De um lado é problemático o pouco conhecimento dos aplicadores do direito, tanto advogados como magistrados em relação aos conceitos, princípios e ideais relacionados à matéria da proteção de dados.
Por outro ângulo, isso não tem feito com que os julgadores se abstenham de decidir aplicando a LGPD conforme lhes convém, seja diante da própria necessidade do caso concreto ou por falta de tato, seja por causa do conhecido rolo compressor que é o julgamento de casos em sede de Juizados Especiais, com os benefícios da gratuidade judiciária e a expectativa de inversão do ônus da prova em questões que na maioria esmagadora dos casos envolvem titulares que são consumidores.
É certo que a disciplina da proteção de dados tenha como fundamentos o desenvolvimento econômico, a livre iniciativa, a livre concorrência e a defesa do consumidor. Tanto que a própria norma prevê a coabitação e conciliação entre suas normas e aquelas de índole consumerista.
CDC e LGPD
Ressalta-se, porém, que mesmo o Código de Defesa do Consumidor (CDC), há mais de 30 anos, previa a possibilidade de melhora e evolução do fornecedor. Isso fica claro quando a lei afirma que o produto não se torna defeituoso “pelo fato de outro de melhor qualidade ter sido colocado no mercado” (artigo 12, parágrafo segundo). Na sequência, o CDC explica que o serviço será defeituoso apenas se não oferecer a segurança esperada levando-se em consideração circunstâncias relevantes “tais como” a época em que foi fornecido.
Estas disposições são idênticas às previstas na própria LGPD, em seu artigo 44, segundo o qual “o tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não oferecer a segurança” esperada, consideradas “as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado”.
“(…) é preciso analisar se os agentes atenderam às normas de segurança existentes e documentadas à época e utilizaram sistemas de proteção proporcionais aos riscos e características do tratamento dentro daquilo que era razoável e proporcional (art. 44 da LGPD). (…) Parece sensato concluir, assim, que na aplicação LGPD – ao contrário do que ocorre com o Código de Defesa do Consumidor (CDC), por exemplo – o agente poderá afastar a responsabilização por eventuais danos sofridos por terceiros quando demonstrar que seguiu os standards necessários para o tratamento dos dados. Nas relações de consumo latu sensu, só se exclui a responsabilidade civil/administrativa com a prova contumaz da inexistência do defeito ou da culpa exclusiva da vítima/de terceiros“¹
Atualizar-se faz parte da vida
Quer dizer: a evolução de um sistema – o que inclui, por exemplo, a adoção de novas ferramentas antifraude ou de parâmetros de segurança mais rigorosos não significa que tudo o que aconteceu antes seja ilícito ou indenizável; e nem que a adoção destes seja uma “confissão” do fornecedor de que o serviço prestado anteriormente era irregular ou inadequado. Pensar de outro modo equivale a proibir os empresários de buscar a constante melhoria.
E esta, aliás, é uma realidade da economia e da sociedade de dados. Estamos rotineiramente atualizando os sistemas operacionais de nossos telefones e de nossos computadores, baixando novas versões de antivírus, Java, aplicativos e os sistemas que rodam os processos eletrônicos em todo o Brasil estão constantemente sendo renovados.
No mais, como brevemente mencionado acima, o artigo da Lei Geral de Proteção de Dados que estabelece as medidas de segurança mínimas a serem adotadas pelos agentes de tratamento pende de regulamentação e fazem parte da atual agenda regulatória da ANPD para o biênio 2025-2026.
Gradação de danos e riscos na proteção de dados
Como está hoje, se observa que a sistemática de responsabilização civil da lei brasileira (seguindo uma orientação eurocentrista formalizada no regulamento geral de proteção de dados Europeu, GDPR), dependerá da constatação de violação legal; ocorrência de dano; relevância do dano (ainda que verificado); e assessment de gravidade dos riscos e prejuízos constatados. Estes critérios são cumulativos: mesmo que haja dano/risco, se não há violação legal, não há responsabilidade. Ainda que haja violação, se não houve dano/risco, não há responsabilidade. E mesmo que haja dano/risco e violação, se não há gravidade do dano/risco, não necessariamente haverá responsabilidade.
“Nada obstante, mesmo em uma hipótese de vazamento de dados, é necessário realizar uma análise objetiva da situação que, mais frequentemente do que se imagina, conduzirá a um parecer pela irrelevância do episódio. E sendo o vazamento irrelevante – baixo risco – não é necessário, no Brasil, nem mesmo informar à autoridade de proteção de dados (data protection authority – DPA). Note-se que a LGPD determina como critério de comunicação ä ANPD no art. 48 exatamente a possibilidade de “risco ou dano relevante”. Já o GDPR estabelece que a ausência de alto risco é causa para a dispensa de comunicação aos titulares dos dados (Consideranda no 86 e art. 34, 1 do GDPR).”¹
Ademais, a responsabilização civil dependerá da não incidência das excludentes legais, como culpa de terceiros e da vítima ou não realização do tratamento atribuído (artigos 42 e 43 da LGPD), bem como adoção de medidas de segurança e governança apropriadas e proporcionais. Por isso, o Superior Tribunal de Justiça manifestou-se para afirmar que não existe dano presumido em matéria de proteção de dados (dano in re ipsa), exceto em se tratando de incidente de segurança que envolva dados sensíveis (vide AREsp 2.130.619 e REsp 2.121.904).
A incerteza do contencioso
É importante esclarecer sobre o risco envolvido no processo judicial, contencioso, que independentemente da utilização de medidas de segurança adequadas, faz parte dos ônus da atividade empresária o enfrentamento de processos judiciais com todas as variáveis e incertezas que lhes são inerentes (insegurança jurídica), além dos custos e do risco reputacional.
O nível de maturidade do Judiciário e dos magistrados e as manobras a serem adotadas pelos patronos das partes adversas está fora da alçada dos agentes de tratamento, que precisam, antes, se organizarem dentro daquilo que efetivamente está dentro de seu controle: compliance com a LGPD, adoção das orientações da ANPD e registro documental destas providências.
Quer saber mais sobre a lógica da accountability em outros contextos? Leia aqui.
Referências
Hamaoka, S.; Rosas, E. As medidas de segurança e a accountability do agente de tratamento de dados pessoais no âmbito extrajudicial. LGPD 2022: debates e temas relevantes. Organizadoras Ana Paula Canto de Lima, Eduarda Chacon Rosas. Recife, PE: Império Jurídico, 2022.
