Da mesma forma que as grandes navegações trouxeram a possibilidade de se descobrir novos mercados, a revolução tecnológica atravessou o domínio das fronteiras adequando a economia a uma nova realidade presente.
Através do ambiente virtual, as trocas comerciais aceleraram e expandiram de forma imediata, permitindo que empresas pudessem atingir consumidores até mesmo de outros países, aptos a realizar transações com esses clientes sem qualquer intermediação de terceiros.
O amadurecimento dessa nova proposta de negócio obrigou os empresários a repensarem os seus modelos de negócio de forma rápida, criativa e eficiente.
Nesse contexto, surgiram novas demandas específicas de forma a acompanhar a nova sociedade, agora digital e informatizada.
Nestes últimos anos temos visto diversos escândalos de vazamento de dados por grandes empresas.
Assim, a Lei Geral de Proteção de Dados surgiu visando proteger os direitos de privacidade de cada indivíduo, trazendo em seu texto a garantia ao respeito à privacidade, de forma a assegurar os direitos fundamentais expressos no art. 5°, inciso X da CF: inviolabilidade da honra, intimidade, imagem e vida privada, assim como o direito do cidadão à proteção de seus dados íntimos e pessoais.
Após a vigência da Lei Geral de Proteção de Dados Pessoais (lei 13.709/18), o Poder Judiciário tem sido instado a se manifestar sobre questões relacionadas a incidentes de segurança, tanto na esfera individual como coletiva, especialmente no que tange à responsabilidade civil dos agentes de tratamento em caso de vazamento de dados pessoais, seja dos seus clientes ou colaboradores internos.
E neste contexto de garantir a proteção dos dados do consumidor, as empresas devem tecer cuidados especiais quanto à segurança de dados e das informações transacionadas, isto porque o Brasil possui regramentos específicos que visam assegurar a proteção do consumidor, seja em questões que se enquadram em infração ao Código de Defesa do Consumidor, o Decreto nº 7.962/2013, seja na Lei nº 8.078/90, que dispõe sobre a contratação no comércio eletrônico, seja pela Lei 12.965/2014, que estabelece princípios, garantias, direitos e deveres para uso da Internet no Brasil (“Marco Civil da Internet”) ou pela Lei nº 13.709/2018, Lei Geral de Proteção de Dados.
Primeiramente, é necessário esclarecer que a responsabilidade civil pode ser subjetiva, ou seja, quando há necessidade de se provar o dano, nexo causal entre a conduta e a lesão, e a culpa do agente causador do dano. De outro lado, a responsabilidade civil pode ser objetiva, onde basta a prova do dano e do nexo causal, ou seja, haverá a obrigação de reparar o dano independentemente da existência de culpa. Observa-se que essa é a regra nas relações de consumo.
Nos termos do artigo 42 da LGPD[1], tanto o controlador quanto o operador de dados pessoais, no exercício da atividade de tratamento de dados pessoais, têm a obrigação de reparação em caso de dano patrimonial, moral, individual ou coletivo.
A Lei Geral de Proteção de Dados não traz, com clareza, qual tipo de responsabilidade civil que deverá ser observada. Porém, tem-se entendido que, quando se tratar de relação de consumo, devem ser aplicadas as regras previstas no Código do Consumidor, ou seja, a responsabilidade objetiva.
Entretanto, a responsabilidade civil dos agentes de tratamento em decorrência dos danos causados pode ser afastada nas seguintes hipóteses: que não realizaram o tratamento de dados pessoais que lhes é atribuído; que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou, que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
No que tange em relação ao dever de indenizar o titular dos dados pessoais, muito embora haja posições doutrinárias tanto pela responsabilidade objetiva quanto à subjetiva, o Poder Judiciário também já proferiu decisões em ambos os sentidos. Certamente essa discussão será objeto de muita discussão doutrinária e jurisprudencial.
De qualquer forma, é essencial ofertar garantia aos consumidores e aos colaboradores de que os dados estão sendo armazenados de forma confiável e dentro das finalidades pretendidas com o negócio a ser celebrado.
Para tanto, seria necessário estabelecer um programa de proteção de dados, a fim de evitar e/ou minimizar danos causados, sendo requisitos mínimos para tanto: a. Mapear a entrada e o tratamento dos dados pessoais; b. Mapear os riscos do tratamento; c. Elaborar o Relatório de Impacto; d. Criar a política de proteção de dados e adaptar os documentos internos e externos; e. Manter um programa de gerenciamento de vulnerabilidades; f. Construir e manter uma rede segura (firewalls); dentre outros.
[1] Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo
