Responsabilidade solidária na LGPD

O que é preciso saber sobre a responsabilidade civil na LGPD?

A responsabilidade civil está diretamente conectada ao fato ilícito ou até mesmo ao fato lícito do dano causado a terceiro, no caso da LGPD o titular dos dados, isso quer dizer que, independentemente de culpa ou não, a manipulação incorreta dos dados pode vir a gerar uma indenização ao seu titular.

A responsabilidade civil estabelecida na LGPD, mais precisamente em seus artigos 42 a 45 (que são de importante leitura), estipulou que os agentes de tratamento – controlador e operador, serão responsabilizados quando causarem danos ao titular de dados.

Existe um grande debate entre os especialistas em LGPD sobre o tema, pois a Lei não é precisa nesse ponto, já que foi excluída de sua redação o termo “independentemente de culpa”. Neste caso, prevaleceria a responsabilidade subjetiva, ou seja, necessidade de comprovação e culpa do agente.

Mas o que constatamos com base no determinado na LGPD é que, a responsabilidade nesses casos pode ser tanto objetiva ou subjetiva. O dano determinado pela Lei deve ser analisado sobre as duas óticas, e sua aplicação vai depender do caso concreto e da relação jurídica existente entre as partes.

Quando a relação for de consumo, obrigando a empresa ou ente público a repará-lo, aplicar-se á a teoria objetiva. No entanto, quando o dano for causado pelo operador caberá ao controlador se amparar na teoria subjetiva, a fim de afastar a responsabilidade solidária na relação existente entre as partes.

Além do debate em torno da aplicabilidade da responsabilidade objetiva e subjetiva, a lei também trata sobre a responsabilidade solidária, imputada ao controlador ou ao operador, que são os responsáveis por coletar, usar, armazenar, e descartar dados pessoais dos titulares de dados, e, portanto, caso ocorra um uso indevido destes dados, ambos serão responsabilizados pelos danos causados. Tal medida adotada pela Lei tem como finalidade assegurar a efetiva indenização ao titular de dados

Nesse caso, o titular de dados que sofreu o dano e desejar ajuizar demanda judicial contra a organização, poderá imputar a responsabilidade para ambos, optando tanto pelo controlador quanto pelo operador para figurar no polo passivo da ação, pois cada um será responsável pelo todo indenizável.

É importante destacar que, a Lei prevê a responsabilidade do operador em duas situações: no caso de descumprimento do determinado na legislação ou caso ele deixe de seguir as instruções determinadas pelo controlador, afinal, o controlador é o responsável pela gestão dos dados coletados e por orientar o operador nesse tratamento.

A Lei também determina que a solidariedade ocorrerá entre os controladores que estejam diretamente envolvidos no tratamento dos dados coletados, ou seja, aqueles que em conjunto deliberar sobre decisões que violem o sistema de proteção de dados ou às normas técnicas cabíveis.

Enfim, a LGPD estabelece sanções administrativas sem descuidar dos possíveis danos civis.

Logo, o disposto na Lei deve ser sempre analisado sob a ótica subjetiva e objetiva, a depender do caso concreto e da relação existente entre as partes envolvidas, mas o certo é que a responsabilidade em ambos os casos será solidária entre os agentes de tratamento controlador/operador.

Apesar de tratar de forma clara sobre a responsabilidade e solidariedade do controlador e operador, a Lei também prevê hipóteses de exclusão da solidariedade previstas no artigo 43 da referida Lei, vamos falar um pouco sobre elas?

A primeira hipótese de exclusão aproxima-se muito da figura da ilegitimidade passiva tratada como matéria de mérito pela LGPD. Nessa situação o agente não realizou o tratamento de dados que lhe foi encarregado, portanto, houve o tratamento de dados, mas não existiu qualquer vínculo com o agente.

A outra possibilidade é quando o agente realiza o tratamento, mas não viola a legislação, ocorrendo o dano por um ato lícito.

É possível ainda, a alegação de culpa exclusiva do titular de dados ou de terceiro que ocorre quando o dano for causado por intermédio do titular ou por uma ação conjunta do titular com o terceiro.

 

Perfil do Autor

Saulo Almeida
Saulo Almeida
Diretor de Riscos e Compliance da NowCy. Advogado sênior, pós-graduado em Direito Empresarial. Especialista em Direito Digital, LGPD, Cibersegurança e Risco Corporativo. Atualmente ocupando posição estratégica na gestão de riscos digitais.

Compartilhe