LGPD – Responsabilidade do controlador em caso de incidente de segurança

Vanessa Salem Eid
Advogada do escritório Marcos Martins Advogados

Considerando a recorrência de incidentes relacionados aos vazamentos de dados de usuários de diversos serviços e o advento da Lei Geral de Proteção de Dados (LGPD), é de suma importância abordar e analisar a responsabilidade das partes envolvidas nas situações de vazamento, criando a obrigação de indenizar.

A responsabilidade civil pode ser subjetiva ou objetiva. Na primeira, há necessidade de se provar a culpa, ou seja, a intenção do agente, além do dano e o nexo causal, enquanto a segunda exige a prova somente do dano e do nexo causal. A responsabilidade civil objetiva será caracterizada quando a atividade implicar, por sua natureza, riscos para os direitos de outrem ou quando a lei assim estabelecer.

A LGPD traz na Seção III do Capítulo VI (artigos 42 a 45) o tema da responsabilidade civil e não afastou o elemento da culpabilidade, o que nos faz crer que seu regime é o subjetivo, até porque os artigos são fundamentados na culpa do controlador ou operador de dados.

Nesta linha, o artigo 42 da LGPD prevê que “o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo”, ou seja, a responsabilização poderá recair sob aquele que deve ter diligência com relação ao banco de dados, seja para Pessoa Jurídica ou Física.

É importante ressaltar que o controlador responderá solidariamente pelos danos causados se estiver diretamente envolvido no dano ocasionado, salvo disposto no artigo 43 da LGPD, ou seja, os agentes de tratamento só não serão responsabilizados quando provarem:

I – Que não realizaram o tratamento de dados pessoais que lhes é atribuído;

II – Que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou

III – Que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.

Não obstante, com relação à responsabilização do operador, caso seja demonstrado que ele deu causa ao dano sofrido pelo titular, responderá solidariamente quando confirmado o descumprimento das obrigações e disposições da LGPD ou das instruções lícitas do controlador.  

Não é bastante salientar que cada situação depende de uma análise qualitativa da conduta do agente na fiscalização e no tratamento de dados, pois esse requisito é essencial para o surgimento da obrigação de indenizar pelos danos causados. Analisando a Lei em sua integralidade, é simples a detecção de que, caso o legislador tivesse optado pela responsabilidade objetiva, não teria listado as condutas específicas que devem ser observadas pelo agente quando do tratamento de dados.

Usando o Código de Defesa do Consumidor, vemos que se o legislador tivesse a intenção de que a responsabilidade fosse objetiva, teria sido mantida a expressão que destaca o dano causado “Independentemente da existência de culpa”.

O tema é bastante recente, mas o Tribunal de Justiça de São Paulo já vem formando convicção no sentido de que a responsabilidade aplicada pela Lei em comento é subjetiva. Vejamos:

“RECURSO INOMINADO. AÇÃO INDENIZATÓRIA MORAL. FRAUDE CONSUMIDOR. EXCLUDENTE DE RESPONSABILIDADE. Culpa de terceiro (hacker) e do consumidor que, em manifesta negligência, manteve contato com fraudadores em canais não oficiais da requerida e, cujos perfis da rede social, criados pelos golpistas, sequer registravam seguidores. Ausência de prova de vazamento de dados pessoais, nos termos do artigo 43 da LGPD. Sentença de improcedência mantida. Recurso desprovido.”[1]

Diante disso, quando interpretados sistemicamente os dispositivos da lei, analisando seus objetivos finais e os bens tutelados, chega-se à conclusão de que a LGPD aplica responsabilidade civil na modalidade subjetiva. Em resumo, a respectiva Lei determina que assim como o dano, o nexo de causalidade e o ato ilícito, a culpa também é elemento essencial para configurar o dever de indenizar.

A matéria ainda é bastante nova e tende a dividir opiniões pelos próximos meses e, por isso, o escritório Marcos Martins Advogados acompanha de perto a evolução da aplicação da Lei, de modo que possa atender seus clientes da forma mais segura e atualizada possível.


[1] Recurso Inominado Cível nº 1001686-42.2021.8.26.0400 – Primeira Turma Cível do TJSP – julgado em 31 de janeiro de 2022

Compartilhe nas redes sociais