Nota-se um paralelo entre o inc. II do art. 43 da LGPD com o Código de Defesa do Consumidor torna-se irresistível; afinal, o art. 43 disciplina a exclusão de responsabilidade por meio da mesma técnica do art. 14, §3º, do CDC, que elenca, em um rol taxativo, as únicas hipóteses em que os agentes não serão responsabilizados. Se comparadas, nota-se que as redações dos dispositivos são quase idênticas ("os agentes de tratamento só não serão responsabilizados quando"), levando parte da doutrina a acreditar que a LGPD optou pelo sistema objetivo¹.

Contudo, embora essa construção sintática seja típica da responsabilidade objetiva², uma vez que promove o estreitamento das excludentes de responsabilização, logo no inciso II do mesmo artigo, haveria um aparente alargamento dessas excludentes. Ao tornar possível a exclusão de responsabilidade ante a comprovação da não violação à LGPD, ainda que os agentes tenham realizado o tratamento de dados pessoais que lhes é atribuído, a doutrina subjetivista afirma que o inciso II tornaria possível uma análise baseada na culpa³.

Para os subjetivistas, tendo em vista que a legislação de proteção de dados é pautada em uma série de condutas a se observar, condicionar a exclusa~o da responsabilidade civil à observância dessa legislação leva à necessidade de que seja feita uma análise da conduta e, por extensão, da culpa do agente para a responsabilização. Trata-se de um argumento lógico e com o qual concordaríamos se os filtros para a responsabilização na LGPD não fossem demasiadamente estreitos e estritamente objetivos.

Mesmo havendo vozes na jurisprudência que se aliem a essa concepção, firmando que "a responsabilidade atribui'da aos agentes de tratamento não é objetiva"⁴, há outras que sequer notam uma incompatibilidade entre o polêmico inciso II do art. 43 da LGPD e a responsabilidade objetiva. Em julgado da 36^a Câmara do Tribunal de Justiça de São Paulo é pontuado que a "responsabilidade dos controladores e operadores e' objetiva, mas dela se eximem se não houve violação à legislação de proteção de dados"⁵. Ou seja, em que pese a excludente ora mencionada, entendem que a lei desprezaria a culpa.

Outro grande protagonista do debate é o art. 44 da LGPD. Novamente, a alusão ao Código de Defesa do Consumidor é irresistível, pois o artigo exprime uma versa~o adaptada do conceito de defeito de serviço insculpido no art. 14, §1º,do CDC⁶. Ainda que as palavras "defeito" e "vício" não façam parte da redação do artigo⁷, a inspiração é inegável, basta abrir cada um dos diplomas legais e colocar os dispositivos lado a lado. Assim, da mesma forma que a legislação consumerista entende pelo defeito do serviço se não for fornecida a segurança esperada pelo consumidor, o tratamento de dados será irregular quando não corresponder com essa mesma expectativa de segurança⁸.

Os subjetivistas, contudo, embora reconheçam inspiração do art. 14 §1º do CDC no art. 44 da LGPD, defendem que a atribuição de responsabilidade decorrente deste artigo necessita da prova de que não foram adotadas medidas de segurança⁹. Ao que defendem, o art. 44 dependeria diretamente de seu parágrafo único, o qual condiciona a responsabilização à prova de que medidas de segurança aptas a proteger os dados não foram adotadas. Para eles, ainda que o dano decorresse da quebra de uma legi'tima expectativa de segurança, não seria possível responsabilizar o agente sem que fosse feita uma ana'lise valorativa de sua conduta, provando que ele deixou de implementar as medidas que lhe cabiam¹⁰.

Tal tese parece-nos mais um malabarismo com a redação e topografia confusa do artigo do que uma interpretação conforme o espírito da LGPD. Se forem permitidos esses exercícios mentais, propomos a seguinte leitura da legislação: de acordo com a própria redação do art. 44, é irregular o tratamento que não forneça a segurança esperada. Pois bem. Se o tratamento é irregular, logicamente, ele é contrário à LGPD. Admitir raciocínio diverso seria afirmar que um tratamento de dados irregular não viola a legislação ou que a legislação permite um tratamento de dados irregular. São duas ideias absurdas!

Partindo dessa premissa óbvia conclui-se: se não foi fornecida a segurança esperada, houve tratamento irregular de dados; se houve tratamento irregular, houve violação à legislação; se houve violação à legislação, não é possível exclusão de responsabilidade com base no inciso II do art. 43; afinal, somente não serão responsabilizados os agentes que respeitarem toda a lei de proteção de dados. Portanto, o agente que não fornecer a segurança esperada não se encaixa nas únicas excludentes de responsabilidade enunciadas no art. 43. É um jogo de palavras a partir das lacunas que a lei fornece.

Compreendendo, ainda que brevemente, os principais fundamentos de cada uma das correntes, acaba se reconhecendo que o debate em torno de qual seria a responsabilidade civil decorrente da LGPD é quase tragicômico. A partir da interpretação dos mesmos dispositivos, as correntes chegam a conclusões diametralmente opostas. Elas são como um espelho que reflete, ponto a ponto, exatamente a imagem que se volta para ele, mas num giro de 180 graus. Questiona-se: como foi possível o surgimento de posicionamentos tão opostos a partir da interpretação da mesma série de dispositivos?

A resposta se encontra no título do artigo. Por algum tempo, doutrinadores ficaram obcecados em traçar uma oposição entre a responsabilidade objetiva e a subjetiva. Contudo, trata-se de uma falsa dicotomia, que se dissolve cada vez mais ante a mudança do papel da culpa. A transformação ontológica da culpa foi intensa, transitando de uma culpa anímica, em que a reserva mental era relevante, para uma culpa objetiva¹¹, na qual aferir se a conduta foi ou não culposa é verificar se ela observa o padrão esperado de comportamento.

Essa transformação, no entanto, causou certa confusão na doutrina, pois se entendia que uma análise in abstracto seria contrária à ideia de responsabilidade subjetiva justamente por ser uma análise dotada de objetividade¹². Contudo, ao contrário do que se concebe, os sistemas de responsabilização objetivo e subjetivo não podem ser lidos como duas esferas dissociadas e isoladas. Não são separados e intangíveis! Ao contrário, a responsabilidade subjetiva e a objetiva são dois extremos de uma linha conti'nua, cada uma de um lado, podendo haver sistemas intermediários entre eles¹³.

Em outras palavras, pode haver uma análise de culpa na responsabilidade objetiva e vice-versa; da mesma forma, pode haver uma análise dotada de alta objetividade na responsabilidade subjetiva. São dois raciocínios diferentes que chegam à mesma conclusão: os sistemas de atribuição de responsabilidade se imiscuem. É exatamente pela volatilidade que o sistema de responsabilidade civil pode possuir na prática que há tamanho debate doutrina'rio acerca de qual seria aquele eleito pela LGPD.

Embora não façam referência a essa concepção de que pode haver sobreposição de objetividade e subjetividade na atribuição de responsabilidade, DRESCH e FALEIROS JÚNIOR¹⁴ vão partir em defesa de que, na LGPD, há uma responsabilidade objetiva especial. Chamam de "especial" justamente por haver um grau de análise qualitativa nos padrões de conduta; porém, todos seriam objetivamente considerados. Ora, afirmar isso é acabar por reconhecer que pode haver algum grau de subjetivismo na objetividade.

Ironicamente, BRUNO BIONI e DANIEL DIAS defendem a mesma concepção, mas de maneira invertida, espelhada. Ao invés de afirmarem que a LGPD inaugura uma análise qualitativa da conduta na responsabilidade objetiva, defendem que há um altíssimo grau de objetividade em uma responsabilidade que seria subjetiva. Os autores inclusive pontuam a necessidade de se avançar para além de uma concepção binária e baseada em frágeis antagonismos de se o sistema é objetivo ou subjetivo.¹⁵

Chamem de risco na responsabilidade subjetiva ou de culpa na responsabilidade objetiva, a responsabilização sera' a partir de um mesmo raciocínio: se não cumpridas as regras da lei, haverá responsabilidade. E ao que se nota, a lei impõe uma dupla atuação do agente de tratamento de dados, tanto de forma posterior ao dano quanto anterior: adotar medidas, implementá-las e demonstrar eficácia¹⁶. Se não adotar essa postura e antecipar os riscos, ele será responsabilizado se dessa falta de proatividade resultar dano.

No entanto, não se exige um dever hercúleo do controlador de dados: não é sobre todo e qualquer risco, irrestritamente, que ele deve se responsabilizar, mas sim somente sobre aquilo que se considera a legi'tima expectativa dos padrões da indústria¹⁷. A ideia a ser desenvolvida é, ao nosso ver, similar com a disposta no Código de Defesa do Consumidor: trabalhar-se-á com conceito juri'dico indeterminado e cujo sentido deve ser concretizado pelos tribunais nas circunstâncias do caso concreto¹⁸.

Nesse caso, junto do Poder Pudiciário, destaca-se a necessidade de um protagonismo da ANPD para delimitar quais os padrões mínimos nas principais situações de tratamento de dados, o que fatalmente irá orientar na conferência do estrito cumprimento da LGPD. O raciocínio deve ser o mesmo que já é aplicado: da mesma forma que não é exigido o padrão de segurança de uma instituição financeira a uma pequena mercearia não deve ser imposto aos agentes de tratamento adotar toda e qualquer medida de segurança. De toda forma, a responsabilização na LGPD será a partir de padrões bastante objetivos. E o agente que observa integralmente a lei, cobre todo o risco de seu empreendimento.

___________

*Cíntia Rosa Pereira de Lima é professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto - FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Universidade de Ottawa (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pós-Doutora em Direito Civil pela Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP).  Presidente do Instituto Avançado de Proteção de Dados - IAPD (www.iapd.org.br). Advogada.

*Davi Petroni Cardoso da Silva é Bacharelando da Faculdade de Direito de Ribeirão Preto da Universidade de São Paulo e bolsista do Programa Unificado de Bolsas da Universidade de São Paulo.

___________

1 LIMA, Cíntia Rosa Pereira de; MORAES, Emanuele Pezati Franco de; PEROLI, Kelvin. O necessário diálogo entre o Marco Civil da Internet e a Lei Geral de Proteção de Dados para a coerência do sistema de responsabilidade civil diante de novas tecnologias. In: MARTINS, Guilherme Magalhães; ROSENVALD, Nelson (Coord.). Responsabilidade civil de novas tecnologias. Indaiatuba: Editora Foco, 2020, p. 158

2 TEIXEIRA, Tarci'sio; ARMELIN, Ruth Maria Guerrero da Fonseca. Responsabilidade e ressarcimento de danos por violac¸a~o de regras previstas na LGPD: um cotejamento com o CDC. In: LIMA, Cíntia Rosa Pereira de (Coord.). Comentários à Lei Geral de Proteção de Dados: Lei nº 13.709/2018, com alterac¸a~o da Lei nº 13.853/2019. São Paulo: Almedina, 2020, p. 303.

3 GUEDES, Gisela Sampaio da Cruz; MEIRELES, Rose Melo Vencelau. Capítulo 8. Término do tratamento de dados. Parte I: aspectos estruturais do tratamento de dados. In: TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena Donato (Coord.). Lei geral de proteção de dados e suas repercussões no Direito Brasileiro. 2^a ed.  São Paulo: Thomson Reuters, 2020, p. 232.

4 BRASIL, Tribunal de Justiça de São Paulo. Apelac¸a~o Ci'vel 1000407-06.2021.8.26.0405; Rel. Ministro Soares Levada; Órgão Julgador: 34^a Ca^mara de Direito Privado; Comarca de Osasco; Data do Julgamento: 16/08/2021; Data de Registro: 19/08/2021.

5 BRASIL, Tribunal de Justiça de São Paulo; Apelação Cível 1025180-52.2020.8.26.0405; Rel. Ministro Arantes Theodoro; Órgão Julgador: 36a Ca^mara de Direito Privado; Foro de Osasco; Data do Julgamento: 26/08/2021; Data de Registro: 26/08/2021.

6 SCHREIBER, Anderson. Responsabilidade civil na lei geral de protec¸a~o de dados. In: MENDES, Laura Schertel; DONEDA, Danilo; SARLET, Ingo Wolfgang; RODRIGUES JR, Otávio Luiz. Tratado de proteção de dados pessoais. São Paulo: Forense, 2020. p. 327.

7 MARTINS, Guilherme Magalha~es. Capítulo 16. A lei geral de proteção de dados pessoais e os consumidores. In: MARQUES, Cla'udia Lima; MIRAGEM, Bruno; DIAS, Luciana Ancona de Magalha~es Lopes (Coord.). Direito do Consumidor: 30 anos de CDC. Rio de Janeiro: Forense, 2021, p. 431.

8 TEIXEIRA, Tarci'sio. ARMELIN, Ruth Maria Guerrero da Fonseca. Responsabilidade e ressarcimento de danos por violac¸a~o a`s regras previstas na LGPD: um cotejamento com o CDC. In: LIMA, Ci'ntia Rosa Pereira de (Coord.). Comentários à Lei Geral de Proteção de Dados: Lei nº 13.709/2018, com alterac¸a~o da Lei nº 13.853/2019. São Paulo: Almedina, 2020, p. 304.

9 CRESPO, Marcelo. Compliance digital. In: NOHARA, Irene Patri'cia; PEREIRA, Fla'vio de Lea~o Bastos (Coord.). Governança, compliance e cidadania. Sa~o Paulo: Revista dos Tribunais, 2018, pp. 192-195.

10 SCHREIBER, Anderson. Responsabilidade civil na Lei Geral de Proteção de Dados Pessoais. In: MENDES, Laura Schertel; DONEDA, Danilo; SARLET, Ingo Wolfgang; JÚNIOR, Otávio Luiz Rodrigues; BIONI, Bruno (Coord.). Tratado de proteção de dados pessoais. Rio de Janeiro: Forense, 2021, p. 327.

11 SCHREIBER, Anderson. Novos paradigmas da responsabilidade civil: da erosão dos filtros da reparação à diluição dos danos. São Paulo: Atlas, 2007, p. 33.

12 Assim relatam os seguintes autores: DIAS, José Aguiar. Da responsabilidade civil. Rio de Janeiro: Renovar, 2006, p. 100; SCHREIBER, Anderson. Novos paradigmas da responsabilidade civil: da erosão dos filtros da reparação à diluição dos danos. São Paulo: Atlas, 2007, p. 37

13 "This treatment of strict and fault-based liability as opposites is a monumental mistake. In fact, tort liability is almost always simultaneously fault-based and strict. For torts ranging from battery to negligence, and from libel to trespass, liability is imposed on the basis of wrongdoing. Yet, it is also imposed strictly-that is, in a demanding or unforgiving manner. As the first half of our title suggests, there is strict liability in fault." GOLDBERG, John. ZIPURSKY Benjamin, The Strict Liability in Fault and the Fault in Strict Liability. Fordham Law Review, New York, v. 85, issue 2, 2016, p. 745.

14 DRESCH, Rafael; JUNIOR, José Luiz de Moura Faleiros. Reflexo~es sobre a responsabilidade civil na Lei Geral de Protec¸a~o de Dados (Lei 13.709/2018). In: ROSENVALD, Nelson; DRESCH, Rafael de Freitas; WESENDONCK, Tula (Coord.). Responsabilidade civil: novos riscos. Indaiatuba: Foco Jurídico, 2019, pp. 85-88

15 BIONI, Bruno; DIAS, Daniel. Responsabilidade civil na LGPD: construção do regime por meio de interações com o CDC. In: MARQUES, Claudia Lima; MIRAGEM, Bruno; DIAS, Luciana Ancona de Magalha~es Lopes (Coord.). Direito do Consumidor: 30 anos de CDC. Rio de Janeiro: Forense, 2021, p 518.

16 BRANCHER, Paulo Marcos Rodrigues; KUJAWSKI, Fábio Ferreira; CASTELLANO, Ana Carolina Heringer Costa. Princi'pios gerais de proteção de dados pessoais: uma ana'lise dos princi'pios elencados no art. 6º da Lei nº 13.709/2018 (LGPD). In: BRANCHER, Paulo Marcos Rodrigues; BEPPU, Ana Cláudia (Coord.). Proteção de dados no Brasil: uma nova visão a partir da Lei nº 13.709/2018. Belo Horizonte: Fórum, 2019, p. 81.

17 MIRANDA, Heitor Carma'ssio. Exoneração e limitação de responsabilidade por violação de dados pessoais nos contratos de computação em nuvem. Tese de Mestrado. São Paulo: Faculdade Getúlio Vargas, 2021, p. 73.

18 REINIG, Guilherme Henrique Lima. A responsabilidade do produtor pelos riscos do desenvolvimento. São Paulo: Atlas, 2013, p. 30.