A Lei Geral de Proteção de Dados (Lei n° 13.709/2018) foi concebida, no que se refere às pessoas jurídicas, para que adotasse uma política interna de tratamento de dados pessoais capaz de conferir aos titulares autodeterminação informativa de forma a protegê-los nos quesitos li-berdade, privacidade e livre formação da personalidade.
Motivo pelo qual, desde a sua promulgação, é possível ver um signifi-cativo movimento do empresariado no sentido de adequar as atividades econômicas às diferentes obrigações dispostas naquela legislação.
Todavia, sabe-se que, apesar do grande esforço em se adequar, natural que as empresas passem por pontuais desacertos frente à Lei Geral de Proteção de Dados. Até porque, não é possível ignorar tanto a comple-xidade própria do processo de tratamento de informações pessoais quanto à imprevisibilidade na atividade empresarial diante das incerte-zas do mercado de consumo e das novas tecnologias em geral.
É nesse sentido, inclusive, que se precisa conceber a responsabilidade nos casos tratados pela Lei Geral de Proteção de Dados. Muito mais do que analisar pura e simplesmente a existência de um determinado even-to como sendo desafiador do previsto naquela legislação, como se isso já justificasse por si só um pleito indenizatório, vê-se necessário con-trastar o dano documentalmente comprovado com a efetiva postura da empresa no tocante aos esforços que dedica em se adequar.
Ou seja, mostra-se insuficiente para a responsabilidade oriunda da Lei Geral de Proteção de Dados a simples existência de evento supostamen-te danoso, como se isso independesse de comprovação e de dimensio-namento de prejuízos ou, no mais, como se não fosse necessário anali-sar como a empresa vem agindo para impedir pontuais desacertos.
Muito pelo contrário. Cabe àquele que alega dano provar o preenchi-mento dos pressupostos da responsabilização: como nexo de causali-dade e dano.
Da mesma maneira que, no lugar de se buscar uma reparação integral, mais lógico que, antes, analise-se se há excessiva desproporção entre a gravidade da culpa e o dano, justificando a redução equitativa da inde-nização em sendo o caso, conforme o autorizado pelo Parágrafo Único do art. 944 do Código Civil.
Isso dado que não é crível que uma empresa que objetivou ao máximo se adequar a Lei Geral de Proteção de Dados, adotando e fazendo valer Planos de Adequação, seja responsabilizada pela reparação integrada de danos vindos de eventos incontornáveis quando levada em conta a complexidade do mercado de consumo e das novas tecnologias.
Para ilustrar esse posicionamento, basta analisar como vem o Tribunal de Justiça do Estado de São Paulo decidindo nos casos de vazamento de dados pessoais.
Em primeiro plano, vem se entendo que o mero vazamento, sem de-monstração de como isso teria importado utilização indevida das in-formações pessoais de modo a efetivamente ofender a honra e/ou o pa-trimônio dos titulares dos dados, não seria o suficiente para fazer nas-cer o direito à indenização.
Os titulares dos dados pessoais, ainda assim, tentam justificar a preten-são indenizatória na ideia de que o vazamento criaria uma esfera de eventuais danos, o que ensejaria reparações materiais e/ou moral a de-pender de cenário puramente hipotético.
Ocorre que o Tribunal de Justiça do Estado de São Paulo diz que não se poderia indenizar mera expectativa de ocorrência de dano proveniente da utilização indevida de dados vazados.
Em segundo plano, vem igualmente se entendo que, caso não haja como se reconhecer que a empresa deixou de adotar medida de segurança re-comendada pela ciência ou determinada pela Autoridade Nacional de Proteção de Dados, dando causa ao acesso dos dados por terceiro, não há como se falar em responsabilização.
Nota-se, portanto, que a jurisprudência tende a bem caminhar ao lado do que acima se posicionou: o evento tido como danoso não pode ser o suficiente para ensejar, sozinho, a responsabilidade da empresa. Neces-sário que seja constatado dano e contrastado frente ao grau de culpa a fim de se chegar a efetiva responsabilização, afastando-se de prejuízos in re ipsa e de reparações integrais que possam ser, por isso, despro-porcionais.
Nada mais lógico em considerando, como já dito, o contexto no qual as empresas estão inseridas enquanto dedicam esforços em se adequar. São longas cadeias de tratamento de dados, com diferentes agentes e inúmeras variáveis externas que acabam interferindo diretamente na atividade, a exemplo de novas tecnologias que vem sendo dia após dia inseridas no mercado.
Em virtude disso, o mais importante é conceber uma responsabilidade capaz de considerar a atividade de tratamento de dados a partir da rea-lidade social do empresariado, não se fundando na caça ilusória de cul-pados sem qualquer apego ao mundo dos fatos.
Natália Brotto é advogada, mestre em Direito dos Negócios pela Escola de Direito de São Paulo da Fundação Getúlio Vargas – FGV.
Leonardo A. Gulka Rivas é advogado, pós-graduando em Direito da Proteção e Uso de Dados pela PUC/MG.