Após a vigência da LGPD (Lei Geral de Proteção de Dados), que já vem sendo aplicada desde agosto de 2021, o Judiciário tem sido buscado para se manifestar sobre questões relacionadas a incidentes de segurança na proteção dos dados, principalmente em relação a responsabilidade civil dos agentes de tratamento, Controlador (empresa ou a pessoa que coordena e define como o dado pessoal será tratado, da coleta à eliminação) e Operador (pessoa ou a empresa que processa e trata os dados pessoais sob as ordens do controlador), que são os responsabilizados pelo descumprimento e vazamento de dados pela LGPD.
Em vista disso, os agentes de tratamento, devem realizar diversas ações para adequarem suas atividades que fazem uso de dados pessoais, como a adoção de medidas de segurança, técnicas e administrativas para a proteção dos dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado.
E apesar da LGPD trazer sanções administrativas por descumprimento da lei, como:
- Advertência, com indicação de prazo para adoção de medidas corretivas;
- Multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 por infração;
- Multa diária, observado o mesmo limite total referido acima;
- Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- Eliminação dos dados pessoais a que se refere a infração;
- Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
- Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período;
- Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Existe a possibilidade de responsabilidade civil no que diz respeito à reparação de danos causados pelo tratamento de dados, nos termos do art. 42 da LGPD, que trata da responsabilidade, prevendo a responsabilidade dos envolvidos nas operações de tratamento de dados pessoais, tanto do controlador como do operador, deixando clara a possibilidade de reparação dos danos patrimonial, moral, individual ou coletivo, sempre que tais danos decorrerem de violação à legislação de proteção de dados pessoais.
Em vista disso, fica evidente que tanto o operador, quanto o controlador, possuem responsabilidade civil sobre a reparação dos danos causados pelo tratamento dos dados, tendo responsabilidade solidária, conforme o artigo 42 da LGPD, e para o titular dos dados pessoais, essa previsão é totalmente positiva já que um tratamento de dados pessoais envolve mais de um agente, por conta disso não seria razoável impor ao titular dos dados pessoais o ônus de descobrir quem deu causa ao dano sofrido.
Portanto, a responsabilidade civil em matéria de dados pessoais é primordial para o equilíbrio das relações entre titular dos dados pessoais e as empresas que são responsáveis pelos dados deste. Por isso, é fundamental que as empresas estejam adaptadas e adequadas à LGPD e que estejam sempre vigilantes aos seus fornecedores, prestadores de serviço e aos seus sistemas de segurança da informação.
Comments