Nota-se um paralelo entre o inc. II do art. 43 da LGPD com o Código de Defesa do Consumidor torna-se irresistível; afinal, o art. 43 disciplina a exclusão de responsabilidade por meio da mesma técnica do art. 14, §3º, do CDC, que elenca, em um rol taxativo, as únicas hipóteses em que os agentes não serão responsabilizados. Se comparadas, nota-se que as redações dos dispositivos são quase idênticas (“os agentes de tratamento só não serão responsabilizados quando”), levando parte da doutrina a acreditar que a LGPD optou pelo sistema objetivo1.
Contudo, embora essa construção sintática seja típica da responsabilidade objetiva2, uma vez que promove o estreitamento das excludentes de responsabilização, logo no inciso II do mesmo artigo, haveria um aparente alargamento dessas excludentes. Ao tornar possível a exclusão de responsabilidade ante a comprovação da não violação à LGPD, ainda que os agentes tenham realizado o tratamento de dados pessoais que lhes é atribuído, a doutrina subjetivista afirma que o inciso II tornaria possível uma análise baseada na culpa3.
Para os subjetivistas, tendo em vista que a legislação de proteção de dados é pautada em uma série de condutas a se observar, condicionar a exclusa~o da responsabilidade civil à observância dessa legislação leva à necessidade de que seja feita uma análise da conduta e, por extensão, da culpa do agente para a responsabilização. Trata-se de um argumento lógico e com o qual concordaríamos se os filtros para a responsabilização na LGPD não fossem demasiadamente estreitos e estritamente objetivos.
Mesmo havendo vozes na jurisprudência que se aliem a essa concepção, firmando que “a responsabilidade atribui’da aos agentes de tratamento não é objetiva”4, há outras que sequer notam uma incompatibilidade entre o polêmico inciso II do art. 43 da LGPD e a responsabilidade objetiva. Em julgado da 36a Câmara do Tribunal de Justiça de São Paulo é pontuado que a “responsabilidade dos controladores e operadores e’ objetiva, mas dela se eximem se não houve violação à legislação de proteção de dados”5. Ou seja, em que pese a excludente ora mencionada, entendem que a lei desprezaria a culpa.
Outro grande protagonista do debate é o art. 44 da LGPD. Novamente, a alusão ao Código de Defesa do Consumidor é irresistível, pois o artigo exprime uma versa~o adaptada do conceito de defeito de serviço insculpido no art. 14, §1º,do CDC6. Ainda que as palavras “defeito” e “vício” não façam parte da redação do artigo7, a inspiração é inegável, basta abrir cada um dos diplomas legais e colocar os dispositivos lado a lado. Assim, da mesma forma que a legislação consumerista entende pelo defeito do serviço se não for fornecida a segurança esperada pelo consumidor, o tratamento de dados será irregular quando não corresponder com essa mesma expectativa de segurança8.
Os subjetivistas, contudo, embora reconheçam inspiração do art. 14 §1º do CDC no art. 44 da LGPD, defendem que a atribuição de responsabilidade decorrente deste artigo necessita da prova de que não foram adotadas medidas de segurança9. Ao que defendem, o art. 44 dependeria diretamente de seu parágrafo único, o qual condiciona a responsabilização à prova de que medidas de segurança aptas a proteger os dados não foram adotadas. Para eles, ainda que o dano decorresse da quebra de uma legi’tima expectativa de segurança, não seria possível responsabilizar o agente sem que fosse feita uma ana’lise valorativa de sua conduta, provando que ele deixou de implementar as medidas que lhe cabiam10.
Tal tese parece-nos mais um malabarismo com a redação e topografia confusa do artigo do que uma interpretação conforme o espírito da LGPD. Se forem permitidos esses exercícios mentais, propomos a seguinte leitura da legislação: de acordo com a própria redação do art. 44, é irregular o tratamento que não forneça a segurança esperada. Pois bem. Se o tratamento é irregular, logicamente, ele é contrário à LGPD. Admitir raciocínio diverso seria afirmar que um tratamento de dados irregular não viola a legislação ou que a legislação permite um tratamento de dados irregular. São duas ideias absurdas!
Partindo dessa premissa óbvia conclui-se: se não foi fornecida a segurança esperada, houve tratamento irregular de dados; se houve tratamento irregular, houve violação à legislação; se houve violação à legislação, não é possível exclusão de responsabilidade com base no inciso II do art. 43; afinal, somente não serão responsabilizados os agentes que respeitarem toda a lei de proteção de dados. Portanto, o agente que não fornecer a segurança esperada não se encaixa nas únicas excludentes de responsabilidade enunciadas no art. 43. É um jogo de palavras a partir das lacunas que a lei fornece.
Compreendendo, ainda que brevemente, os principais fundamentos de cada uma das correntes, acaba se reconhecendo que o debate em torno de qual seria a responsabilidade civil decorrente da LGPD é quase tragicômico. A partir da interpretação dos mesmos dispositivos, as correntes chegam a conclusões diametralmente opostas. Elas são como um espelho que reflete, ponto a ponto, exatamente a imagem que se volta para ele, mas num giro de 180 graus. Questiona-se: como foi possível o surgimento de posicionamentos tão opostos a partir da interpretação da mesma série de dispositivos?
A resposta se encontra no título do artigo. Por algum tempo, doutrinadores ficaram obcecados em traçar uma oposição entre a responsabilidade objetiva e a subjetiva. Contudo, trata-se de uma falsa dicotomia, que se dissolve cada vez mais ante a mudança do papel da culpa. A transformação ontológica da culpa foi intensa, transitando de uma culpa anímica, em que a reserva mental era relevante, para uma culpa objetiva11, na qual aferir se a conduta foi ou não culposa é verificar se ela observa o padrão esperado de comportamento.
Essa transformação, no entanto, causou certa confusão na doutrina, pois se entendia que uma análise in abstracto seria contrária à ideia de responsabilidade subjetiva justamente por ser uma análise dotada de objetividade12. Contudo, ao contrário do que se concebe, os sistemas de responsabilização objetivo e subjetivo não podem ser lidos como duas esferas dissociadas e isoladas. Não são separados e intangíveis! Ao contrário, a responsabilidade subjetiva e a objetiva são dois extremos de uma linha conti’nua, cada uma de um lado, podendo haver sistemas intermediários entre eles13.
Em outras palavras, pode haver uma análise de culpa na responsabilidade objetiva e vice-versa; da mesma forma, pode haver uma análise dotada de alta objetividade na responsabilidade subjetiva. São dois raciocínios diferentes que chegam à mesma conclusão: os sistemas de atribuição de responsabilidade se imiscuem. É exatamente pela volatilidade que o sistema de responsabilidade civil pode possuir na prática que há tamanho debate doutrina’rio acerca de qual seria aquele eleito pela LGPD.
Embora não façam referência a essa concepção de que pode haver sobreposição de objetividade e subjetividade na atribuição de responsabilidade, DRESCH e FALEIROS JÚNIOR14 vão partir em defesa de que, na LGPD, há uma responsabilidade objetiva especial. Chamam de “especial” justamente por haver um grau de análise qualitativa nos padrões de conduta; porém, todos seriam objetivamente considerados. Ora, afirmar isso é acabar por reconhecer que pode haver algum grau de subjetivismo na objetividade.
Ironicamente, BRUNO BIONI e DANIEL DIAS defendem a mesma concepção, mas de maneira invertida, espelhada. Ao invés de afirmarem que a LGPD inaugura uma análise qualitativa da conduta na responsabilidade objetiva, defendem que há um altíssimo grau de objetividade em uma responsabilidade que seria subjetiva. Os autores inclusive pontuam a necessidade de se avançar para além de uma concepção binária e baseada em frágeis antagonismos de se o sistema é objetivo ou subjetivo.15
Chamem de risco na responsabilidade subjetiva ou de culpa na responsabilidade objetiva, a responsabilização sera’ a partir de um mesmo raciocínio: se não cumpridas as regras da lei, haverá responsabilidade. E ao que se nota, a lei impõe uma dupla atuação do agente de tratamento de dados, tanto de forma posterior ao dano quanto anterior: adotar medidas, implementá-las e demonstrar eficácia16. Se não adotar essa postura e antecipar os riscos, ele será responsabilizado se dessa falta de proatividade resultar dano.
No entanto, não se exige um dever hercúleo do controlador de dados: não é sobre todo e qualquer risco, irrestritamente, que ele deve se responsabilizar, mas sim somente sobre aquilo que se considera a legi’tima expectativa dos padrões da indústria17. A ideia a ser desenvolvida é, ao nosso ver, similar com a disposta no Código de Defesa do Consumidor: trabalhar-se-á com conceito juri’dico indeterminado e cujo sentido deve ser concretizado pelos tribunais nas circunstâncias do caso concreto18.
Nesse caso, junto do Poder Pudiciário, destaca-se a necessidade de um protagonismo da ANPD para delimitar quais os padrões mínimos nas principais situações de tratamento de dados, o que fatalmente irá orientar na conferência do estrito cumprimento da LGPD. O raciocínio deve ser o mesmo que já é aplicado: da mesma forma que não é exigido o padrão de segurança de uma instituição financeira a uma pequena mercearia não deve ser imposto aos agentes de tratamento adotar toda e qualquer medida de segurança. De toda forma, a responsabilização na LGPD será a partir de padrões bastante objetivos. E o agente que observa integralmente a lei, cobre todo o risco de seu empreendimento.
Texto: Cíntia Rosa Pereira e Davi Petroni Cardoso