A polissemia da responsabilidade civil na LGPD

Nelson Rosenvald

A polissemia da responsabilidade civil na LGPD.

6/11/2020

You cannot escape the responsibility of tomorrow by evading it today.
Abraham Lincoln

Muito se discute sobre responsabilidade civil na LGPD. A responsabilidade civil insculpida na lei 13.709/18 seria objetiva ou subjetiva? Caso considerada objetiva, o nexo de imputação remeteria ao risco da atividade (em razão do exercício - art. 42) ou ao defeito do produto/serviço (tratamento irregular- art. 44)? Em sendo a responsabilidade apreciada como subjetiva, assume-se a culpa como fator atributivo, ou nos serviremos de um conceito objetivo de ilícito? Em sendo assim, a eliminação da culpa excluiria a responsabilidade subjetiva (como em França) ou só se alcança a real obrigação objetiva de indenizar quando afastamos a ilicitude, tal como na legislação da Alemanha ou Portugal?

Esse debate é importante – bem como as diversas soluções até então construídas -, mas não esgota as múltiplas variáveis e dimensões do termo “responsabilidade” e as suas possíveis aplicações na LGPD. Em verdade, a controvérsia sobre o exato fator de atribuição da responsabilidade civil concerne tão somente à qualificação da obrigação de indenizar, para que se proceda à reparação integral de danos patrimoniais e extrapatrimoniais a serem transferidos da esfera da vítima para o patrimônio dos causadores de danos.

No common law há um termo que se ajusta perfeitamente ao clássico sentido civilistico da responsabilidade. Trata-se da "liability". Várias teorias desenvolvem a liability no contexto da responsabilidade civil. Em comum, remetem à uma indenização cujo núcleo consiste em um nexo causal entre uma conduta e um dano, acrescida por outros elementos conforme o nexo de imputação concreto, tendo em consideração as peculiaridades de cada jurisdição.

Porém, este é apenas um dos sentidos da responsabilidade. Ao lado dela, colocam-se três outros vocábulos: "responsibility", "accountability" e "answerability". Os três podem ser traduzidos em nossa língua de maneira direta com o significado de responsabilidade, mas na verdade diferem do sentido monopolístico que as jurisdições da civil law conferem a liability, como palco iluminado da responsabilidade civil (artigos 927 a 954 do Código Civil). Em comum, os três vocábulos transcendem a função judicial de desfazimento de prejuízos, conferindo novas camadas à responsabilidade, capazes de responder à complexidade e velocidade dos arranjos sociais.

Cremos ser importante enfatizar o sentido de cada um dos termos utilizados na língua inglesa para ampliarmos o sentido de responsabilidade. Palavras muitas vezes servem como redomas de compreensão do sentido, sendo que a polissemia da responsabilidade nos auxilia a escapar do monopólio da função compensatória da responsabilidade civil (liability), como se ela se resumisse ao pagamento de uma quantia em dinheiro apta a repor o ofendido na situação pré-danosa. A liability não é o epicentro da responsabilidade civil, mas apenas a sua epiderme. Em verdade, trata-se apenas de um last resort para aquilo que se pretende da responsabilidade civil no século XXI, destacadamente na tutela dos dados pessoais.

Começando por "responsibility", trata-se do sentido moral de responsabilidade, voluntariamente aceito e jamais legalmente imposto. É um conceito prospectivo de responsabilidade, no qual ela se converte em instrumento para autogoverno e modelação da vida. No campo do tratamento dos dados pessoais, assume duas vertentes: para agentes de tratamentos, significa a inserção da ética no exercício de sua atividade; para os titulares dos dados, a educação digital, no sentido de "...capacitação, integrada a outras práticas educacionais, para o uso seguro, consciente e responsável da internet como ferramenta para o exercício da cidadania" (art. 26 MCI). Se uma pessoa não sabe o que acontece com os seus dados, não poderá se proteger. Conceitos como de "anonimização de dados", sequer são dominados por advogados, quanto mais pelo cidadão em geral. Por isto a educação digital não se confunde com o direito fundamental à inclusão digital (tratado neste espaço na coluna de 23/10 por Carlos Edison do Rêgo e Diana Loureiro). A educação digital extrapola a ideia de acesso à internet, alcançando o sentido de uma autodeterminação informativa, tal como delineado entre os fundamentos da LGPD (art. 2, II, lei 13.709/18).

Avançando para a "accountability", ampliamos o espectro da responsabilidade, mediante a inclusão de parâmetros regulatórios preventivos, que promovem uma interação entre a liability do Código Civil com uma regulamentação voltada à governança de dados, seja em caráter ex ante ou ex post.

No plano ex ante a accountability é compreendida como um guia para controladores e operadores, protagonistas do tratamento de dados pessoais, mediante a inserção de regras de boas práticas que estabeleçam procedimentos, normas de segurança e padrões técnicos, tal como se extraí do artigo 50 da LGPD. Impõe-se o compliance como planificação para os riscos de maior impacto negativo. Não por outra razão, ao discorrer sobre os princípios da atividade de tratamento de dados, o art. 6. da lei 13.709/18 se refere à "responsabilização e prestação de contas", ou seja, liability e accountability. Aliás, ao tratar da avaliação de impacto sobre a proteção de dados, em um viés de direitos humanos, a GDPR da União Europeia amplia o espectro do accountability para que os stakeholders sejam cientificados sobre operações que impactem em vulneração ao livre desenvolvimento da personalidade, causem discriminação, violem a dignidade e o exercício da cidadania.

Já na vertente ex post, a accountability atua como um guia para o magistrado e outras autoridades, tanto para identificar e quantificar responsabilidades, como para estabelecer os remédios mais adequados. Assim, ao invés do juiz se socorrer da discricionariedade para aferir o risco intrínseco de uma certa atividade por sua elevada danosidade – o desincentivo ao empreendedorismo é a reação dos agentes econômicos à insegurança jurídica -, estabelecem-se padrões e garantias instrumentais que atuam como parâmetros objetivos para a mensuração do risco em comparação com outras atividades. Aliás, se o causador do dano houver investido em compliance, com efetividade, pode-se mesmo cogitar da redução da indenização, como espécie de sanção premial, a teor do parágrafo único do art. 944 do Código Civil. Em acréscimo, a ausência de previsão legal de um modelo jurídico similar aos punitive damages, não impede que em resposta às infrações cometidas por Agentes de Tratamento de Dados, a Autoridade Nacional de Proteção de Dados, sirva-se da accountability para a estipulação de sanções de natureza punitiva e quantificação de multas, conforme previsão do artigo 52 da LGPD.

Não se pode afastar a possibilidade de que, em reação a perspectiva de uma liability acrescida de uma accountability, os agentes econômicos respondam ao esforço conjunto de legislação e regulação, mediante a padronização de arranjos contratuais aptos à diluição dos custos dos acidentes. O recurso à gestão contratual dos riscos, pode ser dar mediante a limitação de responsabilidade ou a sua transferência ao usuário ou a seguradoras. Mas não podemos olvidar da assimetria informativa dos usuários, associada à sua frequente condição de consumidores, para a rígida aferição das cláusulas contratuais gerais.

Por último, entramos na seara da answerability. O termo é traduzido ao pé da letra como "explicabilidade", impondo-se como mais uma camada da função preventiva da responsabilidade. A answerability é um procedimento de justificação de escolhas que extrapola o direito à informação, facultando-se a compreensão de todo o cenário da operação de tratamento de dados. No âmbito da LGPD ela amplia o seu raio, convertendo-se em uma "ability to appeal", ou seja, o titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade (art. 20, lei 13.709/18). Prioriza-se uma revisão extrajudicial por humanos, de decisões produzidas por inteligência artificial. A liability surgirá em um momento posterior, se eventualmente eclodem danos em razão de atos ou atividades danosas que vulneram o profiling da pessoa ou alcançam situações existenciais.

Responsibility, accountability e answerability executam exemplarmente as funções preventiva e precaucional da responsabilidade civil, eventualmente complementadas pela função compensatória (liability). Ao contrário do que propaga a escola clássica da responsabilidade, distancia-se o efeito preventivo de um mero efeito colateral de uma sentença condenatória a um ressarcimento. Aliás, a multifuncionalidade da responsabilidade civil não se resume a uma discussão acadêmica: a perspectiva plural da sua aplicabilidade à LGPD é um bem-acabado exemplo legislativo da necessidade de ampliarmos a percepção sobre a responsabilidade civil. Não se trata tão somente de um mecanismo de contenção de danos, mas também de contenção de comportamentos. Transpusemos o "direito de danos" e alcançamos uma responsabilidade civil para muito além dos danos.

Evidencia-se, assim, uma renovada perspectiva bilateralizada: a responsabilidade como mecanismo de imputação de danos – foco da análise reparatória - no qual o agente se responsabiliza "perante" a vítima, convive com a responsabilidade "pelo outro", o ser humano. Aqui, agrega-se a pessoa do agente e a indução à conformidade mediante uma regulação de gestão de riscos, sobremaneira a sua mitigação, seja por parte de um desenvolvedor de tecnologias digitais emergentes como de um agente de tratamento (accountability/answerability). Porém, em uma noção de reciprocidade, a mitigação de ilícitos e danos também incumbe a cada um de nós, mediante a paulatina construção de uma autodeterminação responsável que nos alforrie da heteronomia e vitimização (responsibility), pois como já inferia Isaiah Berlin "O paternalismo é a pior forma de opressão".

*Nelson Rosenvald é procurador de Justiça do MP/MG. Pós-doutor em Direito Civil na Università Roma Tre (IT-2011). Pós-doutor em Direito Societário na Universidade de Coimbra (PO-2017). Visiting Academic na Oxford University (UK-2016/17). Professor visitante na Universidade Carlos III (ES-2018). Doutor e mestre em Direito Civil pela PUC/SP. Presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil (IBERC). Professor do corpo permanente do Doutorado e Mestrado do IDP/DF. Associado Fundador do Instituto Avançado de Proteção de Dados – IAPD.

Coordenação

Cintia Rosa Pereira de Lima , professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto – FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Ottawa University (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pó-doutora em Direito Civil na Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Presidente do Instituto Avançado de Proteção de Dados – IAPD - www.iapd.org.br. Associada Titular do IBERC - Instituto Brasileiro de Responsabilidade Civil. Membro fundador do IBDCONT - Instituto Brasileiro de Direito Contratual. Advogada.

Cristina Godoy Bernardo de Oliveira , professora doutora da Faculdade de Direito de Ribeirão Preto – Universidade de São Paulo desde 2011. Academic Visitor da Faculty of Law of the University of Oxford (2015-2016). Pós-doutora pela Université Paris I Panthéon-Sorbonne (2014-2015). Doutora em Filosofia do Direito pela Faculdade de Direito da USP (2011). Graduada pela Faculdade de Direito da USP (2006). Líder do Grupo de Pesquisa Direito, Ética e Inteligência Artificial da USP – CNPq. Coordenadora do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados – IAPD. Coordenadora do MBA em Direito e Tecnologia, oferecido pelo Centro de Inteligência Artificial e Aprendizado de Máquina (CIAAM+) da USP. https://ciaamplus.com.

Evandro Eduardo Seron Ruiz , professor Associado do Departamento de Computação e Matemática, FFCLRP - USP, onde é docente em dedicação exclusiva. Atua também como orientador no Programa de Pós-graduação em Computação Aplicada do DCM-USP. Bacharel em Ciências de Computação pela USP, mestre pela Faculdade de Engenharia Elétrica da UNICAMP, Ph.D. em Electronic Engineering pela University of Kent at Canterbury, Grã-Bretanha, professor lLivre-docente pela USP e pós-Doc pela Columbia University, NYC. Coordenador do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados – IAPD.

Nelson Rosenvald é advogado e parecerista. Professor do corpo permanente do Doutorado e Mestrado do IDP/DF. Pós-Doutor em Direito Civil na Università Roma Tre. Pós-Doutor em Direito Societário na Universidade de Coimbra. Visiting Academic na Oxford University. Professor Visitante na Universidade Carlos III, Madrid. Doutor e Mestre em Direito Civil pela Pontifícia Universidade Católica de São Paulo – PUC/SP. Presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil – IBERC. Foi Procurador de Justiça do Ministério Público de Minas Gerais.

Newton De Lucca , professor Titular da Faculdade de Direito da USP. Desembargador Federal, presidente do Tribunal Regional Federal da 3ª Região (biênio 2012/2014). Membro da Academia Paulista de Direito. Membro da Academia Paulista de Letras Jurídicas. Membro da Academia Paulista dos Magistrados. Vice-presidente do Instituto Avançado de Proteção de Dados.