RESPONSABILIDADE CIVIL A LUZ DOS PRINCÍPIOS DA LEI GERAL DE PROTEÇÃO DE DADOS Nº 13.709/2018 - LGPD

1. RESUMO

O presente trabalho coloca em pauta o novo cenário trazido pela Lei Geral de Proteção de Dados com viés para a responsabilidade civil e indenizações por problemáticas nas tratativas de dados pessoais das pessoas naturais. O objetivo central é abordar os princípios da normativa legal e como podem ser evocados para a reparação de danos causados pela ilicitude na salvaguarda e publicitação de tais dados pelos agentes responsáveis por seus tratamentos. Tal abordagem também se reflete em outras normativas legais a exemplo do Código de Defesa do Consumido e do Marco Civil da Internet. Apresenta-se ao final, um caso de indenização por dano pelo vazamento de dados pessoais em uma relação comercial e seus desdobramentos jurídico.

Palavras Chaves: Proteção. Privacidade, Dados, Princípios e Responsabilidade Civil.

ABSTRACT

The present work discusses the new scenario brought by the General Data Protection Law with a bias towards civil liability and compensation for problems in dealing with personal data of natural persons. The main objective is to address the principles of legal regulations and how they can be invoked to repair damages caused by illegality in safeguarding and publicizing such data by agents responsible for their processing, such approach is reflected by other legal regulations such as the Code of Consumer Protection and the Civil Rights Framework for the Internet. At the end, a case of indemnity for damage caused by leakage of personal data in a business relationship and its legal consequences is presented.

Keywords: Protect. Privacy, Data, Principles and Civil Liability.

2. INTRODUÇÃO

Em 14 de agosto de 2018, houve o sancionamento da Lei Nº 13.709, conhecida como Lei Geral de Proteção de Dados, tratada e melhor conhecida apenas com LGPD. Esta lei não é uma novidade no campo das proteções de dados pessoais, mas o Brasil, combinado às regras promovidas por uma lei similar lançada na comunidade europeia, chamada de Regulamento de Europeu de Proteção de Dados (GDPR) dentre outros países da qual o Brasil “bebeu destas fontes”, se viu, por força regulatória econômica e de segurança jurídica a criar sua própria lei infra constitucional, apesar de conter, em caráter suplementar, outras leis esparsas que tutelam a proteção de dados, como o Código de Defesa do Consumidor, o Marco Civil da Internet e o próprio Código Civil.

Esta lei atinge todas as empresas, públicas ou privadas, de qualquer porte, nicho ou segmento e que de alguma forma tratem dados pessoais. Entretanto, a velocidade em que a tecnologia demanda novos volumes de informação é inversamente proporcional a capacidade em que estas empresas, ora chamadas de Controladores de Dados, têm para se adequar jurídica e tecnologicamente aos preceitos do referido diploma legal de proteção de dados pessoais¹.

Por outro lado, a Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública direta federal do Brasil que faz parte da Presidência da República e possui atribuições relacionadas à proteção de dados pessoais e da privacidade, irá fiscalizar e aplicar severas multas por infrações que levem a vazamentos de dados pessoais ou o não cumprimento da referida lei.

O Direito, por sua vez, não encontra guarida em acompanhar as mudanças da sociedade e da informação face às normas jurídicas na mesma velocidade em que a estas são implementadas, obrigando-se a se adaptar às novas formas de relações sociais e jurídicas, a fim de dirimir ou mitigar possíveis reponsabilidades sobre a perda ou vazamentos de dados pessoais.

Assim, a evolução da tecnologia trouxe a necessidade de imposição de limites éticos ao tratamento de dados pessoais, e junto com ela, uma nova forma de estabelecer o relacionamento entre o titular deste dado e o seu Controlador como agente que trata este dado segundo alguns princípios fundamentais.

Assim, a lei prevê que em seu artigo 6º que as atividades de tratamento de dados pessoais deverão obedecer a certos princípios. Trata-se, portanto, de um rol exemplificativo em que as entidades deverão atentar-se, por pena de, em seu descumprimento, arcar com severas multas junto à Autoridade Nacional de Proteção de Dados (A.N.P.D) cumuladas ou não, com Responsabilidade Civil previstas pelos artigos 186 e 927 do Código Civil.

Assim, saber o que tratar, quando tratar e porque tratar será de vital importância para a manutenção cumulado com, quando necessário, o consentimento inequívoco pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada, a fim de evitar ao máximo alguma penalidade Civil.

Neste mote, o referido estudo pretende, sem esgotar o tema, trazer uma análise sobre os principais dispositivos da Lei Geral de Proteção de Dados e sua referida aplicabilidade, em particular aos princípios melhor descritos no artigo 6º do referido Diploma com suas respectivas responsabilidades por parte do Controlador.

3. A LEI GERAL DE PROTEÇÃO DE DADOS

Na era da economia de dados, o verdadeiro valor das empresas está nos dados de seus clientes. Isso significa que os dados são um novo ativo digno de proteção, que não pode ser mais negligenciada. Assim, os dados pessoais tratados pelas empresas são apenas emprestados, não são de sua propriedade! Para que as empresas preservem tais dados e permaneçam com credibilidade, terão que demonstrar ampla transparência ao se comunicar sobre quais dados coletam, para quais finalidades, quem é o seu processador e assim por diante.

3.1. Apresentação da Lei Geral de Proteção de Dados

Segundo DONEDA (2011, p. 96-98), as leis concernentes à proteção de dados pessoais podem ser divididas em quatro gerações. Inicialmente, as leis tinham como enfoque a criação dos bancos de dados que ganhavam grandes proporções na década de 1970, e na limitação do Estado na utilização e controle das informações. Na época, a preocupação dos legisladores era mais voltada à expansão da tecnologia e no processamento dos dados, do que no princípio de privacidade do cidadão, que jazia em segundo plano.

A segunda geração avançou no sentido de preocupar-se com a privacidade do indivíduo e no acesso de terceiros às suas informações, oferecendo formas de controle para que a própria sociedade tivesse maneiras de tutelar seus direitos individuais.

Já na terceira geração, observa-se o princípio de liberdade, a fim de que o titular pudesse ter uma autodeterminação, referente à maneira cujos dados seriam coletados e tratados.

Por fim, a quarta geração foi adaptada para aplicar técnicas que deem efetividade para conter a disparidade entre o indivíduo titular dos dados pessoais e a entidade que os coleta e processa. Dessa maneira, aumenta-se a proteção dos direitos fundamentais do cidadão atrás de normativas mais técnicas e categóricas, assegurando o nível de proteção e cautela a ser tomada de acordo com o grau de sensibilidade do respectivo dado pessoal e seu titular.

É neste contexto que nasce a Lei Geral de Proteção de Dados² ligada às pessoas naturais e que está em vigor no Brasil desde agosto de 2018, sendo esta a principal legislação brasileira que determina como os dados pessoais podem ser tratados, prevendo sanções severas às infrações que versem sobre o seu vazamento ou indisponibilidade. Foi sancionado pelo Congresso Nacional pela PLC 53/2018 em 14 de agosto de 2018, donde dispõe sobre a proteção de dados pessoais alterando a Lei 12.965/16 (Marco Civil da Internet), consolidando-se assim como a Lei Geral de Proteção de Dados brasileira.

Assim como a General Data Protection Regulation (GPDR³) tem como regulamento do direito europeu sobre privacidade e proteção de dados pessoais, sendo aplicável a todos os cidadãos da comunidade Europeia e Espaço Econômico Europeu, o Brasil, inspirado nesta regulamentação, lançou sua própria regulação sobre o mesmo tema.

A LGPD impulsionará mudanças de paradigma na gestão dos dados, evidenciando a necessidade de adequações internas e da construção de uma “cultura de proteção de dados”, o que até antes da entrada da Lei, era pouco aplicada no Brasil.

Em suma, ela cria um marco legal para a proteção de informações pessoais dos brasileiros, residentes ou em trânsito pelo Brasil, como nome, endereço, idade, estado civil, e-mail e situação patrimonial; e visa garantir mais transparência na coleta, processamento e compartilhamento dos dados dos indivíduos, inclusive em meio digital. Em tempo, cabe-se colocar que a lei não proíbe o tratamento⁴ dos dados, mas vem apenas como forma regulamentadora, trazendo segurança jurídica a titulares de dados e empresas do setor privado.

Fortemente baseado no regulamento europeu, seu objetivo é criar um novo paradigma de regramento para o uso de dados pessoais, tanto no âmbito online quanto offline, ou seja, é agnóstica, pois não se preocupa em explicitar usos ou meios tecnológicos para o seu tratamento. Isto implica dizer que uma simples anotação em papel contendo um dado pessoal de terceiro está sujeita a esta lei quando há fins específicos⁵, como os econômicos, legais, de saúde etc. Importante salientar que o Brasil já dispunha de mais de quarenta normas que direta e indiretamente tratavam da proteção à privacidade e aos dados pessoais, como o Código de Defesa do Consumidor, por exemplo. Todavia, a LGPD vem substituir e ou complementar esse arcabouço regulatório setorial, por vezes conflituoso e que trazia alta insegurança jurídica, o que torna o país menos competitivo no contexto de uma sociedade cada vez mais movida a informação. É temerário para as empresas não estarem em conformidade com as leis de privacidade pois correm o risco de multas e ações judiciais, sem mencionar a perda da reputação e da fidelidade do cliente.

Ao ter uma Lei Geral, o Brasil entra para o rol de mais de cem países que hoje podem ser considerados adequados para proteger a privacidade e o uso de dados, tornando-nos mais completivos.

3.2. Do tratamento dos Dados Pessoais segundo a LGPD

A lei nº 13.709 de 14 de agosto de 2018 nomeada de Lei Geral de Proteção de Dados Pessoais, ao que consta, tem taxatividade mitigada ao elencar vinte⁶ verbos em seu artigo 5º, inciso X donde o tratamento pode ser:

Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (Brasil, 2018, Art. 5º, X).

Assim, qualquer manipulação sobre um dado pessoal, em que a informação relacionada a pessoa natural identificada ou identificável segundo o inciso I do mesmo artigo, deve acatar a alguns princípios que são elencados no artigo 6º e que serão melhor discutidos em momento oportuno.

3.3. Do princípio da Privacidade de Dados Pessoais

Na égide máxima da legislação brasileira⁷, temos a previsão acerca da privacidade dentro do rol de direitos fundamentais do artigo 5º inciso X: “São invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação.”

Segundo a Lei Geral de Proteção de Dados, considera-se dados para dos devidos fins, aplicadas pelo artigo 5º, incisos I, II e III respectivamente:

I - Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

II - Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

III - Dado anonimizado: dado relativo à titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento (Brasil, 2018, Art. 5º).

Realizar uma interpretação jus positivista do referido dispositivo não será suficiente para entender a sociedade atual. De acordo com RODOTÁ (2008, p. 92), a privacidade na era da informação deverá ser definida pelo direito do sujeito de manter o controle sobre as próprias informações. Nesse sentido, valorizam-se as escolhas pessoais em detrimento das vontades corporativas, como as fomentadas pelas áreas comercial e de marketing, por exemplo, levando em conta o novo poder que o indivíduo possui sobre o tratamento de seus dados.

Assim, sempre que um tipo de tratamento qualquer lançar mão sobre um determinado dado, de cunho pessoal, privado ou não, deverá ser aplicado segundo certos princípios que são bem aclarados pela Lei Geral de Proteção de Dados para minimizar as consequências de não conformidade.

3.4. Hipóteses para tratamento de Dados Pessoais

Antes de iniciarmos sobre o tema dos Princípios de Tratamento a luz da LGPD, importante se faz apresentar sobre as hipóteses que legitimam o tratamento de dados. O seu artigo 7º traz dez hipóteses taxativas para o tratamento de dados, o que significa dizer que o tratamento de dados somente poderá ser legalmente realizado dentro dessas previsões.

Rol exemplificativo das hipóteses de coleta de dados

Figura 1 – Hipóteses exemplificativas onde pode haver o tratamento de dados pessoais. EBC Empresa Brasil de Comunicação. Disponível em https://www.ebc.com.br/lgpd/noticias/2019/11/situacoes-onde-pode-se-tratar-dados-sem-autorizacao. Acessado em: 16 maio 2021.

Nenhuma das hipóteses legais prepondera ou prevalecerá hierarquicamente sobre as demais, sendo sempre necessário buscar a base legal que seja mais adequada às operações do controlador. Devem manter-se em harmonia.

Por esta razão, é importante que as empresas que trabalham com tratamento de dados pessoais em suas operações adequem seus procedimentos internos e suas políticas de compliance⁸ desde logo, a fim de estar em conformidade com a lei e garantir a regularidade de suas operações de tratamento.

4. DOS PRINCíPIOS REGIDOS PELA LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS

A Lei Geral de Proteção de Dados Pessoais reza que todas as atividades de tratamento de dados pessoais deverão observar a boa-fé e determinados princípios que nortearão como as empresas controladoras e titulares coexistirão de forma harmônica. Sem querer esgotar o tema, obviamente, todas as regras processuais, em que esfera for, devem ser regidas por bases principiológicas.

4.1. Definições preambulares dos princípios jurídicos

Princípio⁹ significa o início, fundamento ou essência de algum fenômeno. Também pode ser definido como a causa primária, o momento, o local ou trecho em que algo, uma ação ou conhecimento, tem origem, sendo que o princípio de algo -seja como origem ou proposição fundamental - pode ser questionado. Outro sentido possível seria o de norma de conduta, seja moral ou legal. Na filosofia, é uma proposição que se coloca no início de uma dedução e que não é deduzida de nenhuma outra proposição do sistema filosófico em questão. Pode-se colocar, com as devidas proporções que é a gênese da Lei.

Já para AVILA (2005) e SANTOS (2015), nas disciplinas do Direito, os princípios são os alicerces da norma, fundamentos em essência, são como o refúgio em que a norma encontra sustentação para racionalizar a sua legitimação, são a base de onde se extrai o norte a ser seguido por um ordenamento, seja em sentido lato como observa-se nos princípios constitucionais, seja em ramos específicos do direito, como o trabalhista, em que o princípio da proteção do trabalhador serve de alicerce para a construção de todos os outros princípios dessa área do direito e de sua legislação não codificada como a jurisprudência. Para Santos apud Melo (2009, p. 882-83), uma definição jurídica para princípio legal seria:

Mandamento nuclear de um sistema, verdadeiro alicerce dele, disposição fundamental que se irradia sobre diferentes normas compondo-lhes o espírito e sentido servido de critério para sua exata compreensão e inteligência, exatamente por definir a lógica e a racionalidade do sistema normativo, no que lhe confere a tônica e lhe dá sentido harmônico.

Destarte, podemos extrair desse compêndio inicial que os princípios, além de serem a origem de algo, a base de sustentação da norma, também são ideias mais genéricas de onde se pode extrair concepções e intenções para a criação de outras normas, ou encontrar a sua sustentação em caso de lacunas na sua aplicação.

Tal prerrogativa se observa no artigo 4º da Lei de Introdução as Normas de Direito Brasileiro, no artigo 126 do Código de Processo Civil e no artigo 8º parágrafo único da Consolidação das Leis do Trabalho em que todos afirmam que, em caso de omissão de regra, o juiz deve decidir a lide baseado em analogias, costumes e princípios gerais de direito. (grifo nosso)

4.2. Princípios normativos da Lei Geral de Proteção de Dados

Podemos identificar ao menos duas teses acerca da natureza da distinção entre princípios e regras: I - a distinção se deve a um aspecto lógico; II - a distinção se deve a um aspecto de grau de generalidade (SILVA, 2003).

Este mesmo autor defende que a regra tem dimensão única: a da validade. Se for válida, deverá ser aplicada integralmente, em sua inteireza, ou não ser aplicada em absoluta. Esse aspecto da regra é também chamado por DWORKIN (1977) de “tudo ou nada”: ou a regra é totalmente aplicada, ou não, de forma atômica. Não existem diferentes graus de aplicação.

Para SILVA (2003), em sendo o princípio o ato que apresenta a dimensão de peso ou importância inicial de qualquer processo, não fazendo sentido falar em sua validade. Dentre os possíveis princípios aplicáveis, será eleito aquele que apresentar maior peso relativo aos demais em face da situação analisada, algo como hierarquia de princípios.

Assim, a questão sobre qual princípio é o mais importante para ser aplicado ao caso em concreto é realmente válida e carece de ser tratada com muito esmero pelo operador do direito, pois dependerá do caso concreto. Será então acolhida aquela que for eleita como mais relevante. Em tempo, necessário colocar que o princípio eventualmente não escolhido continuará coexistindo poderá, quando oportuno, ser evocado em outro momento sem qualquer tipo de consequência a sua existência.

4.3. Descrição dos princípios normativos da Lei Geral de Proteção de Dados

Dentre diversas disposições dadas pela Lei, merecem nossas considerações para efeitos deste trabalho acadêmico, os preceptivos que tratam dos princípios jurídicos assim considerados em relação ao tratamento de dados e que deverão ser respeitados por ocasião de tais tratamentos.

Neste sentido, a normativa legal foi cuidadosa para disciplinar o tratamento de dados das pessoas naturais, ou seja, aqueles envolvendo os já descritos no artigo 5º, inciso X em seu rol taxativo.

Iniciando sua jornada regulamentária a respeito de tais princípios, cravou em caráter introdutório no caput do artigo 6º, a recomendação de que o tratamento seja presidido pela boa-fé, para logo depois relacionar os princípios jurídicos que, em seu entender, considera relevantes para o objeto disciplinado, como rege o próprio enunciado em seu caput: “As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios.”

Segundo Pestana (2020), certamente assim o fez por propor desde logo que o amplo cenário atingido pela Lei, nos casos de tratamentos que estes não poderiam ser contemplados pelo normativo em sua totalidade, de forma taxativa, donde, por vezes, pode ser necessário que o interprete aplicador do direito, recorrer-se dos princípios jurídicos especificados para aplicá-los em conjunto com outros consagrados princípios já exauridos da ordem jurídica, dirimindo dúvidas e conflitos, que as pessoas interessadas (naturais, jurídicas, órgãos de classe, governos) poderão aplicar, em concreto, as normativas principiológicas da LGPD em situações envolvendo o tratamento de dados.

Ainda segundo o mesmo autor, os princípios jurídicos representam uma categoria expressional construída pelos homens, tomados por seus próprios valores morais, dotados de importância e relevância pessoal, reconhecidos pela ordem jurídica, os quais reúnem os enunciados e normas jurídicas voltadas para prescrever condutas e disciplinar as relações intersubjetivas.

Conhecer princípios equivale a conhecer a essência da matéria sob atenção analisada, facilitando a dissecação do objeto ora sob estudo. Já seu desconhecimento, é como trilhar entre disposições e preceptivos de forma aventureira, sem visão holística, prejudicando a possibilidade de analisar-se profundamente a totalidade do seu objeto. Carecemos então de um olhar profissional e aprofundado sobre a égide dos princípios desta Lei.

Desta feita, dadas as considerações introdutórias, passemos a descrever os princípios jurídicos considerados pela Lei Geral de Proteção de Dados em relação ao tratamento segundo o exposto pelo referido diploma em seu artigo 6º. Começamos pois com:

i) Princípio da finalidade: O primeiro dos princípios eleitos, quiçá o mais importante que está previsto no inciso I do artigo 6º da referida Lei, emprega-se ao termo a “realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades”, ou seja, o dado deverá, na coleta, ter a indicação clara, completa e inequívoca que justifique sua coleta com fins específicos, legítimos, explícitos e informados. Ou seja, as empresas devem explicar para que usarão cada um dos dados pessoais.

Por propósitos legítimos podemos aplicar a finalidade movida pelo bom senso, lógica, legalidade, bons costumes e boa-fé, distanciando-se da iniciativa subalterna, simulada, emotiva, ilegal, ilícita e de má fé. Tais finalidades também devem impreterivelmente estar dentro dos limites da lei acompanhadas de todas as informações relevantes para o titular.

Este propósito direciona o tratamento para um determinado objetivo e o Controlador não está autorizado a modificá-la durante o tratamento sem o prévio consentimento. São propósitos explícitos quem enfatizam o aspecto unívoco do tratamento e não admitem desvios, equivocidade ou ambiguidade.

Por dizer, havendo o objetivo do tratamento clara e previamente delineado, não se insurge dúvidas após especificado seu conteúdo. Segundo a interpretação de Pestana (2020), os objetivos que conformam a finalidade admitida pela Normativa Geral devem ser informados ao titular, o qual, com ele concordando, delimitará o objeto do tratamento, domínio esse que, como já explanado com raras exceções, não poderá ser subsequentemente alterado, salvo se nova, específica e expressa concordância, for obtida desse titular.

ii) Princípio da adequação: Está previsto no inciso II, do artigo 6º da LGPD e prevê a “compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento” e se refere às compatibilidades do tratamento versus suas finalidades informadas ao titular do dado de acordo com o contexto do tratamento. Uma explicação suplementar segundo o TRF¹⁰ 3º Região, é a de que os dados devem ser tratados de acordo com a sua destinação. A coleta de dados deverá ser compatível com a finalidade do tratamento, ou seja, sua justificativa deve fazer sentido com o caráter da informação que se pede ao titular. Caso haja incompatibilidade, o tratamento se apresenta como inadequado para a Lei.

Semanticamente, o termo adequação aplicado ao cenário da Lei Geral de Proteção de Dados Pessoais (LGPD), refere-se ao nexo de pertinência lógica de conformidade que se estabelece entre o tratamento e a finalidade objetivada, tal qual informada ao titular previamente (PESTANA, 2020).

Em outras palavras, este princípio estabelece uma conexão entre o tratamento e a finalidade objetivada e tem como pano de fundo a comunicação da finalidade com o titular, predominantemente instruído e presidido por sua ciência¹¹.

iii) Princípio da necessidade. O princípio da necessidade dá-se pela limitação ou diminuição estritamente necessária para realização do tratamento, com objetivo finalista. É como dizer que empresas devem, agora por obrigação legal, utilizar apenas os dados necessários para alcançar as suas finalidades, ponderando entre o que é realmente essencial para o negócio e o que é apenas conveniente. Sustenta-se que alede de tudo, isto seria mais que uma obrigação legal.

De acordo com Pestana (2020), tal perspectiva ocorre pela real necessidade da realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados. Quanto mais dados forem tratados, maior será a responsabilidade, inclusive em casos de incidentes de segurança, a exemplo de vazamentos e indisponibilidade para o titular.

Em regra, esse princípio trazido pela norma e o de realizar o tratamento apenas e tão somente quando e para o atingimento de determinada finalidade, se mostrar relevante para que o tratamento seja realizado, donde somente deverão constar os dados apropositados, ou seja, aqueles relevantes e imprescindíveis para que o objetivo previamente tracejado seja atingido e pela manutenção do negócio, pois a lei veda tratar dados que não se mostrem oportunos e relevantes à sua finalidade, como demonstram o artigo 5º, inciso XII e artigo 8º, § 4º.

Adjacente a este princípio, está coloquialmente o princípio da proporcionalidade, apesar de este não ser um princípio autônomo previsto pela LGPD, mas que empresta a esta suporte às necessidades do tratamento.

A proporcionalidade, portanto, no âmbito da normativa de proteção de dados pessoais, admite a realização do tratamento, nos limites do que se mostrar imprescindível e necessário para que seu objetivo seja alcançado, previamente delimitado e aprovado pelo titular dos dados, fazendo com que este princípio vise que a coleta de dados pessoais seja restrita ao que realmente é necessário para a realização da finalidade pretendida.

Este princípio, por fim, veda de forma expressa a coleta indiscriminada de dados que não tenham como fim a operação essencial do Agente Controlador.

iv) Princípio do livre acesso. Este princípio basilar descrito no Inciso IV do artigo 6º da Lei 13.853, possibilita que o titular dos dados consulte livremente, de forma facilitada e gratuita, a forma e a duração do tratamento dos dados, bem como sobre a integralidade deles. A integralidade, neste caso, diz respeito a perfeição e exatitude dos dados, defeso que sejam manipulados ou excluídos de forma arbitrária pelo controlador.

Neste princípio, privilegia-se, pois, as pessoas naturais, titulares de seus dados, após estes sofrerem o respectivo tratamento, assegurando-lhes o acesso e conhecimento da integralidade dos seus dados, em especial após seu tratamento cumulado com descrições de como, quando, onde e por quanto tempo os dados destes titulares serão tratados.

Na prática, o Controlador deve criar mecanismos¹² para que o titular dos dados tenha o direito de consultar os seus próprios dados e informações de forma gratuita, a qualquer tempo, e exige igualmente, que o titular seja cientificado da duração do tratamento e do período em que os dados tratados serão utilizados para atingir a finalidade correspondente, período esse que, segundo Pestana (2020), poderá apresentar alguma dificuldade na sua fixação temporal, vez que poderá ser dificultoso, previamente, se estabelecer o prazo de reverberação do produto dos dados tratados.

Em tempo, estas garantias apenas estarão materializadas caso tais condições e respectivas concordâncias sejam satisfeitas, entenda-se coletadas, expressamente dos respectivos titulares, na forma e tempo adequado, sujeitos às sanções administrativas aplicáveis pela Autoridade Nacional de Proteção de Dados¹³, previstas no artigo 52 do referido diploma.

v) Princípio da qualidade dos dados. Princípio norteador consubstanciado na garantia de que os titulares terão assegurada a exatidão, clareza, relevância e atualização de seus dados de acordo com a necessidade com fins para o cumprimento da finalidade de seu tratamento.

É dizer que há garantia de que a base de dados tratada seja confiável e atualizada e, não obstante, alinhada com o propósito do seu negócio, sendo esta essencial para realização do tratamento.

A exatidão refere-se a ideia de precisão e acuracidade, dentro do limiar estrito estabelecido entre dados, tratamento e finalidade. Já a qualidade da clareza associa-se, em relação dada em palavras e procedimentos que, induvidosamente, esclareçam os destinatários da informação, sobretudo ao titular dos dados a serem tratados como pessoa natural. A relevância dos dados nos remete a que o tratamento somente será realizado, caso tal proceder permita atingir a finalidade previamente objetivada e aprovada pela manifestação inequívoca de seu titular dos dados. Por fim tem-se o elemento qualitativo da atualização que destaca o espectro cronológico e dinâmico dos dados, ainda que coletados em determinado momento é compreensível sofram ao decorrer do tempo, a dinâmica da realidade da vida, modificações, exigindo assim, constante atualização.

Para o doutrinador Pestana (2020), tais elementos somente deverão ser exigidos quando estiverem presentes algumas condicionantes como a necessidade e o cumprimento da finalidade do seu tratamento, pois ambos têm como fim atingir uma determinada finalidade previamente desejada e ajustada.

vi) Princípio da transparência. Este princípio é sinérgico ao da qualidade dos dados visto no item v e tem a principal aplicação de que lhes será assegurado informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e sobre os respectivos agentes de tratamento, resguardados, quando necessários, os segredos industriais e comerciais ou com amparo de alguma outra lei como as Leis 9.609¹⁴ e 9.610¹⁵.

O legislador, ao compor a norma, atentou-se para garantir a proteção de segredos comerciais e industriais aos seus respectivos detentores, constituídos limites a serem observados quanto a transparência relativa aos tratamentos realizados com dados de pessoas naturais.

A transparência enfatiza o desejo de que a Lei imponha a fluidez de informações para o titular dos dados tratados, por ser este titular, juntamente com os seus dados, componentes do espectro de elementos mais importantes de todo o processo de tratamento, cuja finalidade da Lei se resumiria.

Informações claras e transparentes para o contexto deste princípio, compreendem de que todos os dados e elementos técnicos correspondentes no respectivo tratamento, sejam amplamente visíveis e compreendidos pelo titular, sem dúvidas ou equívocos.

Desta feita, nos esclarece Pestana (2020, p.6), que o conteúdo de tal transparência tem lugar, não só nos dados, antes e posteriormente tratados, como também dos agentes que tomaram parte do procedimento, ou seja, o controlador¹⁶ e o operador¹⁷.

vii) Princípio da segurança. Durante a realização do tratamento ou ao seu término, todos os protagonistas que atuem no tratamento, ou seja, Controladores e Operadores, deverão utilizar medidas técnicas e administrativas robustas e adequadas, a fim de proteger os dados pessoais contra quaisquer situações adversas que possam comprometer os pilares da Segurança da Informação¹⁸. Tais exemplos englobam, mas não se limitam, a vazamentos, acessos não autorizados, situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão indevida.

A ideia central desse princípio é a de preservar, sempre em ambiente seguro¹⁹, os dados das pessoas naturais objeto do tratamento. É responsabilidade do Controlador buscar por implantar políticas, procedimentos, meios e tecnologias que garantam a proteção dos dados pessoais de acessos por terceiros, ainda que não sejam autorizados, devendo tomar medidas adequadas para solucionar situações acidentais, como destruição, perda, alteração, comunicação ou difusão dos dados pessoais de suas bases (NUNES, 2021).

A lei é agnóstica, ou seja, não determina qual a tecnologia, ferramenta, procedimento, tipo, marca, modelo, etc., a empresa deve adotar para manter-se segura. Para tanto, convém, sempre que possível, servir-se de técnicas contemporâneas de segurança, assim como, em se tratando de pessoa jurídica tratadora de procedimentos constantemente aprimorados com vistas a garantir a manutenção da segurança. Sugerimos, no entanto, para o início de tais adequações a leitura da ABNT ISO/IEC 27.002²⁰.

PESTANA (2020, p.7) nos alerta que nesse princípio, mostra-se ineficaz se o vazamento, acesso, alteração ou propagação resulte de uma conduta voluntária e arbitrada, sendo, portanto, ilícita, ou quando decorra de acidente, seja ou não resultado de negligência, imprudência ou imperícia, o que a nosso ver, não será isento de reparação civil ou de multas aplicadas pela ANPD²¹.

Ratifica-se, por fim, que o tutor desses dados é obrigado a prever todos os cenários possíveis de ocorrer na realidade posta, devendo se precaver contra todas as possibilidades que possam ocorrer envolvendo o acesso e manuseio indevido dos dados das pessoas naturais objeto do tratamento, para tanto, recomenda-se a leitura das recomendações de norma ABNT NBR ISO/IEC 31000:2018²² Gestão de Riscos – Diretrizes.

Em particular para este princípio, muito se fala sobre qual seriam as melhores Técnicas de Segurança para manutenção de dados pessoais. Para este suporte, recorremos ao Guia de Boas práticas do Governo Federal onde recomendam a leitura da ABNT NBR ISO/IEC 27701:2019²³ - Técnicas de segurança, que é uma extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação de requisitos e diretrizes, sendo este um documento que especifica os requisitos e fornece as diretrizes para o estabelecimento, implementação, manutenção e melhoria contínua de um Sistema de Gestão de Privacidade da Informação (SGPI) na forma de uma extensão das ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 que pode ser usado de norte para processos de adequação aos princípios da Lei (DADOS, 2020). Este guia apresenta uma visão exemplificativa da gestão da privacidade no contexto de uma organização conforme figura abaixo.

Ativos versus fases do ciclo de tratamento versus medidas de segurança

Figura 2 - Ativos versus fases do ciclo de tratamento versus medidas de segurança. Esquema de mapeamento dos ativos e suas respectivas medidas de segurança implementadas (destacadas em verde) e não implementadas (destacadas em vermelho). Fonte: DADOS (2020, p. 49).

viii) Princípio da prevenção. Ora embutido no princípio da Segurança, tal elemento de suma importância provocou o legislador a prestigiá-la, em evidência a um tópico independente, pois entendeu que a prevenção tem como princípio basilar determinando que, no processo de tratamento, sejam adotadas as medidas necessárias para prevenir a ocorrência de danos em detrimento do tratamento inadequado ou ineficiente. Este requer que os protagonistas do tratamento adotem medidas prévias para evitar a ocorrência de danos em virtude do tratamento de dados pessoais, ou melhor, que ajam antes dos problemas e não somente depois.

Desta feita, nota-se uma reiteração do princípio anterior, vez que a proteção dos dados, antes, durante a após tratamento, é um dever imposto àqueles que os acessam e sobre eles dispõem.

ix) Princípio da não discriminação. Princípio de relevante valor social assentado pela normativa que regula expressamente, a impossibilidade de realização do tratamento para fins discriminatórios, ilícitos ou abusivos contra seus titulares.

A salvaguarda dos dados através de regras específicas a serem aplicadas em tempo de tratamento, foi cuidadosamente selecionada pelo legislador quando estas recaírem sobre o que a Lei denomina de dados Sensíveis²⁴, previstos pelo artigo 5º, inciso II.

Ponto de relevante interesse nos traz a reflexão por Pestana (2020) que dada impossibilidade de admitir a prática do ilícito intrínseca à ordem jurídica ao direito em que não se limita a esta apenas, indo mais além, referindo-se, também, à sua abusividade por parte do Controlador.

Infelizmente aqui a Lei apresenta uma lacuna por não determinar claramente ao que se refere a terminologia “abuso”, especialmente porque a alocou numa hipótese de finalidade imprópria, o que daria, a nosso ver, ampla margem para discussões jurídicas, pois o referido vocábulo admite diversas acepções.

Na visão de Pestana (2020), este entendeu que o termo abuso pode ser interpretado como o manuseio excessivo ou imoderado dos dados das pessoas naturais, adentrando a fronteira do nexo lógico e jurídico estabelecido pelo trinômio dado-tratamento finalidade, contrapondo a orientação introduzida pela norma, pois se o legislador pretendesse assentá-lo na finalidade propriamente dita na acepção do conceito concreto, teria enfatizado tal valor (vedação à abusividade) ao delimitar também o conteúdo do princípio da finalidade examinado anteriormente.

x) Princípio da responsabilização e da prestação de contas. Sendo este o ultimo princípio arrematado pelo legislador, traz em seu bojo a obrigatoriedade de demonstração, pelo agente tratador, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. Tais agentes devem ter provas e evidências de todas as medidas adotadas, para demonstrarem a sua boa-fé e diligência.

Um dos pontos de atenção levantados por Pestana (2020) e Nunes (2021) é a faculdade de rastreabilidade do tratamento, a qual exige comprovação de procedimentos e atos praticados.

Exemplos deste princípio estão na comprovação de treinamentos, conscientização dos colaboradores, assessórias técnico-jurídicas especializadas para a conformidade e aderência a norma, a utilização de processos, protocolos e sistemas que garantam a segurança dos dados e o acesso facilitado do titular sempre que necessário.

É rastreabilidade com responsabilidade!

Para a Lei, não basta estar seguro, tem que provar que está seguro e segundo a legislação. O agente não só deverá comprovar ter adotado os procedimentos e contramedidas mais adequados aos praticados sob atos permitidos pelo normativo legal, como, também, que todos eles tenham tido eficácia efetiva, pois, do contrário, ainda que o agente tenha agido com boa-fé, se ocorrido descumprimento das normas de proteção de dados, tal equivalerá ao enfrentamento frontal ao princípio da responsabilização e da prestação de contas.

Os direitos a serem garantidos aos titulares de dados estão organizados nos artigos 7º e 8º, aos quais estão segregados em direitos decorrentes dos princípios estabelecidos pelo artigo 6º da Lei e em direitos específicos dos titulares constantes dos demais artigos.

Tabela 1 - Direitos garantidos aos titulares de dados baseado em princípios. (Dados, 2020, p. 15).

5. IMPLICAÇÕES LEGAIS AOS PRINCÍPIOS DA LEI GERAL DE PROTEÇÃO DE DADOS PARA O TRATAMENTO DE DADOS E PESSOAIS

Os princípios norteadores devem ser observados como exigência mínima para uma boa atividade de tratamento de dados pessoais, conforme estabelecem o caput e os 10 incisos do artigo 6º da Lei Geral de Proteção de Dados.

Segundo Miguel Reale (1998, p. 306), no contexto geral da criação de normas, quando de sua gênese, o legislador reconhece que o sistema de leis não é suscetível de cobrir todos os espectros da experiência humana, restando sempre muitas situações imprevistas, algo impossível de ser vislumbrado.

Caso alguns dos princípios norteadores da Lei, direta, por analogia ou simetria sejam descumpridos, em todo o parcial, nasce para o Agente de Tratamento, seja Controlador, Operador ou sub-rogado destes, o dever de reparar civilmente ao titular e a pretensão por parte da Autoridade Nacional de Proteção de Dados de sanciona-los administrativamente, segundo o artigo 52 da Lei Geral de Proteção de Dados nº13.709 de 14 de agosto de 2018.

Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

I - Advertência, com indicação de prazo para adoção de medidas corretivas;

II - Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

III - Multa diária, observado o limite total a que se refere o inciso II;

IV - Publicização da infração após devidamente apurada e confirmada a sua ocorrência;

V - Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

VI - Eliminação dos dados pessoais a que se refere a infração;

X - Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;

XI - Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;

XII - Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados (Brasil, 2018).

Isto implica que um princípio só pode ser considerado como Infração, quando sua conduta é prevista como tal na Lei. Se determinada conduta praticada pelo agente não estiver prevista como ilegal em lei, ela necessariamente será lícita, livre e impunível por parte do Estado, ora representado pela Autoridade Nacional de Proteção de Dados.

5.1. A natureza da Responsabilidade Civil na LGPD

Não importa o método escolhido pelos protagonistas que tratam os dados, seja o Controlador determinando as regras ou o Operador que as segue, a Lei destaca em seu texto, nos artigos 42 a 45, os limites das suas responsabilidades.

Estabeleceu-se pela Lei Geral de Proteção de Dados, uma estrutura legal hierárquica que empodera²⁵ os titulares de dados subsidiando lhes direitos a serem exercidos em face aos controladores de dados, direitos estes que, pela norma, lhes são facultativos. Esses direitos devem ser garantidos e preservados durante toda a existência do tratamento dos dados pessoais do titular realizado pela entidade²⁶, e como princípios não devem ser maculados.

A redação dada pelo artigo 42, caput, diz que qualquer dano, seja ele patrimonial, moral, individual ou coletivo decorrente da violação da legislação de proteção de dados pelo controlador ou operador, em razão do exercício da atividade de tratamento de dados pessoais, deve ser repará-lo.

Quando há a quebra de um dos princípios regidos pela Lei Geral de Proteção de Dados, Danilo Doneda e Laura Schertel entendem que a responsabilidade dos agentes de tratamento é preponderantemente objetiva, levando-se em consideração o risco da atividade, independentemente da culpa do agente de tratamento (MENDES, 2018). Sustentam ainda os doutrinadores que, em face da Lei ter como um dos seus principais fundamentos a minimização dos riscos de dano provocado ao titular do dado, é possível inferir a adoção do regime de responsabilidade objetiva pelo legislador. Tal justificativa apresentada encontra guarida na existência de um risco intrínseco à atividade de tratamento que está relacionado à possibilidade iminente de gerar dano aos titulares dos dados em caso de violação de seus direitos ou da não observância de seus princípios.

Em tempo, é necessário salientar que a depender das disposições da aplicação direta da Lei Geral e do caso concreto, o regime de responsabilidade poderá ser subjetivo ou objetivo, observadas as hipóteses previstas em lei. Segundo Krastin (2021), a exemplo tratamentos de dados que envolvam relações de consumo previstas no Código de Defesa do Consumidor, a responsabilização dos agentes se dará pelo regime da responsabilidade objetiva, uma vez que a obrigação de indenizar os danos causados será dos agentes de tratamento, o que afasta dos titulares²⁷ o ônus de comprovar a existência de sua culpa.

Assim, o Controlador²⁸ possui responsabilidade ampla e direta pelo tratamento, tendo o dever legal de vigilância junto ao Operador, visto que responderá, solidariamente, por qualquer violação à legislação ou por prejuízos causados tanto pelo Operador a sua tutela quanto por outros controladores que estiverem intimamente envolvidos no tratamento do qual decorreram tais danos. Em contrapartida encontramos no artigo 42, § 1º, inciso I da Lei Geral de Proteção de Dados, que o Operador²⁹ será acionado solidariamente apenas e tão somente se não observar as regras deste diploma legal ou realizar atividades de tratamento de dados fora do escopo das instruções delimitados pelo controlador dos dados pessoais, hipótese esta que será equiparado ao Controlador.

5.2. O direito de regresso

A norma legal em seu artigo 42, § 4º nos apresenta: “Aquele que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso.”

Portanto, quanto falamos em direito de regresso, para o caso da aplicação da Lei no caso real em face do responsável pelo dano, esta será reservada àquele que repará-lo, na medida de sua participação no evento danoso. Trata-se de uma observação qualitativa natural pois responderá que negligenciou os princípios da norma.

De outro modo, a Lei prevê algumas hipóteses de exclusão de responsabilidade dos agentes de tratamento. Isto ocorrerá quando os agentes provarem o que dispõem em seu artigo 43, incisos I, II e III.

I - Que não realizaram o tratamento de dados pessoais que lhes é atribuído;

II - Que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou

III - Que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros.

Para estas lacunas do direito, há sempre a possibilidade do recurso aos princípios gerais do direito, mas o doutrinador nos adverte que é necessário entender que estes não cabem apenas na tarefa de preencher ou suprir lacunas deixadas pelo legislador.

6. APRESENTAÇÃO DE UM CASO DE RESPONSABILIDADE CIVIL APLICADA SOB A ÓTICA DA LEI GERAL DE PROTEÇÃO DE DADOS

A responsabilidade é assunto comum no plano da ética, da moral, da filosofia e do Direito. Responsabilidade significa³⁰: “obrigação de reparar o mal que se causou a outros” e responsável (do Francês responsable) é aquele que responde pelos próprios atos ou pelos de outrem”.

Os princípios são verdades ou juízos fundamentais, que servem de alicerce ou de garantia de certeza a um conjunto de juízos, ordenados em um sistema de conceitos relativos à dada porção da realidade. (REALE, 1986a. p 60).

O tema da responsabilidade é um dos mais importantes e complexos da ciência jurídica independente do ramo do direito, sistema jurídico ou país em que está sendo analisado. Trata-se, indubitavelmente, de uma das matérias mais difíceis, vastas e confusas de sistematizar. Quando uma norma é denominada de princípio, significa dizer que esta tem uma forma específica de interpretação. Não se trata da generalidade ou do grau, mas de sua aplicação no caso concreto (ALEXY, 2006, p.36).

Acerca da amplitude da responsabilidade civil feita por Cavalieri (2003), que observa que “A responsabilidade civil é uma espécie de estuário onde deságuam todos os rios do Direito: Público e privado, material e processual; é uma abóbada que enfeixa todas as áreas jurídicas, uma vez que tudo acaba em responsabiliza”.

Portanto, define a situação de quem sofre as consequências da violação de uma norma ou como a obrigação que incumbe a alguém de reparar o prejuízo causado a outrem, pela sua atuação ou em virtude de danos provocados por pessoas ou coisas dele dependentes³¹.

Doutrinariamente falando, os conceitos de responsabilidade Civil são fundamentados no dever de reparação, ou seja, ainda na clássica ideia de que responsabilidade surge como uma reação ao desequilíbrio econômico jurídico. O dever de reparação obriga o responsável a restabelecer o equilíbrio afetado em razão do dano é uma consequência direta da atitude (conduta) humana omissiva ou comissiva caracterizando-se assim marco inicial da responsabilidade Civil.

Neste caso, a indenização é, portanto, a obtenção objetiva do ato de reparar na totalidade os prejuízos suportados por quem de direito, seja o titular do direito – leia-se, titular dos dados, tentando restaurar status quo anterior, como sendo o estado que se encontrava a situação antes da ocorrência do dano.

6.1. Dano material e dano moral nas relações de consumo

A constituição federal em seu artigo 5º, inciso X, declara que são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação. Já no ínscio V, temos que é assegurado o direito de resposta, proporcional ao agravo, além da indenização por dano material, moral ou à imagem.

Suplementarmente o CDC em seu artigo 6º, inciso VI, prescreve, dentre os direitos básicos do consumidor, a efetiva prevenção e reparação de danos patrimoniais e morais, individuais, coletivos e difusos, apesar de que em certos casos o titular dos dados da LGPD se equipara ao consumidor, pois para a Lei no artigo 4º, não se aplica ao tratamento de dados pessoais realizado por pessoa natural para fins exclusivamente particulares e não econômicos.

Buscamos de antemão, a Chamone (2008) que nos define como sendo dano toda lesão a um bem juridicamente protegido pelo direito, causando prejuízo de ordem patrimonial ou extrapatrimonial. Em dano material entende por aquele que atinge o patrimônio³² (material ou imaterial) da vítima, podendo ser mensurado financeiramente e indenizado e; de para o dano moral³³, aquele que constitui lesão aos direitos da personalidade, como a vida, a liberdade, a intimidade, a privacidade, a honra, a imagem, a identificação pessoal, a integridade física e psíquica, o bom nome; em suma, a dignidade da pessoa humana, um dos fundamentos da República Federativa do Brasil, apontado, expressamente, na Constituição Federal em seu inciso III do artigo 1º.

Quanto à indenização, esta deve ser suficiente a restaurar o bem estar da vítima, desestimular o ofensor em repetir a falta, não podendo, ainda, constituir enriquecimento sem causa ao ofendido.

Assim, devem ser consideradas³⁴ “as circunstâncias do fato, as condições socioeconômicas do ofensor e do ofendido, a forma e o tipo de ofensa, bem como suas repercussões no mundo interior e exterior da vítima.”

O caráter educacional da indenização visa desestimular o ofensor a repetir o ato, inibindo sua conduta antijurídica, com sua dupla função da condenação por dano moral, seja punitiva pedagógica e compensatória. De um lado a indenização por dano moral tem a função de compensar a vítima. Do outro, punir o ofensor.

Para Capanema (2020), ao lado da responsabilidade existe o dever de indenizar. Eles vão estar juntos, sendo muitas vezes utilizados como sinônimos. Isso porque ao se afirmar a responsabilidade civil da pessoa, inerente a ela será o dever de indenizar. A indenização é a consequência do reconhecimento da responsabilidade civil. Se não há responsabilidade não há indenização.

Para o caso descrito, houve claramente a violação do direito, tanto previsto pelos princípios da LGDP, bem como a ora declarada pelo artigo 5º, inciso X, da carta magna.

Neste diapasão tem-se que o abuso de direito consiste em um ato jurídico de objeto lícito, mas cujo exercício, levado a efeito sem a devida regularidade, acarreta um resultado considerado ilícito (MARTINS COSTA, 2016, p. 77 apud SANCHEZ 2020 p.80).

6.2. Apresentações do estudo de caso envolvendo vazamentos de dados e a Responsabilidade Civil de indenizar

Para SANCHEZ (2020), está claro que o abuso de um direito se caracteriza por se constituir em ato ilícito e que a ilicitude do ato praticado via abuso de direito, segundo possui natureza objetiva, mensurável, independente de dolo e culpa, cuidando-se de responsabilidade civil objetiva não carece de se ficar comprovada a culpa (DINIZ, 2017, p. 202 apud SANCHEZ, 2020 p.79).

Assim, completados os três pressupostos da responsabilidade civil, que seja, a culpa, o dano e o nexo causal, têm-se, por força legal do artigo 186 do diploma Civil a sedimentação do ato ilícito praticado pelo agente, a questão indenizatória denominada de responsabilidade extracontratual face ao titula do dado.

Em 2020, em uma relação comercial tendo o autor o titular dos dados que foram vazados pelo sítio da Empresa CONSTRUDECOR S.A. (SODIMAC BRASIL)³⁵ e publicizados sem a expressa autorização deste titular. Tal caso teve repercussão nacional, acarretando a exposição de informação classificadas como de perfil financeiro e sócio econômico do então autor da ação.

O autor efetuou uma compra no sítio eletrônico da requerida na Internet (sodimac.com.br) e no mesmo, um terceiro não identificado entrou em contato pelo aplicativo WhatsApp³⁶ alertando-o de que seus dados pessoais estavam expostos no aludido site da loja e lhe encaminhou cópia da tela do seu computador para corroborar os fatos. O autor contatou a empresa e relatou o incidente de vazamento público de seus dados pessoais pela requerida.

As trocas de mensagens entre empresa e autor demonstraram que os dados de cartão de crédito foram vazados pela então controladora. Este ingressou com a ação indenização por danos morais, considerando as funções preventiva e punitivo pedagógica, pleiteando o valor de R$8.540,00 (oito mil, quinhentos e quarenta reais) contra a ré com base na lei nº 13.709/2018, reforçando os argumentos das regras que disciplinam a forma como os dados pessoais dos indivíduos devem ser armazenados por empresas ou mesmo por outras pessoas físicas.

Usou por base em sua tese artigos específicos quem expressam que o tratamento de dados pessoais somente poderá ser realizado nas hipóteses de fornecimento de consentimento pelo titular conforme prevê o artigo 7º e §5º donde o controlador que obteve o consentimento referido no inciso I do caput deste artigo, se necessitar comunicar ou compartilhar dados pessoais com outros controladores, deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas nesta Lei.

Alegou para sustentar sua tese de que a despeito de dano moral, a LGPD não inovou, afirmando o caput de seu artigo 42³⁷ que o controlador ou o operador que em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

O Juiz da causa indeferiu todo o pedido, sentenciou de que não houve prova concreta de os dados teriam sido vazados pela ré, pois tais dados ora vazados, são comumente fornecidos e alocados em vários lugares quando há compra pela Internet.

Entretanto, em sede de apelação, o TJSP em acordão proferido em 2021 deu provimento ao recurso para julgar a ação parcialmente procedente condenando a ré ao pagamento de indenização por danos morais no patamar de R$2.000,00 (dois mil reais) e demais custas sopesando as circunstâncias preponderantes que envolveram o caso concreto, quais sejam, a extensão do sofrimento experimentado pelo autor, a capacidade econômica das partes, o grau de culpabilidade da ré e, considerando, também, o valor da mercadoria adquirida no website da ré.

7. CONCLUSÕES

Como visto, princípios são verdades ou juízos fundamentais, que servem de alicerce ou garantia de certeza a um conjunto de juízos, ordenados em um sistema de conceitos relativos à dada porção da realidade. Estes constituem indispensável elemento da interpretação dos textos legais, porém, despertam um profícuo debate acerca de sua definição e relação com as regras.

Todavia, não nos cabe neste breve estudo adentrar nesse debate. Importa apenas explanar que, quando uma norma é denominada de princípio, significa dizer que esta tem uma forma específica de interpretação. Não se trata da generalidade ou do grau, mas de sua aplicação no caso concreto.

O conjunto de princípios ora examinados e apresentados no presente trabalho, independem entre si de suas aplicações bem como do método de tratamento elegido pelo agente controlador de dados, e demonstra em sua essência e com coerência, a imperiosa importância que tem para a aplicação, em concreto, dos comandos contidos na LGPD.

Tal qual ocorre como com qualquer veículo de atividade legisferante, há impossibilidade de disciplinar previamente, detalhadamente, todos os possíveis eventos, atos e fatos ocorridos na realidade ontológica, donde revela-se imprescindível o conhecimento e domínio para aqueles que pretendam transitar, com desenvoltura, nos domínios da proteção de dados das pessoas naturais. A lei não abarcou todas as possíveis hipótese principiológicas para o tratamento de dados. Certo é que poderemos ter, em breve, novas hipóteses em que pesem mudanças, inclusões ou novas adequações em os seus fundamentos.

Por fim, violar um princípio é muito mais gravoso do que transgredir uma norma jurídica. O descumprimento ou a simples desatenção a um certo princípio normativo implica na ofensa aos precitos legais, ainda que seja apenas um mandamento obrigatório, comprometendo todo o sistema ordenatório legal. Trata-se, portanto, dá mais grave forma de ilegalidade, afrontando o mandamento de constitucionalidade, conforme o escalão atingido, significa a insurgência contra todo o sistema cumulada com a subversão de seus valores fundamentais, afrontando seu arcabouço lógico corroendo sua estrutura central, isto pois, para o douto jurista Celso Bandeira de Mello (2000, p. 748),” abatem-se as vigas que o sustém e alui-se toda a estrutura nelas forçadas.”

EPÍLOGO

Seja qual for a gradação da culpa ou dolo do Controlador ou Operador do dado este, hoje não poderá se isentar da “missão” extracontratual de manter a salvaguarda dos dados de seus titulares. Em sede de defesa judicial, tais agentes não vão poder, a princípio, alegar que fizeram todo o possível para manter os ditames da LGPD, pois como nos diz Silva apud Sanchez (2020), na responsabilidade objetiva, ratifica-se, o elemento da culpa é absolutamente desprezado, pois será bastante ao lesado, leia-se o titular do dado, provar o nexo de causalidade dado entre o dano que experimentou e o ato do agente que o promoveu para fazer surgir a respectiva obrigação de indenizar.

8. REFERÊNCIAS BIBLIOGRÁFICAS E WEBGRÁFICAS

ALEXY, Robert. Teoria dos Direitos Fundamentais. 1º ed. São Paulo: Malheiros Editores, 2006.

ÁVILA, Humberto. Teoria dos Princípios – da definição à aplicação dos princípios jurídicos. 4ª ed. São Paulo: Malheiros, 2005.

BRASIL. Constituição (1988). Constituição da República Federativa do Brasil de 1988. Brasília, DF: Senado Federal, 1988.

______. Código Civil. Lei nº 10.406, de 10 de janeiro de 2002. Institui o Código Civil. Brasília, DF: Presidência da República. Disponível em: http://www.planalto.gov.br/ccivil_03/LEIS/2002/L10406.htm. Acesso em: 15 mar. de 2021.

______. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais. Redação dada pela Lei nº 13.853, de 2019. Brasília, DF: Senado Federal, 2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_ Ato20 15- 2018/2018/Lei/L13709.htm. Acesso em: 15 mar. de 2021.

______. Lei nº 12.965, de 23 de abril de 2014. Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. Brasília, DF: Presidência da República. Disponível em: http://www.planalto.gov.br/CCIVIL_03/_Ato2011-2014/2014/Lei/L12965.htm. Acesso em: 15 mar. de 2021.

______. Lei nº 8.078, de 11 de setembro de 1990. Dispõe sobre a proteção do consumidor e dá outras providências. Brasília, DF: Presidência da República. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/l8078.htm. Acesso em: 15 mar. 2021.

BIONI, Bruno R. Proteção de dados pessoais: a função e o limite do consentimento. Rio de Janeiro: Forense, 2019.

CAVALIERI FILHO, Sérgio. Responsabilidade civil no novo Código Civil. Revista do Direito do Consumidor, São Paulo, a. 12, n. 48, p. 69-84, out./dez. 2003.

CAPANEMA, A. Walter. A responsabilidade civil na Lei Geral de Proteção de Dados. Cadernos Jurídicos, São Paulo, ano 21, nº 53, p. 163-170, janeiro-março/2020.

COELHO, A. C. B. A Lei Geral de Proteção de Dados Pessoais Brasileira como meio de efetivação dos direitos da personalidade. João Pessoa: [s.n.], 2019.Rio de Janeiro: Forense, 2019.

CASTELLS, M.; CARDOSO, G. (Org.). A sociedade em rede: do conhecimento a ação política. Lisboa: Imprensa Nacional: Casa da Moeda, 2006

CORRÊA, Gustavo T. Aspectos jurídicos da internet. São Paulo: Saraiva, 2000.

CHAMONE, Marcelo Azevedo. O dano na responsabilidade civil. Revista Jus Navigandi, ISSN 1518-4862, Teresina, ano 13, n. 1805, 10 jun. 2008. Disponível em: https://jus.com.br/artigos/11365. Acesso em: 14 jun. 2021.

DADOS, Comitê Central de Governança de. Guia de Boas Práticas Lei Geral de Proteção de Dados para Implementação na Administração Pública Federal. 2020. Disponível em https://www.gov.br/governodigital/pt-br/governanca-de-dados/guia-de-boas-praticas-lei-geral-de-protecao-de-dados-lgpd. Acesso em: 31 de maio de 2021.

DONEDA, Danilo. A proteção dos dados pessoais como um direito fundamental. Espaço Jurídico Journal of Law [EJJL], 12(2), 91-108. Disponível em https://portalperiodicos.unoesc.edu.br/espacojuridico/article/view/1315. Accesso em: 21 mar. 2021.

DWORKIN, Ronald. Taking Rights Seriously. Cambridge: Harvard University Press, 1977. P.24.

KRASTINS, A.; SERRAT, C.A.M.; FERNANDES, S.; MORAES, T.; Controlador ou Operador: Quem sou eu? Cartilha sobre agentes de tratamento de dados pessoais. LAPIN Laboratório de Políticas Públicas e Internet. 2021.

GUERRA, Sidney Cesar Silva. O direito à privacidade na internet: uma discussão da esfera privada no mundo globalizado. Rio de Janeiro: América Jurídica, 2004.

MALDONADO, Viviane. N.; BLUM, R. O. LGPD: Lei Geral de Proteção de Dados comentada. 1º ed. São Paulo: Revista dos Tribunais, 2019.

MARQUES, Cláudia L; BEJAMIN, Antonio, H. V.; BESSA, Leonardo, R. Manual de Direito do Consumidor. 6ª ed. rev. atual. São Paulo: Editora Revista dos Tribunais, 2014.

MELLO, Celso Antonio B. de. Curso de Direito Administrativo. 12º ed. São Paulo: Malheiros, 2000.

MENDES, Laura Schertel; DONEDA, D. Comentário à nova Lei de Proteção de Dados (Lei 13.709/2018), o novo paradigma da proteção de dados no Brasil. Revista de Direito do Consumidor, v. 120, p. 555, 2018.

NUNES, Natalia M. Dez princípios da LGPD para o tratamento de dados pessoais. 2021. Disponível em https://ndmadvogados.com.br/artigos/10-principios-da-lgpd-paraotratamento-de-dados-pessoais. Acesso em: 29 maio 2021.

PEREIRA, Marcelo Cardoso. Direito à intimidade na internet. Curitiba: Juruá, 2004.

PESTANA, Marcio. Os princípios no tratamento de dados na Lei Geral da Proteção de Dados Pessoais. 2020. Disponível em https://www.conjur.com.br/dl/artigo-marcio-pestana-lgpd.pdf. Acesso em: 06 maio 2021.

REALE, Miguel. Lições Preliminares de Direito. 24º ed. São Paulo: Saraiva, 1998a.

REALE, Miguel. Filosofia do Direito. 11. ed. São Paulo: Saraiva, 1986b. p 60.

RODOTÁ, Stefano. A vida na sociedade da vigilância: a privacidade hoje. Rio de Janeiro: Renovar, 2008.

PINHEIRO, Patricia P. Proteção de Dados Pessoais: Comentários à Lei nº 13.709/2018. 1. ed. São Paulo: Saraiva Educação, 2018.

SANTOS, Frederico F., O que são princípios? Suas fases, distinções e juridicidade. 2015. Disponível em https://jus.com.br/artigos/45194/o-que-sao-principios-suas-fases-distincoes-e-juridicidade. Acesso em: 06 maio 2021.

SANCHEZ, Diego S. A responsabilidade civil diante das novas tecnologias digitais. Tecnologia e compliance no Direito. Éderson Garin Porto, José Augusto Scalea, Leonardo Lacerda Alves e Marcus Abreu Magalhães (organizadores). – Rio de Janeiro: ICLD / Pembroke Collins, 2020.

SILVA, Virgílio Afonso. Princípios e regras: mitos e equívocos acerca de uma distinção. Revista Latino Americana de Estudos Constitucionais. 2003, p.609.

SILVA, Wilson Melo da. O dano moral e sua reparação. 25a. ed. Rio de Janeiro: Forense, 2018.

9. GLOSSÁRIO LGPD³⁸

Agentes de tratamento: o controlador e o operador

Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo

Autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional

Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico

Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados

Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais

Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento

Dado pessoal: informação relacionada à pessoa natural identificada ou identificável

Dado pessoal de criança e de adolescente: o Estatuto da Criança e do Adolescente (ECA) considera criança a pessoa até 12 anos de idade incompletos e adolescente aquela entre 12 e 18 anos de idade. Em especial, a LGPD determina que as informações sobre o tratamento de dados pessoais de crianças e de adolescentes deverão ser fornecidas de maneira simples, clara e acessível de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança

Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural

Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado

Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)

Garantia da segurança da informação: capacidade de sistemas e organizações assegurarem a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação. A Política Nacional de Segurança da Informação (PNSI) dispõe sobre a governança da segurança da informação aos órgãos e às entidades da administração pública federal em seu âmbito de atuação

Garantia da segurança de dados: ver garantia da segurança da informação

Interoperabilidade: capacidade de sistemas e organizações operarem entre si. A autoridade nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade, além dos padrões de interoperabilidade de governo eletrônico (ePING)

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador

Órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico

Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco

Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento

Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro

Tratamento: toda operação realizada com dados pessoais; como as que se referem:

• acesso - possibilidade de comunicar-se com um dispositivo, meio de armazenamento, unidade de rede, memória, registro, arquivo etc., visando receber, fornecer, ou eliminar dados

• armazenamento - ação ou resultado de manter ou conservar em repositório um dado

• arquivamento - ato ou efeito de manter registrado um dado embora já tenha perdido a validade ou esgotada a sua vigência

• avaliação - ato ou efeito de calcular valor sobre um ou mais dados

• classificação - maneira de ordenar os dados conforme algum critério estabelecido

• coleta - recolhimento de dados com finalidade específica

• comunicação - transmitir informações pertinentes a políticas de ação sobre os dados

• controle - ação ou poder de regular, determinar ou monitorar as ações sobre o dado

• difusão - ato ou efeito de divulgação, propagação, multiplicação dos dados

• distribuição - ato ou efeito de dispor de dados de acordo com algum critério estabelecido

• eliminação - ato ou efeito de excluir ou destruir dado do repositório

• extração - ato de copiar ou retirar dados do repositório em que se encontrava

• modificação - ato ou efeito de alteração do dado

• processamento - ato ou efeito de processar dados

• produção - criação de bens e de serviços a partir do tratamento de dados

• recepção - ato de receber os dados ao final da transmissão

• reprodução - cópia de dado preexistente obtido por meio de qualquer processo

• transferência - mudança de dados de uma área de armazenamento para outra, ou para terceiro

• transmissão - movimentação de dados entre dois pontos por meio de dispositivos elétricos, eletrônicos, telegráficos, telefônicos, radioelétricos, pneumáticos etc.

• utilização - ato ou efeito do aproveitamento dos dados

Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicas no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.

10. APÊNDICES

Contexto Atual 2021 – Ataques cibernéticos com repercussão na mídia com vazamento de dados pessoais (*)

IBRASPD - Instituto Brasileiro de Segurança, Proteção e Privacidade de Dados. Disponível em: https://www.ibraspd.org/. Acessado em: 27 jul. 2021.

 

IBRASPD - Instituto Brasileiro de Segurança, Proteção e Privacidade de Dados. Disponível em: https://www.ibraspd.org/. Acessado em: 27 jul. 2021.

Acordão TJSP – Fragmento do acordão³⁹ de indenização por Dano Material em decorrência da inobservância da LGPD por parte do Controlador de dados.

 

 

1 São considerados dados pessoais aqueles que comumente fornecemos em um cadastro, como nome, RG, CPF, gênero, data e local de nascimento, filiação, telefone, endereço residencial, cartão ou dados bancários.

2 Lei Nº 13.709, De 14 de Agosto de 2018.

3 GDPR é um projeto para proteção de dados e identidade dos cidadãos da União Europeia que começou a ser idealizado em 2012 e foi aprovado em 2016. Embora a região já tivesse leis relacionadas à privacidade, elas datavam de 1995 e, mesmo com algumas atualizações, não correspondiam ao cenário tecnológico atual. A decisão de criar o regulamento vem desta necessidade. Disponível em https://bakertillybr.com.br/protecao-de-dados-gdpr-brasil/. Acessado em 16 ago. 2021.

4 Tratamento: toda operação realizada com dados pessoais; como as que se referem. Vide glossário para maiores detalhes.

5 A atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional.

6 Pode ser contabilizada como 21 verbos a entender de como será a contagem.

7 BRASIL. Constituição (1988). Constituição: República Federativa do Brasil. Brasília, DF: Senado Federal, 1988.

8 No âmbito institucional e empresarial, compliance é o conjunto de disciplinas a fim de cumprir e se fazer cumprir as normas legais e regulamentares, as políticas e as diretrizes estabelecidas para o negócio e para as atividades da instituição ou empresa, bem como evitar, detectar e tratar quaisquer desvios ou conformidades que possam ocorrer. Disponível em: https://pt.wikipedia.org/wiki/Compliance. Acesso em: 15 mar. 2021.

9 FERREIRA, A. B. H. Novo Dicionário da Língua Portuguesa. 2ª edição. Rio de Janeiro. Nova Fronteira. 1986. p. 1 393.

10 TRF 3º Região. Disponível em: https://www.trf3.jus.br/lei-geral-de-protecao-de-dados-pessoais-lgpd/principios. Acesso em: 20 maio 2021.

11 [Jurídico] significa notificar conhecimento do conteúdo de um documento, normalmente por meio assinatura.

12GETPrivacy. Disponível em: https://getprivacy.com.br/10-principios-tratamento-de-dados-pessoais-lgpd. Acesso em: 23 maio 2021.

13 Autoridade Nacional de Proteção de Dados. Disponível em: https://www.gov.br/anpd/pt-br. Acesso em: 23 maio 2021.

14 Dispõe sobre a proteção da propriedade intelectual de programa de computador, sua comercialização no país, e dá outras providências.

15 Legislação sobre direitos autorais e dá outras providências.

16 Controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

17 Operador, é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

18 Confidencialidade, integridade e disponibilidade são os pontos de atenção para a política interna de TI de qualquer companhia. Cada um desses itens tem vital importância para a proteção dos dados e para a fluidez correta de todos os processos.

19 A Lei não descreve o que é um ambiente seguro.

20 O principal objetivo da ISO 27002 é estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Isso também inclui a seleção, a implementação e o gerenciamento de controles, levando em conta os ambientes de risco encontrados na empresa.

21ANPD publica regras para julgamentos e aplicação de multas. Disponível em: https://www.in.gov.br/web/dou/-/decreto-n-10.474-de-26-de-agosto-de-2020-274389226. Acesso em: 23 maio 2021.

22 Recomendações para gerenciar riscos enfrentados pelas organizações, podendo ser personalizado para qualquer contexto. A versão do ano de 2018 apresenta um guia mais claro e conciso, com o intuito de ajudar as organizações a usar os princípios de gerenciamento de risco para melhorar o planejamento e tomar melhores decisões.

23 Catalogo disponível para consulta em: https://www.normas.com.br/visualizar/abnt-nbr-nm/11548/abnt-nbriso-iec27701-tecnicas-de-seguranca-extensao-da-abnt-nbr-iso-iec-27001-e-abnt-nbr-iso-iec-27002-para-ges tao-daprivacidade-da-informacao-requisitos-e-diretrizes.

24 Dado sendo todo aquele com conteúdo “sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”. Ou seja, são aqueles dados que podem levar a discriminação de uma pessoa e, por tal motivo, devem ser considerados e tratados como dados sensíveis.

25 Mesmo princípio se aplica ao Código de Defesa do Consumidor.

26 Empresa, Holding, Órgão Público, Autarquia, Corporação, Associações, seja por pessoa natural ou pessoa jurídica de direito público ou privado. Artigo 1º da Lei 13.709.

27 Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

28 Responsabilidade do controlador é solidária e também abrangerá as ações do operador dos dados.

29 Responsabilidade do operador será restrita apenas às suas próprias ações, desde que não se equipare ao controlador ou não desrespeite a LGPD.

30 Dicionário de Ferreira, a responsabilidade significa: “obrigação de reparar o mal que se causou a outros” e responsável (do Francês responsable) é aquele que responde pelos próprios atos ou pelos de outrem.

31 O direito de exigir reparação e a obrigação de prestá-la transmitem-se com a herança.

32 Compreende tanto o dano emergente sofrido pela vítima quanto o lucro cessante, entendido aquele como o que ela efetivamente perdeu e o outro como o que razoavelmente deixou de lucrar. A indenização por dano material é ressarcitória ou reparatória.

33 A indenização por dano moral é compensatória, pois não visa restaurar o estado de coisas anterior ao dano, mas apenas compensar o sofrimento da vítima.

34 AgRg no AREsp 38.057/SC, Rel. Ministro SIDNEI BENETI, TERCEIRA TURMA, julgado em 15/05/2012, DJe 28 maio 2012.

35Apelação Civil disponível em https://tj-sp.jusbrasil.com.br/jurisprudencia/1236177384/apelacao-civel-ac-10031222320208260157-sp-1003122-2320208260157/inteiro-teor-1236177751. Acessado em: 16 set. 2021.

36 WhatsApp é um aplicativo multiplataforma de mensagens instantâneas e chamadas de voz para smartphones. Além de mensagens de texto, os usuários podem enviar imagens, vídeos e documentos em PDF, além de fazer ligações grátis por meio de uma conexão com a internet. Disponível em https://canaltech.com.br/apps/o-que-significa-whatsapp. Acessado em: 17 out. 2021.

37 Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano. (grifou-se) Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

38 Glossário LGPD — LGPD - Lei Geral de Proteção de Dados Pessoais | Serpro. Disponível em: https://www.serpro.gov.br/lgpd/menu/a-lgpd/glossario-lgpd. Acessado em: 15 jul. 2021.

39 Acordão de inteiro teor disponível em: https://tj-sp.jusbrasil.com.br/jurisprudencia/1236177384/apelacao-civel-ac-10031222320208260157-sp-1003122-2320208260157/inteiro-teor-1236177751