A responsabilidade civil no contexto da Lei Geral de Proteção de Dados Pessoais (LGPD) é um dos temas mais relevantes e atuais do Direito brasileiro, principalmente diante do cenário digital em que vivemos. Com a promulgação da LGPD, por meio da Lei nº 13.709/2018, o ordenamento jurídico passou a reconhecer de forma expressa o direito à autodeterminação informativa, ou seja, o direito de todo cidadão de controlar o uso de seus próprios dados pessoais.
A proteção de dados pessoais, inserida na categoria de direito fundamental, é considerada uma extensão do direito à privacidade, previsto no artigo 5º, inciso X, da Constituição Federal. Isso significa que o uso inadequado de informações pessoais de funcionários, usuários ou clientes por empresas, órgãos públicos ou qualquer outro agente pode gerar consequências jurídicas, inclusive a obrigação de indenizar o titular dos dados.
A responsabilidade civil, em termos simples, é a obrigação que alguém tem de reparar um dano que causou a outra pessoa. No caso da LGPD, essa responsabilidade recai sobre os chamados “agentes de tratamento de dados”: os controladores, que são os responsáveis por tomar as decisões sobre como os dados serão usados; e os operadores, que são aqueles que tratam os dados conforme as instruções do controlador. Se esses agentes, no exercício de suas atividades, causarem dano a alguém — seja esse dano moral, patrimonial, individual ou coletivo —, poderão ser responsabilizados judicialmente e obrigados a indenizar os prejuízos sofridos.
O artigo 42 da LGPD prevê que tanto o controlador quanto o operador respondem pelos danos decorrentes de falhas no tratamento de dados pessoais. Esse tratamento pode incluir a coleta, o armazenamento, o uso, a modificação, o compartilhamento e até a eliminação dos dados. A lei reconhece, inclusive, que o dano pode ser de natureza coletiva, quando afeta um grupo de pessoas, não devendo a responsabilização ser arbitrada isoladamente a cada indivíduo afetado.
Um dos grandes avanços trazidos pela LGPD foi justamente o reconhecimento da importância dos dados pessoais como parte da dignidade da pessoa humana, estabelecendo a responsabilidade não apenas por perdas econômicas, mas também por danos morais, como a violação da privacidade, intimidade e honra.
A LGPD também estabelece deveres específicos aos agentes de tratamento, como a obrigação de adotar medidas técnicas e administrativas adequadas para proteger os dados pessoais, conforme disposto no artigo 46 da lei. Essas medidas de segurança devem seguir padrões reconhecidos e ser proporcionais aos riscos envolvidos. Se um agente deixar de adotar tais medidas e isso resultar em um vazamento ou outro tipo de incidente, restará configurada sua responsabilidade civil em reparar o dano, conforme previsto no artigo 44, parágrafo único, da LGPD.
A lei ainda prevê hipóteses de exclusão da responsabilidade. Por exemplo, quando o agente comprovar que não realizou o tratamento dos dados em questão, que não houve violação à legislação de proteção de dados ou, ainda, quando o dano tiver sido causado exclusivamente por culpa do titular dos dados ou de um terceiro. Mesmo assim, essas exceções devem ser interpretadas de forma restrita, pois a finalidade da LGPD é proteger o titular e garantir que os agentes de tratamento atuem com diligência e responsabilidade.
Em resumo, a responsabilidade civil no contexto da LGPD representa um instrumento de proteção ao cidadão e de estímulo à conformidade legal por parte das empresas e instituições. Sua criação foi necessária para que os direitos à privacidade e à dignidade da pessoa humana fossem respeitados também no meio digital, impondo aos controladores e operadores o dever de agir com transparência, segurança e responsabilidade.
Nossa equipe de Direito Civil permanece à disposição para os esclarecimentos adicionais que se fizerem necessários.
Por Luiza Riquelme de Almeida
