram o tratamento de dados pessoais que lhes é atribuído;
- que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou
- que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
Para que a exclusão da responsabilidade seja reconhecida, o controlador ou o operador devem apresentar provas concretas que demonstrem que a falha não decorreu de sua conduta. Isso pode incluir:
- Relatórios de auditoria e conformidade com a LGPD.
- Evidências de que adotaram medidas técnicas e organizacionais adequadas.
- Registros de segurança que comprovem tentativas de ataques externos.
As hipóteses de exclusão da responsabilidade civil na LGPD mostram como é essencial para as empresas implementar boas práticas de governança e manter registros detalhados sobre as medidas de segurança adotadas. Isso pode ser crucial para afastar a responsabilidade em casos de incidentes.
Embora o art. 43 estabeleça formas de exclusão da responsabilidade, a LGPD também prevê situações em que o tratamento ilícito de dados gera obrigação automática de reparação, conforme veremos a seguir.
O tratamento irregular de dados pessoais e seus impactos
O art. 44 da LGPD estabelece que o tratamento de dados pessoais será considerado ilícito sempre que não estiver em conformidade com a legislação ou quando não atender às finalidades específicas e legítimas para as quais os dados foram coletados.
Nessas situações, que incluem a violação aos princípios da LGPD, o controlador e o operador podem ser responsabilizados automaticamente pelos danos causados.
O art. 44 dispõe que o tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:
- o modo pelo qual é realizado;
- o resultado e os riscos que razoavelmente dele se esperam;
- as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.
Por exemplo, um tratamento realizado sem uma das bases legais válidas ou que fira algum dos 11 princípios da LGPD é considerado ilícito, assim como um que seja incompatível com a finalidade informada ao titular para obtenção de consentimento.
Se o tratamento de dados for considerado ilícito, a princípio a responsabilidade civil do agente de tratamento pode ser presumida, ou seja, sem a necessidade de se provar dolo ou culpa para que haja indenização. Esse modelo se aproxima da responsabilidade objetiva, na qual basta demonstrar que houve um dano e que ele decorreu de um tratamento irregular de dados.
Relação da responsabilidade civil na LGPD com outras normas e direitos do consumidor
O art. 45 estabelece que as disposições sobre responsabilidade civil na LGPD não excluem a aplicação de outras normas que tratam de reparação de danos.
Isso significa que a LGPD não é um regime exclusivo, podendo ser aplicada cumulativamente com outros diplomas legais, tais quais:
- Código Civil: previsão geral da responsabilidade civil subjetiva (art. 186) e objetiva (art. 927, parágrafo único). Há possibilidade de cumulação com a LGPD quando houver dano extracontratual por tratamento ilícito de dados, por exemplo.
- Código de Defesa do Consumidor: aplicável quando o tratamento de dados ocorre em uma relação de consumo. O CDC adota a responsabilidade objetiva (art. 14), o que pode facilitar a reparação de danos sem necessidade de comprovar culpa.
- Marco Civil da Internet: define regras sobre a responsabilidade de provedores de aplicação e conexão no uso da internet. Pode ser usado junto com a LGPD para determinar a responsabilização em casos de vazamento ou uso indevido de dados em plataformas online.
A previsão do art. 45 permite que uma mesma situação gere responsabilidade com base em diferentes normas, aumentando as possibilidades de proteção dos titulares de dados.
Por exemplo, imagine uma empresa de e-commerce que realiza o tratamento indevido de dados pessoais, compartilhando informações sensíveis dos clientes com terceiros sem consentimento. Nesse caso, o titular pode buscar indenização com base na LGPD (tratamento ilícito de dados), no Código de Defesa do Consumidor (violação da relação de consumo e prática abusiva) e até no Código Civil (dano moral e material por ato ilícito).
Diante da possibilidade de múltiplos regimes de responsabilidade, as empresas devem adotar uma abordagem preventiva, garantindo a conformidade não apenas com a LGPD, mas também com as demais legislações aplicáveis.
Conclusão: A Importância da Responsabilidade Civil na LGPD
A responsabilidade civil na LGPD, conforme estabelecida nos arts. 42 a 45, representa um avanço na proteção de dados pessoais no Brasil.
A legislação não apenas determina que controladores e operadores devem adotar boas práticas de segurança e governança, mas também estabelece regras claras de reparação de danos em caso de tratamento irregular de dados.
Ao longo deste artigo, destacamos os seguintes aspectos essenciais:
- O art. 42 estabelece a obrigação de indenizar quando há dano decorrente do tratamento inadequado de dados.
- O art. 43 traz as hipóteses de exclusão da responsabilidade, protegendo controladores e operadores quando o dano não foi causado por sua conduta.
- O art. 44 confirma que o tratamento ilícito de dados pode gerar obrigação automática de reparação, independentemente da comprovação de culpa.
- O art. 45 reforça que a LGPD não exclui a aplicação de outras normas, como o Código de Defesa do Consumidor, o Código Civil e o Marco Civil da Internet, permitindo que os titulares busquem reparação por diferentes vias jurídicas.
Para empresas e demais agentes de tratamento, isso significa que cumprir a LGPD não é apenas uma questão regulatória, mas também uma forma de mitigar riscos jurídicos e financeiros. A adoção de medidas de segurança robustas, o respeito às bases legais de tratamento e a transparência no uso de dados são essenciais para evitar litígios.
Já para os titulares de dados, a responsabilidade civil da LGPD representa um mecanismo poderoso de proteção, garantindo que eventuais danos causados pelo uso inadequado de suas informações possam ser reparados de maneira eficaz.
