Neste trecho do livro Direito dos Seguros, Bruno Miragem e Luiza Petersen discorrem sobre a responsabilidade do segurador pelo tratamento indevido de dados; entenda!

Responsabilidade do segurador pelo tratamento indevido de dados

A responsabilidade pelos danos causados pelo tratamento indevido de dados se encontra regulada em capítulo próprio (Seção III, cap. IV). Com relação aos danos causados em razão do tratamento indevido de dados pessoais, é necessário que se compreenda a existência de um dever de segurança imputável ao segurador como agente de tratamento de dados (seja como controlador, seja como operador de dados), que é segurança legitimamente esperada daqueles que exercem a atividade em caráter profissional e, por essa razão, presume-se que tenham a expertise suficiente para assegurar a integridade dos dados e a preservação da privacidade de seus titulares.

Daí por que a responsabilidade dos agentes de tratamento decorre do tratamento indevido ou irregular dos dados pessoais do qual resulte o dano. Exige-se a falha do controlador ou do operador, que caracteriza o nexo causal do dano. Contudo, não se deve perquirir se a falha se dá por dolo ou culpa, senão que apenas sua constatação é suficiente para atribuição da responsabilidade, inclusive com a possibilidade de inversão do ônus da prova em favor do titular dos dados (art. 42, § 2.º).

O art. 44 da LGPD define que “o tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais: I – o modo pelo qual é realizado; II – o resultado e os riscos que razoavelmente dele se esperam; III – as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado”.

Note-se que a regra coloca em destaque, assim como ocorre com relação à responsabilidade do fornecedor no Código de Defesa do Consumidor, a questão relativa aos riscos do desenvolvimento, uma vez que delimita a extensão do dever de segurança àquela esperada em razão das “técnicas de tratamento de dados disponíveis à época em que foi realizado”. Isso é especialmente relevante considerando a grande velocidade do desenvolvimento da tecnologia no tratamento de dados e os riscos inerentes, em especial as situações de vazamento e acesso não autorizado de terceiros aos dados armazenados pelo controlador ou pelo operador.

Nessas hipóteses, trata-se de definir, com relação ao controlador e operador dos dados, se seria possível identificar um dever de atualização técnica imputável e, nesses termos, eventual adoção de novas técnicas que permitam o uso indevido do dado, especialmente por terceiros, e venham a caracterizar espécie de risco inerente (fortuito interno), que não exclui sua responsabilidade pelos danos que venham a suportar os titulares dos dados; ou se a delimitação quanto às técnicas disponíveis à época em que foi realizado o tratamento exclui eventual responsabilização do controlador e do operador pelo desenvolvimento tecnológico que permita obtenção de dados ou tratamento indevido por terceiros, desviado da finalidade originalmente prevista.

Os danos causados pelo tratamento indevido de dados pessoais dão causa à pretensão de reparação aos respectivos titulares. O segurador responde pela reparação na condição de controlador ou de operador dos dados, conforme o caso. No caso do operador, segundo o regime estabelecido pela LGPD, responderá solidariamente pelos danos causados quando descumprir as obrigações definidas na lei ou quando não tiver seguido as instruções lícitas do controlador, “hipótese em que o operador equipara-se ao controlador” (art. 42, § 1.º, I). Já os controladores que estiverem “diretamente envolvidos” no tratamento do qual decorram danos ao titular dos dados também responderão solidariamente pela reparação (art. 42, § 1.º, II). Deve-se bem compreender do que se trata as situações em que o controlador dos dados esteja “diretamente envolvido”, afinal, a ele cabe o tratamento de dados, diretamente, ou por intermédio dos operadores.

Nesses termos, as condições de imputação de responsabilidade do controlador e do operador pelos danos decorrentes do tratamento indevido dos dados serão: a) a identificação de uma violação às normas que disciplinam o tratamento de dados pessoais; e b) a existência de um dano patrimonial ou extrapatrimonial (moral) ao titular dos dados. Para a imputação de responsabilidade de ambos não se exigirá a demonstração de dolo ou culpa (é responsabilidade objetiva).

Da mesma forma, é correto compreender da exegese da lei, e em razão da própria essência das atividades desenvolvidas, que responderão solidariamente, de modo que o titular dos dados que sofrer o dano poderá demandar a qualquer um deles, operador ou controlador, individualmente ou em conjunto.

Tratando-se de danos a segurados consumidores decorrentes do tratamento indevido de dados, contudo, o art. 45 da LGPD, ao dispor que “as hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente”, conduzem tais situações ao regime do fato do serviço (art. 14 do CDC).

Nesse caso, controlador e operador de dados respondem solidariamente, assim como outros fornecedores que venham intervir ou ter proveito do tratamento de dados do qual resulte o dano. Nesse caso, incidem tanto as condições de imputação da responsabilidade pelo fato do serviço (em especial o defeito que se caracteriza pelo tratamento indevido de dados, ou seja, desconforme à disciplina legal incidente para a atividade) quanto as causas que porventura possam excluir eventual responsabilidade do fornecedor (art. 14, § 3.º), que estão, porém, em simetria com o disposto no próprio art. 43 da LGPD. Outro efeito prático da remissão do art. 45 ao regime de reparação próprio da legislação de proteção do consumidor será a submissão de eventuais pretensões de reparação dos consumidores ao prazo prescricional previsto no art. 27 do CDC, de cinco anos contados do conhecimento do dano ou de sua autoria.

Clique aqui e saiba mais sobre a obra!

LEIA TAMBÉM