A proteção de dados pessoais e a responsabilidade civil pelo seu vazamento na lei geral de proteção de dados

Abstract

Esta pesquisa propõe-se a investigar o regime de responsabilidade civil imputado aos agentes de tratamento previsto na Lei Geral de Proteção de Dados (LGPD) quando da ocorrência de vazamento de dados pessoais. A partir do método dedutivo, analisa-se a doutrina e as bases normativas relevantes ao tema, bem como algumas decisões que contribuem ao entendimento das nuances da matéria. Com esse propósito, a primeira parte da pesquisa aborda as características da Sociedade da Informação, a evolução da disciplina da proteção de dados e seus princípios. Também, aborda-se o desenvolvimento da legislação acerca da matéria, a remodulação do conceito de privacidade e, a partir de uma leitura sistemática do ordenamento jurídico brasileiro, a construção do direito fundamental à proteção de dados pessoais. Em decorrência do surgimento dos bancos de dados automatizados, direitos individuais como a intimidade, a privacidade, a autodeterminação informativa e o livre desenvolvimento da personalidade humana têm sido frequentemente violados em razão de incidentes de data breach. Nesse sentido, a partir de uma exposição das diferentes correntes doutrinárias acerca do assunto, o segundo capítulo deste estudo busca identificar o regime de responsabilidade civil previsto na LGPD. A priori, considerando-se o risco inerente à atividade de tratamento de dados, a responsabilidade civil dos agentes de tratamento é objetiva. Em sentido contrário, alguns doutrinadores apontam que, da leitura do texto da Lei, é possível aferir a ausência da expressão “independentemente de culpa”, o que pode levar a crer na predileção por um regime de responsabilidade subjetiva. Todavia, além do risco intrínseco à atividade, há que se atentar a uma interpretação sistemática do ordenamento, bem como à garantia da tutela dos direitos lesados, de modo a considerar a vulnerabilidade dos sujeitos e facilitar uma possível indenização às vítimas de vazamento de dados.

This paper aims to investigate the civil liability regime ascribed to controlling and processing agents envisaged on the General Data Protection Act (LGPD) in the occurrence of a data leakage. Utilizing the deductive approach method, the relevant doctrine and relevant normatives were analyzed, just as some judicial decisions that contribute to the materias‟ nuances understanding. With this intent, the first part of the research approaches the Information Society‟s characteristics, the evolution of the data protection‟s field and its principles. Furthermore, it analyzes the legislation‟s development, the reshaping of the privacity‟s idea and, as of a systematic reading of the Brazilian legal system, the construction of a fundamental right to the protection of personal data. As a result of the automated database, individual rights as intimacy, privacy, informational self-determination and the development of the human personality are frequently violated due to data breach events. As such, from an exposition of different lines doctrinal that interpret this subject, the second chapter aims to identify the civil liability regime envisaged on the LGPD. A priori, considering the data processing‟s inherent risk, the civil liability ascribed to data controller and processor is the strict liability. Otherwise, some doctrinators note that the absence of the expression “regardless of blame” on the Act‟s text might give the impression that the legislator preferred the adoption of a civil subjective responsibility. Nevertheless, besides the inherent risk, it is important to make use of a systematic interpretation as well as guarantee the guardianship of a right injured with the intent to consider the individual‟s vulnerability and ease compensation to those data leakage victims.