Primeiramente, é importante destacar o fato de que o artigo 42 da Lei Geral de Proteção de Dados Pessoais (LGPD) é claro ao prever a existência de responsabilidade civil do agente tratador de dados pessoais de pessoas físicas, quando no respectivo tratamento, houver a violação das normas legais de proteção de dados e consequentemente a caracterização de danos patrimoniais e/ou morais, individual ou coletivamente falando.
Apesar de ainda não ser um consenso nos Tribunais de Justiça brasileiros, até mesmo diante do pouco tempo de efetiva aplicabilidade da LGPD, da leitura do artigo supracitado extrai-se o entendimento de que para haver a responsabilização civil do agente de tratamento de dados pessoais, se faz necessária a análise de todos os requisitos exigidos para a configuração do dano moral, isto é, existência de ato ilítico, culpa do agente e dano efetivo.
Apenas a título de conhecimento, destaca-se que alguns juízes e Tribunais têm entendido que quando há efetivo vazamento de dados pessoais de pessoas físicas, a responsabilidade do agente de tratamento, causador do ato ilícito, é objetiva e não subjetiva, isto é, existe, independentemente de culpa.
Primeiramente, destaca-se que na referida decisão, houve uma clara diferenciação pelo Tribunal entre os dados pessoais “normais” daqueles considerados como “sensíveis”. E o que isso significa na prática? Bom, o Tribunal entendeu que os dados vazados no caso concreto não eram sensíveis, isto é, não detinham caráter discriminatório e se tratavam de dados públicos ou de fácil acesso, tais como: nome completo, CPF, data de nascimento, idade, telefone fixo e celular e endereço eletrônico.
No mais, ao julgar a apelação de n°. 1008308-35.2020.8.26.0704, o Tribunal de Justiça de São Paulo, adotou a tese de responsabilidade subjetiva do agente de tratamento de dados pessoais de pessoas físicas que deu causa a vazamento de dados pessoais e, assim, analisou se houve ou não o efetivo incidente de dados pessoais, se esta ocorrência se deu por ausência ou não de observância legal e de medidas eficazes de garantia à segurança e proteção dos dados pessoais pelo agente tratador.
Esclarece-se que na referida ação, o autor alegou que ao utilizar serviços públicos de determinada companhia, esta teria cometido ato ilícito ao vazar seus dados pessoais, inclusive atuando com ligações e envio de e-mails indesejados ao longo do tempo.
Ao analisar as provas contidas nos autos, o referido Tribunal de Justiça reconheceu a existência de vazamento de dados, motivo pelo qual determinou a obrigação da empresa pública em entregar ao Autor declaração com a origem exata dos dados efetivamente coletados; comprovação de existência de registro de tratamento, inclusive com informações claras e objetivas acerca dos critérios, finalidades e necessidade da coleta e tratamento dos respectivos dados pessoais. Também houve a determinação de entrega de cópia de todos os dados tratados no prazo de 30 dias.
Da análise desta decisão concreta, conclui-se que foi dado um norte mais claro sobre a interpretação que a jurisprudência dará ao artigo 42 da LGPD, ao se estabelecer a responsabilidade subjetiva dos agentes de tratamento de dados, quando da ocorrência de vazamentos ou outros incidentes.
Assim, sob a luz da responsabilidade civil subjetiva, as empresas que coletarem e tratarem dados pessoais de pessoas físicas terão as a oportunidade de produzir provas nos autos que evidenciem eventual inexistência de culpa na ocorrência de determinado incidente ou vazamento de dados, inclusive com a demonstração de proatividade não só na observância da legislação referente à proteção de dados, como também a prática e adoção de medidas diversas de segurança que garantam ao máximo a privacidade e segurança dos dados pessoais dos seus usuários.