PT
EN
A responsabilidade civil impõe o dever de indenizar quando há um dano e nexo de causalidade entre a ação ou omissão da empresa.
E mais, a legislação encampa algumas formas de se responsabilizar. Uma delas é norteada pela necessidade de demonstração da culpa da empresa nessa ação que referimos no parágrafo anterior, a chamada responsabilidade civil subjetiva.
Outra modalidade, a responsabilidade civil objetiva, exige tão somente a prova do dano e do nexo causal para o dever de reparar a lesão de terceiro. É o caso das relações consumeristas, em que o Código de Direitos do Consumidor garante o direito de reparação por falta da prestação de serviço ou vício do produto, independentemente de culpa ou dolo.
A responsabilidade civil na Lei Geral de Proteção de Dados
No que concerne à LGPD, a lei não foi taxativa ao determinar qual a responsabilidade civil das empresas em caso de incidentes de segurança, ainda que estabeleça multas e penalidades para o descumprimento da lei.
Durante os longos dez anos em que se debateu sua criação, a responsabilidade civil foi alterada algumas vezes. Num primeiro momento, o tratamento de dados chegou a ser considerado uma “atividade de risco”. Já em momento posterior, a culpa foi afastada da responsabilidade de reparação.
Por fim, o artigo 43, da LGPD, dispõe que:
Art. 43. Os agentes de tratamento só não serão responsabilizados quando provarem:
I – que não realizaram o tratamento de dados pessoais que lhes é atribuído;
II – que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou
III – que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
Assim, as sanções administrativas previstas na lei são devidas em caso de não observância do ordenamento, independentemente de culpa ou dolo do agente. Já em relação à responsabilidade de indenizar terceiro lesado, a jurisprudência é divergente.
Dessa forma, podemos observar tanto condenações obrigando o pagamento de indenizações entre a empresa e o titular de dados – bastando a comprovação do dano –, e também a não condenação por falta de dolo ou culpa do agente.
Sendo assim, muitos empresários e gestores ficam em dúvida sobre a responsabilidade civil e a melhor forma de proteger seu patrimônio. Para tanto, veja a seguir.
Como proteger sua empresa
Uma coisa é clara, a governança de privacidade de dados tem papel fundamental para evitar o pagamento de sanções e indenizações. Tanto é que, na lei, há uma seção inteira destinada ao tema das boas práticas.
Assim, após estudo da LGPD, fica claro que não basta agir em conformidade com o ordenamento, mas faz-se necessário provar que não houve contribuição para eventual dano ao titular de dados.
Em outras palavras, sua empresa precisa estar pronta para, a qualquer momento, poder prestar contas sobre a manipulação de dados.
Nesse sentido, o papel do Data Protection Officer (DPO), ou Encarregado de Dados, é precisamente garantir a transparência e o cumprimento das normas, bem como zelar pela proteção de dados dentro da empresa de forma geral. Suas atribuições também incluem mapear os pontos de vulnerabilidade e treinar os colaboradores.
Para evitar erros, imprudências e imperícias, as empresas devem, sim, buscar o apoio de profissionais capacitados que possam fomentar políticas internas mais seguras e responsáveis.
Dra. Paula Tonani
Ficou com alguma dúvida? Entre em contato.
