Qual a relação entre a LGPD e o Direito do Consumidor?

A Responsabilidade Civil na Lei Geral de Proteção de Dados e no Código de Defesa do Consumidor

155
Reprodução

 Dito que a Lei Geral de Proteção de Dados é aplicável em qualquer relação que tenha a finalidade econômica, seja por uma pessoa jurídica ou física e pode ser aplicada nas relações consumeristas, sobretudo pelo seu caráter constitucional e respaldado na Teoria do Diálogo das Fontes, insta apontar o instituto da responsabilidade civil nessas relações.

Com o advento da recente Lei Geral de Proteção de Dados Pessoais, têm se discutido o regime da responsabilidade civil, se se trata de objetiva ou subjetiva.

Insta estabelecer primeiramente que a LGPD se trata de um microssistema, que pode versar em relações de consumo e também em relações que não são oriundas de relação consumerista, como no caso as respaldadas no Código Civil.

Logo, para dizer que a responsabilidade será objetiva ou subjetiva, a primeira análise deve ser feita é se a relação jurídica é consumerista.

O entendimento majoritário da doutrina, é que a responsabilidade do agente de tratamento de dados é subjetiva quando não se tratar de relação de consumo.

Se a relação jurídica for de consumo, entende-se que a responsabilização é objetiva. Em uma análise no art. 45 da LGPD, é possível estabelecer o entendimento da responsabilização sem análise de culpa do agente, visto que a normativa é clara ao dizer que nas relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente.8

Tal posicionamento é congruente quando se se tratar de uma relação que tem por base a vulnerabilidade do consumidor e quando se leva em consideração a Teoria do Diálogo das Fontes, pois não haveria sentindo aplicar uma norma em relação de consumo que não leva em consideração o fato da responsabilização objetiva da relação jurídica.

A Responsabilidade Solidária

A responsabilidade é solidária entre os agentes que realizam o tratamento – o controlador e o operador -, esta previsão está no art. 42, I, II da LGPD.

Para fins didáticos insta frisar que como menciono no artigo publicado pelo JusBrasil “Uma análise do impacto da lei 13.709/18 – Lei Geral de Proteção de Dados – nas relações econômicas e jurídicas”, o dado coletado por um agente de tratamento passa por um verdadeiro ciclo, que vai desde a sua coleta até o seu descarte. Durante esse ciclo de tratamento o dado pode passar do controlador para o operador.

Dessa forma, controlador pode ser entendido como aquele que manda no tratamento de dados, sendo uma pessoa física ou jurídica e o operador é aquele que de fato executa a função, uma pessoa física ou jurídica. Ou seja, é o controlador quem decide a) quais dados serão coletados; b) qual é a finalidade do tratamento; c) quais serão as políticas de retenção de dados; d) quais serão os receptores dos dados, se existirem.

Dito que dentro da LGPD existem as figuras do controlador e do operador, e do caráter solidário que a norma traz a essas duas figuras, é possível afastar a responsabilização solidária entre esses dois agentes.

Se o agente (controlador ou operador) tiver provas que sejam suficientes que isentem a sua responsabilidade, a isenção poderá ser garantida.

Exemplo: Se uma instituição de ensino, que pode ser entendida como controladora de dados, coleta informações sobre seus alunos e responsáveis e envia esses dados a uma software house que é responsável pelo seu sistema de gestão escolar, realizando o tratamento dos dados em nome do controlador – aqui a escola – mas que um empregado da instituição de ensino imprime um relatório de inadimplência, mas deixa o papel em cima de sua mesa, e um aluno ou terceiro tem acesso a essas informações e os dados vazam, pode se entender que a responsabilidade será daquele que de fato falhou na segurança da informação.

Inclusive, a LGPD não tutela somente os dados previstos no meio digital, mas também em papel físico.

Por isso sempre a importância de medidas de compliance devem ser implementadas em todas empresas que tratam os dados, a fim de se estabelecer medidas de educação, prevenção e regras de boas práticas e de governança, para que seja efetivo o cumprimento da norma e evitando o tratamento inadequado e o litígio.

 

Excludentes de Responsabilidade

 

As 3 excludentes de responsabilidades estão previstas no art. 43 da LGPD, que versam sobre a prova de: a) a não realização de tratamento de dados; b) que embora tenha-se realizado o tratamento, não houve violação à legislação de proteção; ou c) culpa exclusiva do titular ou de terceiro.

 

Ação Regressiva

 

A ação de regresso é possível, com previsão no art. 42, §4º, da LGPD. Contudo, na prática é complexo determinar o grau de culpa do agente, ou até mesmo quem foi o agente pessoalmente causador do dano.

 

Ademais, respaldado em uma política de compliance, é possível celebrar contratos que possam dar maior seguranças as empresas, como em um termo de responsabilidade, mas também evitar o dano11.

 

Inversão do Ônus da Prova

 

Assim como no CDC, a LGPD possibilita que o ônus da prova seja invertido em favor do titular/ consumidor. Todavia, insta frisar que a inversão não se dá de forma automática.

 

A previsão dessa possibilidade está no art. 42, §2º, da GLPD, quando a alegação for verossímil, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa, semelhante ao que dispõe no CDC.

 

 

FONTE: https://www.migalhas.com.br/depeso/343495/a-aplicabilidade-da-lgpd