A Lei nº 13.709/2018, também chamada de Lei Geral de Proteção de Dados, nos artigos 42 e 43, tratou acerca da responsabilidade em casos de danos, in verbis:
Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
I – o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;
II – os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta Lei.
Art. 43. Os agentes de tratamento só não serão responsabilizados quando provarem:
I – que não realizaram o tratamento de dados pessoais que lhes é atribuído;
II – que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou
III – que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
Percebe-se que o legislador não deixou claro se a responsabilidade seria de ordem objetiva (independe da prova de culpa) ou subjetiva (depende da prova de culpa ou dolo do agente que praticou o ato).
As autoras Adrianne Lima e Thainá Baronovsky explanaram, acerca da responsabilidade, em sua obra:
A lei instituiu regras para reparação de dano patrimonial, moral, individual ou coletivo, praticados por controladores ou operadores, em detrimento de titulares de dados pessoais. No entanto, o legislador foi omisso sobre qual seria a teoria adequada para a responsabilização daqueles que violarem as normas de proteção de dados, sendo assim, a interpretação deve ser feita com base em uma análise jurídica, histórica e principiológica. (…)
Conforme se pode observar, o legislador mencionou no art. 42 a responsabilidade dos envolvidos nas operações de tratamento de dados pessoais, apontando de forma explícita a possibilidade da reparação dos danos patrimonial, moral, individual e coletivo. É certo que, à primeira vista, a LGPD se inclina para a responsabilidade civil de ordem subjetiva, uma vez que não há menção sobre o risco da prova. O art. 43, por sua vez, traz hipóteses excludentes de responsabilidade. (…) O inciso III do art. 43 demonstra que a indicação do culpado, seja o titular do dado, o controlador ou operador, seria um fator indispensável para a caracterização do dano. Contudo, a própria lei não declara expressamente qual seria a responsabilidade. Enquanto a Autoridade Nacional de Proteção de Dados (ANPD) não regulamentar tal aplicação, caberá ao operador de direito utilizar a hermenêutica jurídica para a compreensão legal. Adiante, o art. 45 demonstra que ao tratar dados em situações de relação de consumo aplica-se o Código de Defesa do Consumidor (CDC): “As hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente”. O CDC é claro sobre a adoção do instituto da responsabilidade civil objetiva, conforme a menção do art. 12. Sendo assim, independentemente da prova de culpa, há verdadeira presunção de culpabilidade do agente: Art. 12. O fabricante, o produtor, o construtor, nacional ou estrangeiro, e o importador respondem, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos decorrentes de projeto, fabricação, construção, montagem, fórmulas, manipulação, apresentação ou acondicionamento de seus produtos, bem como por informações insuficientes ou inadequadas sobre sua utilização e riscos. Sendo assim, será aplicada a responsabilidade civil objetiva nos casos que envolver relação de consumo. (…)
Ainda, as autoras explicaram acerca da responsabilidade solidária:
A Lei Geral de Proteção de Dados Pessoais traz hipóteses de responsabilidade solidária do operador ao controlador. Vejamos: a. Há responsabilidade solidária do operador quanto este descumpre a lei, ou age em desacordo com as ordens do controlador (inciso I do § 1° do art. 42). b. Há responsabilidade solidária entre os controladores quando estes estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados, salvo nos casos de exclusão previstos no art. 43 (inciso II do § 1° do art. 42). Por isso, tanto para quem está do lado do controlador, como do operador, vale ter em seu contrato de maneira explícita e inequívoca o tratamento a ser realizado.
REFERÊNCIAS BIBLIOGRÁFICAS:
LIMA, Adrianne; BARONOVSKY, Thainá. LGPD para contratos, capítulo 2, Responsabilidade civil na LGPD: subjetiva ou objetiva?, Editora Expressa, pgs. 29-33.