Esse texto é a segunda parte de um artigo escrito pela autora Eduarda Chacon Rosas, leia a primeira parte aqui.
Os dois julgados, REsp nº 2147374/SP e AREsp nº 2130619/SP – que não são tecnicamente “precedentes”, e esta distinção de processo civil é importante –, em termos de “pano de fundo”, são similares. O que muda é a opinião da Terceira Turma, em relação à Segunda Turma, e isso é essencial porque a primeira é de direito privado e potencialmente analisará casos muito relevantes envolvendo players da iniciativa privada e titulares de dados.
Ao defender a competência da turma para apreciação da matéria, o relator inclusive defendeu que é atribuição das turmas de direito privado decidir sobre responsabilidade civil em casos que envolvam concessionárias de serviço público. O que acende nova luz vermelha: é possível que vazamentos de dados envolvendo o Estado sejam julgados por um colegiado que já se manifestou no sentido de que para condenar com base na LGPD, a prova do dano não é imprescindível.
Este posicionamento é inovador e não se extrai da literalidade do art. 42, segundo o qual seria necessário para fins e condenação fundada na LGPD, em tese, a demonstração da violação legal, do tratamento de dados e do dano. Ou seja, seriam requisitos cumulativos.
O antes e o depois
O novo julgado do STJ inaugura o entendimento de que o macrossistema de proteção de dados envolve uma “responsabilidade ativa” ou “proativa”, a partir da qual o agente de tratamento de dados pessoais deve demonstrar a adoção de “medidas eficazes” que atestem “a observância e o cumprimento das normas de proteção de dados”. A ideia subjacente, segundo o aresto, é de que os agentes de tratamento, inclusive o Poder Público, têm a obrigação de não apenas cumprir a lei, mas de provar este cumprimento – a fim de evitar a responsabilização civil.
O que se extrai do novo julgado, em se tratando da adoção de medidas de segurança adequadas, é que o agente de tratamento que não quiser ser judicialmente sancionado, deve, no âmbito da instrução processual, provar que “cumpre a lei”, inclusive demonstrando que medidas de governança e boas práticas instituiu.
O contencioso em proteção de dados
Veja-se que o magistrado (pensando no contencioso de proteção de dados), em adesão a esta lógica, precisaria partir inicialmente da presunção de culpa do agente de tratamentos: “se o incidente de segurança ocorreu, é porque não se tomaram as medidas adequadas de segurança”. Caberia, a partir daí, a este agente, erodir tal presunção, demonstrando que adotou as medidas de segurança adequadas e necessárias, suficientes, com base na tecnologia disponível à época, para evitar o resultado indesejado (que ocorreu mesmo assim). E esta prova é extremamente delicada. Passível de questionar-se, até, se é viável fazê-la sem uma perícia ou auditoria – o que é relevante considerando que este entendimento novo do STJ certamente será aplicado nos Juizados Especiais, onde a dilação probatória sequer é admitida.
Por enquanto o que se sabe é que há duas decisões do STJ sobre a mesma situação que partem de premissas completamente distintas e que, em essência, são inconciliáveis. Ambas serão utilizadas como “paradigmas” pelo contencioso afora, o que é muito importante no Brasil, país de tradição e cultura litigiosas.
Enquanto é inquestionável a importância da adesão à LGPD, é válido lembrar que a ANPD e a cultura de proteção de dados, de modo geral, sempre sinalizaram um compromisso com a internalização de novos comportamentos, com o letramento digital e com a adoção de um mindset de proteção de dados. O foco da atuação da autoridade, sabidamente, nunca foi sancionar. Muitos questionavam esta visão de mundo e defendiam que a sociedade só aprenderia – e mudaria – na base da sanção financeira. Talvez esta convicção seja posta à prova agora.
O que esperar?
As decisões do STJ são formadoras de opinião e direcionadoras de comportamento. O primeiro julgado estava amparado na LGPD e demonstrava uma preocupação de política judiciária, pensando justamente no efeito dominó de uma decisão que admitisse dano presumido em matéria de proteção de dados e, quiçá, na inevitável repercussão deste tipo de paradigma para o Estado. A segunda decisão, embora não tenha falado sobre dano explicitamente, tirou o protagonismo dele que passou, na prática, a ser presumido na medida em que não é relevante para a condenação, ou até mesmo que decorre automaticamente do “descumprimento da lei”. O descumprimento que passou, este sim, a ser expressamente presumido – e trouxe um ônus probatório complexo ao agente de tratamento. A tônica aqui parece ser mesmo endurecer o enforcement.
Existe, agora, a expectativa de que a ANPD, competente para interpretar precipuamente a LGPD, regule, enfim, o que são “medidas de segurança adequadas”. Até lá, tudo indica que foi inaugurada a pedra fundamental da indústria do dano moral em matéria de proteção de dados.
Gostou do texto? Então você também pode gostar desse texto sobre governança e compliance.
