A responsabilidade civil de agentes no vazamentos de dados

Uma vez que um dado é vazado, se torna muito complexo estabelecer o nexo de causalidade entre o dano sofrido (pela exposição) e suposto ato ilícito decorrente de um novo incidente de segurança/Canva
Uma vez que um dado é vazado, se torna muito complexo estabelecer o nexo de causalidade entre o dano sofrido (pela exposição) e suposto ato ilícito decorrente de um novo incidente de segurança/Canva
Regime atual previsto na LGPD é suficiente para resolver essa controvérsia.
Fecha de publicación: 26/11/2021

Reportagem do jornal inglês “The Economist” aponta que “o recurso mais valioso do mundo não mais seria o petróleo, mas dados”. Essa afirmação confirma o fenômeno da comoditização por qual passam os dados pessoais, especialmente em razão de sua disponibilidade cada vez mais abundante, graças à tecnologia. E, em razão dos riscos ao seu titular associados ao uso desmedido por empresas e governos, há um movimento crescente no sentido da necessidade de regulação dessa exploração, tanto por autoridades de proteção de dados, como por órgãos antitruste, assim como ocorreu com o petróleo, no início do século 20.

E de fato isso tem ocorrido, numa escala cada vez mais intensa e que ganha a atenção de legisladores e reguladores ao redor do mundo. Imprescindível, nesse sentido, foi a edição de normas que pudessem regular a atividade de tratamento de dados, assim como coibir abusos que poderiam ser praticados por empresas e governos, como é o caso da brasileira Lei Geral de Proteção de Dados Pessoais (Lei. nº 13.709/18), a qual, por sua vez, foi inspirada no Regulamento Geral de Proteção de Dados da União Europeia, aprovado em 2016.

Aliás, o marco regulatório europeu já está em sua segunda versão. A primeira é de 1995 e, antes disso, a União Europeia já dispunha de outros instrumentos com o propósito de proteger o cidadão em relação ao uso de seus dados pessoais, como é o caso da Convenção 108, introduzida pelo Conselho da Europa, em Estrasburgo, França, em 1981. Na esteira do RGPD, diversos Países seguiram com a edição de leis de proteção de dados, influenciados pelo bom exemplo europeu.


Leia também: Vazamento de dados das chaves PIX: de quem é a responsabilidade?


E, no Brasil, esse novo cenário regulatório vem causando um impacto considerável. Somente entre setembro de 2020 e agosto de 2021, já foram proferidas mais de 270 decisões que se basearam na LGPD, a maioria delas resolvendo pedidos de indenização por danos morais em virtude de vazamento de dados. Mas o fato é que, apesar da lei, o momento ainda é de insegurança jurídica, pois, se, por um lado, parte dos magistrados entende que há dever de indenizar pelo simples fato de ter havido vazamento de dados, presumindo ter havido prejuízo ao titular de dados e imputando, assim, responsabilidade objetiva, por outro, certos julgadores entendem que, para que haja dever de indenizar, deve restar comprovada a culpa (responsabilidade subjetiva). Resta pendente, portanto, uma pacificação sobre o regime de responsabilidade civil que foi instituído pela LGPD, algo que nem a doutrina nacional acomoda ainda.

Mas, para além dessa dicotomia, também há de se discutir sobre a configuração, ou não, do dever de indenizar na hipótese de múltiplos vazamentos ocorridos com o mesmo dado pessoal e diferentes agentes e circunstâncias de coleta e processamento do dado. Ou seja, qual o limite de responsabilidade civil de um agente de tratamento que comprovadamente sofreu um incidente de segurança, sendo que determinado dado pessoal sob sua custódia veio a público, mas o mesmo dado já havia sido objeto de vazamentos anteriores, envolvendo outros agentes?

Dito de outra forma: se parte do Judiciário caminha na direção da responsabilidade por dano in re ipsa, ainda assim, quando o dado já estiver exposto publicamente, e isso for demonstrado pela empresa processada pelo titular, faz sentido o dano moral ser presumido? Isso afetaria, ao menos, o arbitramento de eventual valor indenizatório? Teria o condão de elidir a responsabilidade civil pela ausência de dano?

Essas perguntas são por demais pertinentes, pois, além de a ocorrência de incidentes de segurança envolvendo o mesmo dado pessoal ser frequente – sobretudo quando se trata de informações utilizadas com frequência pelos titulares, como dados cadastrais (nome, e-mail, telefone, endereço e CPF) -, há quem entenda que o dano advém (e se presume) da mera exposição do dado, o que viabilizaria sua utilização indevida por terceiros. Logo, há se perquirir se a nova revelação de um dado já anteriormente exposto (e amplamente acessível por terceiros) também configura o dano indenizável.

A problemática reside no fato de que, uma vez que um dado é vazado, se torna muito complexo estabelecer o nexo de causalidade entre o dano sofrido (pela exposição) e suposto ato ilícito decorrente de um novo incidente de segurança. E essa questão subsiste ainda que se entenda que o regimento aplicável seja o da responsabilidade objetiva, logicamente, pois, como ressalta Tartuce:

“A responsabilidade civil, mesmo objetiva, não pode existir sem a relação de causalidade entre o dano e a conduta do agente. Se houver dano sem que a sua causa esteja relacionada com o comportamento do suposto ofensor, inexiste a relação de causalidade, não havendo a obrigação de indenizar.”

Ademais, não se pode olvidar que o nexo de causalidade tem duas funções, isto é, i) “conferir a obrigação de indenizar aquele cujo comportamento foi causa eficiente para a produção do dano”, e (ii) “determinar a extensão desse dano”, de modo que, somente através do enfrentamento da relação de causalidade é que será possível determinar o responsável por reparar o dano e o limite da reparação.

Nos casos em que o agente de tratamento seja questionado a respeito de um vazamento em juízo, é imprescindível a sua análise, em sede de defesa processual, sobre incidentes anteriores envolvendo o mesmo dado pessoal, pois essa pode ser uma maneira de direcionar, como medida de justiça, a correta quantificação do valor indenizatório ou mesmo o afastamento de sua responsabilidade civil, por ausência de nexo causal.

Imagine-se um caso em que dados cadastrais tenham sido fruto de incidentes repetidas vezes e o titular alegue, em juízo, que passou a receber e-mails e ligações de spam ou conteúdo indesejado. Mas sua relação com esse agente de tratamento seria recente, ainda que tenha sido vítima de vazamentos anteriores. Nesse caso, é possível estabelecer uma relação de causa e efeito com o incidente mais recente – a fim de identificar o responsável pelo dano –, mesmo quando os seus dados já estariam em circulação há muito mais tempo? É certo que não.

Situação diversa daquela em que o mesmo agente esteja envolvido em vazamentos seriados envolvendo os dados pessoais dos mesmos titulares. A hipótese aqui em questão é a delimitação da responsabilidade civil em múltiplos incidentes a que tenham concorrido diversos agentes de tratamento, em momentos distintos e anteriores uns aos outros. É certo que a LGPD trata explicitamente sobre a responsabilidade dos agentes de tratamento perante múltiplos vazamentos dos mesmos dados, mas administrativa. De fato, o art. 52, § 1º, da legislação aborda, entre as circunstâncias da infração, estabelece como critério a reincidência (inciso V) e o grau do dano (inciso VI). Porém, quanto à responsabilidade civil, nada dispõe, deixando à doutrina e à jurisprudência a acomodação dessa questão.


Veja também: Todos os seus dados já foram roubados


Resta claro, portanto, que o regime atual da responsabilidade civil previsto na LGPD se mostra suficiente para resolver essa controvérsia. Isso porque, independentemente da exigência (ou não) de culpa, o nexo de causalidade é um elemento que deve ser observado e demonstrado para que se reconheça o dever de reparar, o que não parece ocorrer quando se trata de vazamentos sucessivos do mesmo dado envolvendo diferentes agentes de tratamento. Ou, quando menos, deve exercer inquestionável influência na quantificação do valor do dano, se indenizável for, mas em sentido de minoração, em privilégio da proporcionalidade e razoabilidade. Em outras palavras, eventual dano a ser reparado também deve levar em consideração os demais incidentes ocorridos.

Levando-se em conta o reconhecimento da dificuldade (ou impossibilidade) de o próprio titular estabelecer um liame concreto entre a conduta do agente e os danos que ele alega ter sofrido em virtude da exposição de um dado objeto de inúmeros vazamentos, ainda assim não parece razoável que se atribua o dever de reparar àquele que deu causa a vazamento posterior, envolvendo os mesmos dados, pelo argumento da exposição de dados, uma vez que isso daria margem ao uso indevido por terceiros.

Nesses casos, portanto, em especial, a presunção do dano não é medida de justiça e deve ser revista pelos Tribunais.

*Gregório P. Rampche de Almeida, advogado no Serur Advogados e colaborador técnico do Grupo de Trabalho sobre a LGPD, pela Frente Parlamentar do Setor de Serviços (FPS).

Add new comment

HTML Restringido

  • Allowed HTML tags: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Lines and paragraphs break automatically.
  • Web page addresses and email addresses turn into links automatically.