Vazamento de dados: de quem é a responsabilidade?

O controlador ou o operador são os responsáveis pelos danos causados no tratamento de dados, diante da inobservância dos deveres estabelecidos na lei.

A Lei 13.709/2018 que veio a regular a proteção de dados pessoais, dedicou uma sessão para estabelecer a responsabilidade pelo tratamento de dados e ressarcimento de danos (artigos 42 a 45).

De forma clara, a legislação estabelece que o controlador e o operador de dados são os responsáveis pela reparação dos danos decorrentes da violação da legislação de proteção dos dados pessoais, sejam eles patrimoniais ou morais, individuais ou coletivos. Há, no entanto, uma controvérsia ainda a ser dirimida, acerca da responsabilidade civil contida na lei, para fim de que se estabeleça se esta é objetiva ou subjetiva.

A responsabilidade civil objetiva independe da análise da culpa e deve ser expressamente prevista em lei ou aplicada no caso das chamadas “atividades de risco”. Já a responsabilidade subjetiva parte da comprovação da culpa, ou seja, de uma ação ou omissão e um nexo de causalidade entre o ato ilícito e os danos causados.

A definição do tipo de responsabilidade é de fundamental importância em razão dos vultosos impactos financeiros decorrentes de indenizações e sanções potenciais que, no caso de responsabilidade civil objetiva são consideravelmente maiores.

Parece-nos, a partir de uma análise sistemática da legislação, que a interpretação mais acertada é a de que a responsabilidade na LGPD é exclusivamente subjetiva. Isto porque não há qualquer menção no corpo da lei acerca de responsabilidade objetiva, a qual deve ser expressa, bem como a atividade de tratamento de dados, por sua natureza, não é de risco.

Além disso, o artigo 43 da lei exclui a responsabilidade dos agentes de tratamento (leia-se operador e controlador), quando estes provarem que não realizaram o tratamento de dados pessoais que lhes é atribuído ou que, embora tenham realizado o tratamento de dados, não houve violação à legislação de proteção de dados; ou, ainda, que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.

Considera-se ainda irregular o tratamento de dados quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais o modo pelo qual é realizado, o resultado e os riscos que razoavelmente dele se esperam e as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.

O caráter subjetivo ainda é mais evidente quando a legislação dispõe que o controlador ou o operador respondem, inclusive de forma solidária em alguns casos, pelos danos decorrentes da violação da segurança dos dados (especialmente os vazamentos e acessos não autorizados) ao deixar de adotar as medidas de segurança e boas práticas previstas na LGPD.

É fundamental, portanto, que as empresas busquem se adequar à LGPD, para fins de reduzir ou evitar os riscos patrimoniais dos operadores e controladores decorrentes dos danos causados pela não observância das regras de segurança e boas práticas.