A publicação da Lei Geral de Proteção de Dados Pessoais (LGPD)[1] suscitou diversos debates relevantes. Um dos mais enriquecedores refere-se ao regime de responsabilidade civil aplicável ao agente de tratamento de dados pessoais, principalmente devido ao fato de que, apesar da tradição legislativa brasileira sobre o tema, o legislador não foi explícito ao estabelecer se o fator de imputação é objetivo ou subjetivo, ou seja, se é necessária a comprovação de culpa para responsabilizar o agente de tratamento pelos danos causados aos titulares dos dados. Essa omissão fez com que a doutrina se concentrasse, em grande medida, unicamente nesse ponto.
O debate sobre a responsabilidade civil do agente de tratamento de dados pessoais deve ser ampliado, a fim de promover a concretização do direito fundamental à proteção de dados pessoais, previsto no artigo 5º, inciso LXXIX, da Constituição Federal. Para tanto, é fundamental considerar o grau de risco da atividade de tratamento de dados em sua especificidade, bem como a interação entre prevenção e responsabilização.
Certamente, existem inúmeros graus de risco na atividade de tratamento de dados pessoais, considerando os tipos de dados tratados, a finalidade, o contexto, as ferramentas utilizadas, o volume de dados, entre outros aspectos relevantes. Por exemplo, o tratamento de dados pessoais realizado por um advogado em relação aos dados de seus clientes para propositura de medida judicial apresenta risco mínimo em comparação ao tratamento de dados pessoais realizado por uma empresa multinacional, com uso de inteligência artificial, a fim de classificar a probabilidade de seus empregados solicitarem demissão.[2] Evidentemente, os mecanismos de prevenção e reparação não podem desconsiderar tais circunstâncias e o nível de risco envolvido.
A Lei Geral de Proteção de Dados Pessoais (LGPD) é um diploma legal essencialmente preventivo, conforme evidenciado em praticamente todo o seu texto, especialmente nos princípios da prevenção, segurança, responsabilização e prestação de contas (art. 6º, VII, VIII e X). A leitura desses dispositivos deixa clara a obrigação do agente de tratamento de dados pessoais de adotar “medidas técnicas e administrativas aptas”, “eficazes e capazes” para “prevenir a ocorrência de danos”. Portanto, é possível afirmar que a aplicação da LGPD, sob sua melhor interpretação, cria um sistema de responsabilidade civil flexível, congruente aos riscos gerados pela atividade de tratamento de dados em sua especificidade. O fator determinante que desencadeia os efeitos jurídicos é o risco concreto da atividade de tratamento de dados desenvolvida. Ao exigir medidas adequadas e eficazes para a prevenção efetiva de danos, a LGPD demanda que se leve em consideração o risco específico da atividade. Afinal, aptidão e adequação são qualidades que somente podem ser avaliadas diante das circunstâncias concretas.
Isso implica a adoção da chamada “abordagem baseada em risco”, que, complementando a abordagem baseada em direitos, exige a tomada de medidas concretas e adequadas à efetiva redução dos riscos. Dessa forma, a extensão dos deveres de prevenção e precaução do agente de tratamento de dados é calibrada de acordo com o risco específico da atividade de tratamento de dados pessoais. Há, portanto, uma “escalabilidade” dos deveres de prevenção impostos aos agentes de tratamento. [3]
Consequentemente, em relação à reparação dos danos já ocorridos, adota-se uma responsabilidade flexível, na qual o regime de imputação de danos, seja em relação ao fator de imputação ou às excludentes do nexo de causalidade, será mais rigoroso para o ofensor quanto maior for o risco específico da atividade.[4] Assim, pode-se considerar um regime mais brando (baseado na culpa comprovada) para situações de risco mínimo, até a responsabilidade civil objetiva agravada, que considera os detentores de informações responsáveis por quaisquer danos decorrentes dos dados pessoais por eles inferidos ou resultantes da criação de perfis dos titulares (criação da circunstância danosa)[5].
É crucial destacar que os chamados “Senhores da Informação”[6] atuam de forma a criar riscos extremamente elevados para os direitos da personalidade, inclusive valendo-se do que Orla Lynskey denomina “poder de dados”, decorrente do controle exercido sobre os fluxos de dados, o qual envolve principalmente o poder de criar perfis dos titulares de dados e de influenciar decisivamente suas opiniões.[7]
Há uma tendência considerável, no direito relacionado às tecnologias digitais, de considerar o grau de risco para calibrar os deveres e obrigações.[8] Embora exista um paralelismo, trata-se de uma abordagem diferente, uma vez que os diplomas legais e projetos em andamento se baseiam em dados objetivos pré-determinados para estabelecer os graus de risco (número de usuários, tipos de aplicação etc.). O que se defende aqui é a análise judicial e/ou administrativa do risco concreto da atividade, levando em conta todos os elementos contextuais relevantes.
Essa abordagem traz o grande benefício de compreender que a adoção de medidas eficazes de antecipação e prevenção de danos deve ser considerada no estabelecimento do fator de imputação do dever de indenizar. Dessa forma, o agente de tratamento de dados que implementa medidas de gerenciamento de riscos que efetivamente os reduzam será beneficiado com um regime de responsabilidade civil mais brando, uma verdadeira sanção positiva premial[9] ao seu comportamento conforme, o que tende a compensar os investimentos realizados em medidas preventivas.
Com isso, cria-se uma verdadeira função promocional do direito de danos ao estimular os agentes de tratamento de dados pessoais a investir em prevenção, cuja adoção tem o potencial de promover um verdadeiro direcionamento social, beneficiando a sociedade como um todo. Afinal, os agentes econômicos, como os agentes de tratamento de dados pessoais privados, processam o direito como custo, o que os torna resistentes à observância da legislação. Nessa medida, o Direito deve buscar harmonizar-se com os programas autorregulativos concretos da economia, a fim de que ocorra o cumprimento espontâneo do comando jurídico e o efetivo direcionamento da sociedade por meio do Direito. [10]
À luz do exposto, o que foi visto como uma omissão do legislador, importa, em uma leitura constitucionalmente adequada, na criação de um sistema de responsabilidade civil apto a enfrentar os desafios atuais ligados à prevenção e reparação de danos relacionados à atividade de tratamento de dados pessoais.
Notas
[1] BRASIL. Lei n. 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília, DF: Presidência da República, 2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso em: 15 abr. 2024.
[2] Ver a respeito: Ferramenta de IA e Machine Learning da Bayer ajudou a reduzir em 23% a saída de colaboradores em um ano | Inovação aberta | Época NEGÓCIOS (globo.com). Acesso em 07 mai. 2024.
[3] Ver a respeito: Karjalainen, Tuulia. All talk, no action? The effect of the GDPR accountability principle on the EU data protection paradigm. European Data Protection Law Review, [s. l.], v. 8, Issue 1, p. 23, 2022a. DOI: https://doi.org/10.21552/edpl/2022/1/6. Disponível em: https://edpl.lexxion.eu/article/edpl/2022/1/6/display/html#8. Acesso em: 01 fev. 2023; Quelle, Claudia. The ‘risk revolution’ in EU data protection law: we can’t have our cake and eat it, too. In: LEENES, R.; VAN BRAKEL, R.; GUTWIRTH, S.; DE HERT, P. (eds.). Data protection and privacy: the age of intelligent machines (Hart Publishing, Forthcoming). Tilburg Law School Research Paper No. 17, p. 2, July 11, 2017b. Disponível em: https://ssrn.com/abstract=3000382. Acesso em: 31 jan. 2023; von Grafenstein, Max. Book Review. European Data Protection Law Review, [s. l.], v. 8, Issue 4, passim, 2022. DOI: https://doi.org/10.21552/edpl/2022/4/16. Disponível em: https://edpl.lexxion.eu/article/EDPL/2022/4/16. Acesso em: 01 fev. 2023.
[4] Ver a respeito: BUSATTA, Eduardo Luiz. Dados pessoais e reparação civil. Rio de Janeiro: Forense, 2024.
[5] Ver a respeito da criação da circunstância danosa em: FROTA, Pablo Malheiros da Cunha. Responsabilidade por danos: imputação e nexo de causalidade. Curitiba: Juruá, 2014.
[6] RODOTÀ, Stefano. A vida na sociedade da vigilância: a privacidade hoje. Tradução de Danilo Doneda e Luciana Cabral Doneda. Organização, seleção e apresentação de Maria Celina Bodin de Moraes. São Paulo: Renovar, 2008. p. 68.
[7] Lynskey, Orla. Grappling with “Data Power”: normative nudges from data protection and privacy. Theoretical Inquiries in Law, v. 20, Issue 1, passim, 2019. Disponível em: https://www7.tau.ac.il/ojs/index.php/til/article/view/1613/1714. Acesso em: 09 fev. 2023.
No mesmo sentido:
Richards, Neil; Hartzog, Woodrow. A relational turn for data protection? European Data Protection Law Review, [s. l.], v. 6, Issue 4, p. 492-497, 2020. DOI: https://doi.org/10.21552/edpl/2020/4/5. Disponível em: https://edpl.lexxion.eu/article/edpl/2020/4/5/display/html#3. Acesso em: 01 fev. 2023.
[8] A título de exemplo, a União Europeia regulamentou os serviços digitais (Regulamento (UE) 2022/2065, de 27 de outubro de 2022) incluindo “[o]brigações adicionais dos fornecedores de plataformas em linha de muito grande dimensão e de motores de pesquisa em linha de muito grande dimensão no que se refere à gestão de riscos sistémicos” (Secção 5), conforme se verifica dos Art. 33ºe seguintes, dentre as quais destacam-se: avaliação de riscos sistêmicos anualmente (art. 34º); atenuação de riscos de forma eficaz (art. 35º); criação de mecanismos de resposta em caso de crise (art. 36º); adoção de auditoria independente (art. 36º); transparência acrescida (art. 39º); acesso facilitado aos dados (art. 40º); criação de departamento com função de verificação de conformidade (art. 41º); obrigatoriedade de apresentação de relatórios de transparência (art. 42º); pagamento de taxa de supervisão (art. 43º), dentre outros (EUROPA. Regulamento (EU) 2022/2065 do Parlamento Europeu e do Conselho de 19 de outubro de 2022 relativo a um mercado único para os serviços digitais e que altera a Diretiva 2000/31/CE (Regulamento dos Serviços Digitais). Jornal Oficial da União Europeia, [Portugal], L 277/1, 27 out. 2022b. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32022R2065&from=EN#d1e4187-1-1. Acesso em: 28 mar. 2023, grifo do autor). OBS: Grafia de algumas palavras conforme texto original.
Por outro lado, por meio do Regulamento (UE) 2022/1925, de 12 de outubro de 2022, a União Europeia dispôs sobre a “[…] disputabilidade e equidade dos mercados no setor digital […]”, estabelecendo em seu art. 1º que “[o] presente regulamento tem por objetivo contribuir para o bom funcionamento do mercado interno mediante a previsão de regras harmonizadas que assegurem para todas as empresas, em toda a União, a disputabilidade e a equidade dos mercados no setor digital em que estejam presentes controladores de acesso, em benefício dos utilizadores profissionais e dos utilizadores finais”. E, na forma do art. 3.º, estabelece que uma empresa é considerada como controlador de acesso quando tiver impacto significativo no mercado interno, prestar serviço essencial de plataforma e beneficiar-se de uma posição enraizada e duradoura nas suas operações ou for previsível que possa assim se beneficiar em um futuro próximo (EUROPA. Regulamento (UE) 2022/1925 do Parlamento Europeu e do Conselho, de 14 de setembro de 2022, relativo à disputabilidade e equidade dos mercados no setor digital e que altera as Diretivas (UE) 2019/1937 e (UE) 2020/1828 (Regulamento dos Mercados Digitais). Jornal Oficial da União Europeia, v. 65, L 265/27; passim, 12 out. 2022a. Disponível em: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ:L:2022:265:TOC. Acesso em: 28 mar. 2023. grifo do autor.).
[9] BOBBIO, Norberto. Da estrutura à função: novos estudos de teoria do direito. Barueri, SP: Manole, 2007.
[10] Ver a respeito: TEUBNER, Gunther. Direito, sistema e policontexturalidade. Piracicaba, SP: Editora Unimep, 2005; TEUBNER, Gunther. O direito como sistema autopoiético. Lisboa: Fundação Calouste Gulbenkian, 1993.
Eduardo Luiz Busatta
Pós-doutorando em New Technologies, Law and Social Sciences pela Università Mediterranea di Reggio Calabria (MICHR, Itália). Doutor summa cum laude em Direito Público pela Universidade do Vale do Rio dos Sinos (Unisinos). Mestre em Direito Negocial pela Universidade Estadual de Londrina (UEL). Professor adjunto da Universidade Estadual do Oeste do Paraná (Unioeste). Membro fundador do Instituto Brasileiro de Direito Contratual (IBDCONT). Palestrante em cursos, congressos e seminários jurídicos no Brasil e no exterior. Procurador do Estado do Paraná.