Compliance digital e responsabilidade civil na lei geral de proteção de dados
| Autor | Guilherme Magalhães Martins e José Luiz de Moura Faleiros Júnior |
| Ocupação do Autor | Doutor em Direito Civil (2006), Mestre em Direito Civil (2001) e Bacharel (1994) pela Faculdade de Direito da Universidade do Estado do Rio de Janeiro ? UERJ/Mestre em Direito pela Universidade Federal de Uberlândia ? UFU |
| Páginas | 263-297 |
COMPLIANCE DIGITAL E RESPONSABILIDADE
CIVIL NA LEI GERAL DE PROTEÇÃO DE DADOS
Guilherme Magalhães Martins
Doutor em Direito Civil (2006), Mestre em Direito Civil (2001) e Bacharel (1994) pela
Faculdade de Direito da Universidade do Estado do Rio de Janeiro – UERJ. Pós-doutoran-
do em Direito Comercial pela Faculdade de Direito da Universidade de São Paulo – USP
– Largo de São Francisco. Professor-associado de Direito Civil da Faculdade Nacional
de Direito – Universidade Federal do Rio de Janeiro – UFRJ. Professor permanente do
Doutorado em Direito, Instituições e Negócios da Universidade Federal Fluminense –
UFF. Professor adjunto (licenciado) da Faculdade de Direito da Universidade Cândido
Mendes-Centro. Foi professor visitante do Mestrado e Doutorado em Direito e da Gra-
duação em Direito da Universidade do Estado do Rio de Janeiro – UERJ (2009-2010).
Membro Honorário do Instituto dos Advogados Brasileiros – IAB NACIONAL, junto à
Comissão de Direito do Consumidor. Leciona Direito Civil, Direito do Consumidor e
temas ligados ao Direito Digital e aos novos direitos. Diretor do BRASILCON, Diretor
institucional do IBERC e associado do IBDFAM. Promotor de Justiça titular da 5ª Pro-
motoria do Consumidor e Contribuinte da Capital – Rio de Janeiro.
José Luiz de Moura Faleiros Júnior
Mestre em Direito pela Universidade Federal de Uberlândia – UFU. Especialista em
Direito Processual Civil, Direito Civil e Empresarial, Direito Digital e Compliance.
Participou de curso de extensão em direito digital da University of Chicago. Bacharel
em Direito pela Universidade Federal de Uberlândia – UFU. Professor de cursos
preparatórios para a prática advocatícia. Foi pesquisador do Grupo de Estudos em
Direito Digital da Universidade Federal de Uberlândia – UFU. Membro do Instituto
Avançado de Proteção de Dados – IAPD. Associado do Instituto Brasileiro de Estudos
de Responsabilidade Civil – IBERC. Autor de obras e artigos dedicados ao estudo do
direito e às suas interações com a tecnologia. Advogado.
Sumário: 1. Introdução. 2. Privacidade, segurança da informação e a proteção de dados
pessoais. 3. Big Data, novos riscos e novas contingências na sociedade da informação. 3.1. A
Internet e os uxos massivos de dados. 3.2. Autodeterminação informativa, titularidade e as
funções do consentimento na coleta e no tratamento de dados. 3.3. O compliance digital. 4. A
responsabilidade civil na LGPD. 4.1. Causas excludentes. 4.2. Natureza da responsabilidade
civil. 5. Considerações nais. 6. Referências.
1. INTRODUÇÃO
Não é novidade que a ascensão da Internet e o advento de novas tecnologias mudam
o contexto jurídico e acarretam desdobramentos regulatórios. O Estado, no exercício de
seu poder normativo, passa a se atentar às mudanças ocasionadas por esses fenômenos
e novas legislações surgem para dar guarida a direitos que, embora não estejam total-
mente desamparados pelo ordenamento nesse novo contexto informacional, impõem
revisitações e reformulações para que sejam eficazmente tutelados.
GUILHERME MAGALHÃES MARTINS E JOSÉ LUIZ DE MOURA FALEIROS JÚNIOR
264
As mais diversas atividades humanas sofreram influência da aplicação de novas tec-
nologias e, essencialmente, a operabilidade de praticamente todos os sistemas utilizados
nessas atividades envolve a coleta, o tratamento e o armazenamento de dados, consti-
tuindo grandes acervos informacionais que se convencionou denominar de Big Data.
E, com isso, modificam-se as relações sociais, comerciais, concorrenciais, de consumo,
de trabalho e vetustas manifestações legislativas perdem espaço, propiciam lacunas e
abrem campo largo para a proliferação de novos riscos.
Na esteira do implemento do Regulamento Geral de Proteção de Dados europeu
(RGPD, ou GDPR na sigla em inglês), a promulgação da Lei Geral de Proteção de Dados
brasileira – Lei nº 13.709, de 14 de agosto de 2018 – representou inegável avanço, mas
seu longo período de vacatio legis (24 meses no total), além de sinalizar a complexidade
de adaptação a seus rigores, incitou revisões críticas que já culminaram em alterações
legislativas. Inicialmente, foi editada a Medida Provisória nº 869, de 27 de dezembro
de 2018, que reformulou densamente o texto original da norma. Posteriormente, tendo
sido realizadas diversas audiências públicas com intensos debates acerca das alterações,
foi promulgada a Lei nº 13.853, de 08 de julho de 2019, que manteve alguns dos ajustes,
efetivou outros e recompôs o texto original em certos pontos.
A responsabilidade civil é um dos mais importantes trabalhados na LGPD, e os dis-
positivos que a abordam não sofreram grandes modificações desde que foi promulgado o
texto original, mas é tema recorrente e que suscita grande número de indagações e reflexões.
Para além de investigar os regimes descritos pelo legislador para que se obtenha
respostas quanto à teoria de sustentação da responsabilização das pessoas abarcadas pela
nova regulação – se subjetiva ou objetiva – e, nesse aspecto, para que seja possível uma
investigação acerca da suficiência das regras contidas nessas legislações, a análise das
particularidades da responsabilidade civil nelas contempladas é medida fundamental.
A hipótese exige que sejam estabelecidas diretrizes sólidas para a implementação
das políticas de proteção de dados pessoais definidas na legislação, notadamente com o
objetivo de prevenir demandas e responsabilidades. Nunca antes se cogitou com tamanha
ênfase do chamado compliance digital, manifestado em uma série de deveres relacionados
ao proceder ético dos agentes de tratamento de dados.
O assunto é tratado na lei brasileira, com previsão expressa em seus artigos 50 e 51,
mas há nuances peculiares que merecem revisitação não apenas para que se possa compre-
ender seus desdobramentos, mas até para que se possa averiguar a possível gênese de um
regime especial de responsabilidade civil, muitas vezes orientado pelos deveres de proteção
peculiares e desdobrados do chamado compliance digital. É o que se pretende neste capítulo.
2. PRIVACIDADE, SEGURANÇA DA INFORMAÇÃO E A PROTEÇÃO DE DADOS
PESSOAIS
A LGPD brasileira trabalha com um direito fundamental que não é novo: a proteção
de dados pessoais.1 Pela dicção do artigo 17 da própria lei, é assegurada a toda pessoa
1. O tema não é novo e já foi enfrentado, por exemplo, por Danilo Doneda, que há anos já destaca que “[a]través da
proteção de dados pessoais, garantias a princípio relacionadas à privacidade passam a ser vistas em uma ótica mais
265
COMPLIANCE DIGITAL E RESPONSABILIDADE CIVIL NA LEI GERAL DE PROTEÇÃO DE DADOS
natural a “titularidade de seus dados pessoais e garantidos os direitos fundamentais
de liberdade, de intimidade e de privacidade”, a revelar a amplitude de incidência das
normas protetivas que traz.
Noutros termos, a privacidade, que é profundamente estudada como direito fun-
damental desde a publicação do emblemático artigo de Samuel Warren e Louis Brandes,
em 18902, passa a ser vista como a moldura perfeita para a compreensão de um direito
fundamental à proteção de dados pessoais, e este, ainda que não seja um “novo” direito,
modifica algumas das compreensões clássicas sobre a responsabilidade civil.
Joseph Page explica os aspectos centrais do argumento de Warren e Brandeis:
O argumento construído por Warren e Brandeis era simples e direto. Primeiro deduziram de causas
existentes de responsabilidade civil, uma tendência judicial de salvaguardar sentimentos humanos da
interferência indevida por parte de outros. Então, buscando estabelecer uma base factual para apoiar a
necessidade de proteção legal adicional, eles descreveram as novas maneiras pelas quais uma mídia de
massa agressivamente intrusiva poderia infringir esses sentimentos, publicando informações precisas,
mas pessoalmente sensíveis, contra os desejos de seus súditos. A partir disso, chegaram à conclusão de
que o direito comum poderia e deveria proteger sentimentos feridos por essas novas invasões, moldando
uma nova forma de responsabilidade extracontratual que proporcionaria compensação às vítimas e,
assim, impediria uma conduta excessivamente intrusiva no futuro. Concluindo seu tour de force, eles
delinearam cuidadosamente os parâmetros da nova causa de ação, principalmente listando as defesas
que poderiam ser levantadas contra ela e outras limitações à responsabilidade.3
O que se percebe é a grande relevância do tema, que vem produzindo iniciativas
variadas, a ponto de tramitar perante o Congresso Nacional brasileiro a Proposta de
Emenda à Constituição nº 17/2019, que visa incluir a proteção de dados pessoais no rol
dos direitos e garantias fundamentais do cidadão – algo desnecessário, como visto, por se
tratar de um direito sistematicamente já abarcado pelo ordenamento. Além disso, a PEC
define como de competência exclusiva da União o poder para legislar sobre a proteção
de dados pessoais.
abrangente, pela qual outros interesses devem ser considerados, abrangendo as diversas formas de controle tornadas
possíveis com a manipulação de dados pessoais”. (DONEDA, Danilo. O direito fundamental à proteção de dados
pessoais. In: MARTINS, Guilherme Magalhães; LONGHI, João Victor Rozatti (Coord.). Direito digital: direito privado
e Internet. 3. ed. Indaiatuba: Foco, 2020, p. 36). Essa constatação advém de investigações teóricas mais profundas
sobre os impactos jurídicos do conceito de informação, pois, ainda que a pessoa em questão não seja a “autora” da
informação, no sentido de sua concepção, ela é a titular legítima de seus elementos. Noutros termos, o vínculo que
se cria entre informação e indivíduo é por demais estreito. Desse modo, quando o objeto dos dados é um sujeito
de direito, a informação passa a ser encarada como atributo da personalidade. Para mais detalhes: CATALÀ, Pierre.
Ebauche d’une théorie juridique de l’information. Informatica e Diritto, Nápoles, ano IX, jan./abr. 1983, p. 20).
2. WARREN, Samuel D.; BRANDEIS, Louis D. The right to privacy. Harvard Law Review, Cambridge, v. 4, n. 5, p.
193-220, dez. 1890.
3. PAGE, Joseph A. American tort law and the right to privacy. In: BRÜGGEMEIER, Gert; CIACCHI, Aurelia Colombi;
O’CALLAGHAN, Patrick (Eds.). Personality rights in European tort law. Cambridge: Cambridge University Press, 2010,
p. 41, tradução livre. No original: “The argument constructed by Warren and Brandeis was simple and straightforward.
They first deduced from existing causes of action in tort a judicial willingness to safeguard human feelings from undue
interference on the part of others. Then, seeking to establish a factual basis to support the need for additional legal
protection, they described the new ways by which an aggressively intrusive mass media could infringe upon these
feelings by publishing accurate but personally sensitive information against the wishes of their subjects. From this
they drew the conclusion that the common law could and should protect feelings bruised by these novel invasions
by fashioning a novel form of tort liability that would provide compensation to victims and thereby deter excessively
intrusive conduct in the future. Concluding their tour de force, they carefully delineated the parameters of the new
cause of action, mainly by listing defences that might be raised against it and other limitations on liability.”
Para continuar a ler
PEÇA SUA AVALIAÇÃO