A RESPONSABILIDADE DOS AGENTES DE TRATAMENTO PELO VAZAMENTO DE DADOS

Abstract

O avanço tecnológico e a crescente interconexão das pessoas e empresas através da internet têm gerado um imenso volume de transferência de dados pessoais. Tais dados são coletados, armazenados e utilizados por organizações para diversos fins, como a publicidade direcionada e o desenvolvimento de produtos e serviços. Essa nova era, denominada capitalismo informacional, tem como principal característica a utilização de dados pessoais para obtenção de vantagens econômicas e competitivas. Desse modo, trouxe consigo o desafio de proteger esses dados, tarefa essencial à promoção dos direitos humanos, em especial, à proteção da dignidade humana e do direito à privacidade. Nesse contexto, o vazamento de dados surge como um dos desafios mais complexos e prementes enfrentados pelos indivíduos, governos e organizações. Trata-se da divulgação não autorizada, acidental ou intencional, de dados pessoais para uma audiência não destinada. Ainda que não contenha dados pessoais sensíveis, o vazamento de dados pode levar a consequências devastadoras, desde prejuízos financeiros até discriminação e ameaças à integridade física dos indivíduos afetados. Por conseguinte, a atividade legislativa na matéria deve objetivar a elaboração de instrumentos normativos eficazes não só para reparar os danos causados, mas também para preveni-los. Dessa forma, a problemática acerca da responsabilidade dos agentes de tratamento ganha relevância ímpar. A Lei Geral de Proteção de Dados (LGPD) brasileira destina os seus arts. 42 a 45 para tratar sobre o ressarcimento de danos, adotando um regime indubitavelmente especial em relação àqueles estabelecidos pelos arts. 927 e ss. do Código Civil brasileiro. No entanto, existe significativa controvérsia doutrinária sobre a natureza dessa responsabilidade, se subjetiva, objetiva ou ainda outra, bem como sobre se a indenização nos casos de vazamento é, ou não, presumida. Para solucionar as questões levantadas, a pesquisa confrontará dialeticamente as posições de autores nacionais e internacionais sobre o assunto. Além disso, comparará a LGPD com o principal modelo que a inspirou, o Regulamento Geral sobre Proteção de Dados (RGPD), a fim de analisar as soluções empregadas a nível de prevenção e ressarcimento dos danos em cada caso. A comparação será dividida em três fases. Na primeira, os modelos de prevenção e ressarcimento de danos da LGPD e do RGPD serão examinados isoladamente, considerando também aspectos jurisprudenciais da aplicação normativa. Depois disso, a análise recairá sobre a relação das opções normativas com o complexo de normas que compõem os seus respectivos ordenamentos. Por fim, a comparação será realizada, demonstrando as semelhanças e divergências entre as soluções. Como hipótese inicial de pesquisa, adotar-se-á o modelo de responsabilidade dito “proativo”, defendido por Maria Celina Bodin de Moraes, que parece melhor descrever o caráter especial desse regime. Nesse modelo, que se baseia no princípio da responsabilização e prestação de contas do art. 6°, X, da LGPD, o eixo axiológico da responsabilidade do agente se desloca da reparação do dano para a sua prevenção de forma eficaz. Assim, a melhor solução para os vazamentos consistiria na adoção de medidas de segurança preventivas e na elaboração estratégica junto às autoridades de controle de planos para mitigar danos derivados do incidente.