FACULDADE DO MARANHÃO

CURSO DE DIREITO

MISAEL DE ARAUJO FERREIRA FILHO

O INSTITUTO DA RESPONSABILIDADE CIVIL NO ÂMBITO DA LEI GERAL DE

PROTEÇÃO DE DADOS

São Luís
2022
 MISAEL DE ARAUJO FERREIRA FILHO

O INSTITUTO DA RESPONSABILIDADE CIVIL NO ÂMBITO DA LEI GERAL DE

PROTEÇÃO DE DADOS

Monografia apresentada ao Curso de

Direito da Fculdade do Maranhão, para
obtenção do grau de Bacharel em Direito.

Orientador: Prof. Me. Albylane Nery do

Nascimento.

São Luís
2022
Ferreira Filho, Misael De Araujo.

O instituto da Responsabilidade Civil no âmbito da lei geral de proteção

de dados. / Misael De Araújo Ferreira Filho. – São Luís - MA, 2022.

62f.: il.
Impresso por computador (fotocópia).
Orientador: Prof.ª Me. Albylane Nery do Nascimento.

Monografia (Graduação em Direito) – Curso de Direito, Faculdade do

Maranhão, 2022.

1. Direito fundamental. 2. Proteção dos dados pessoais. 3. LGPD. I.

Título.

CDU 344.51

Catalogação na fonte elaborada pela bibliotecária

Sharlene Seguins - CRB 13-779
 MISAEL DE ARAUJO FERREIRA FILHO

O INSTITUTO DA RESPONSABILIDADE CIVIL NO ÂMBITO DA LEI GERAL DE

PROTEÇÃO DE DADOS

Monografia apresentada ao Curso de

Direito da Fculdade do Maranhão, para
obtenção do grau de Bacharel em Direito

Aprovada em: / /

BANCA EXAMINADORA

___________________________________________________
Prof.ª Me. Albylane Nery do Nascimento (Orientadora)
Mestra em Direito Civi
Faculdade do Maranhão

_________________________________________________
1º Examinador (a)

________________________________________________
2º Examinador (a)
 AGRADECIMENTOS

À Deus, família e amigos.

 RESUMO

O trabalho que se apresenta, busca o estudo do instituto da Responsabilidade Civil

no imposta para os atores da Lei Geral de Proteção de Dados, inserida entre os
artigos 42 e 44. O método de estudo escolhido foi inicialmente demonstrar o papel
dos dados pessoais e suas ramificações dentro do ordenamento jurídico, bem como
no cenário nacional e internacional. Adiante, estuda-se sobre doutrinariamente e
legalmente acerca do instituto da Responsabilidade Civil e seus desdobramentos
dentro da Lei Geral de Proteção de Dados, além da análise de jurisprudências dos
tribunais superiores. Assim sendo, observou-se que entre os doutrinadores há uma
divisão de entendimento no que ao regime escolhido pela nova lei, existindo aqueles
que defendem a linha objetiva e outros a linha subjetiva. Após isso, foi realizado um
estudo sobre a nova lei, seu conceito, agentes de tratamento de dados, base
principiológica, além da inserção da proteção dos dados pessoais como direito
fundamental. Por fim, foi trazido casos reais tramitados em nossos tribunais de
justiça onde já dispõem tópicos sobre a nova lei e como a mesma está sendo
aplicado na prática. Concluindo que, é a modalidade de responsabilidade objetiva
que impera sobre a novatio legis.

Palavras-chave: direito fundamental; proteção dos dados pessoais; LGPD.

 ABSTRACT

The present work seeks to study the Civil Liability Institute imposed on the actors of
the General Data Protection Law, inserted between articles 42 and 44. The study
method chosen was initially to demonstrate the role of personal data and its
ramifications within the legal system, as well as on the national and international
scene. Further on, it is studied doctrinally and legally about the Civil Liability Institute
and its consequences within the General Data Protection Law, in addition to the
analysis of jurisprudence of the higher courts. Therefore, it was observed that among
the scholars there is a division of understanding regarding the regime chosen by the
new law, with those who defend the objective line and others the subjective line. After
that, a study was carried out on the new law, its concept, data processing agents,
principled basis, in addition to the insertion of the protection of personal data as a
fundamental right. Finally, real cases processed in our courts of justice were brought
up where topics about the new law and how it is being applied in practice are already
available. In conclusion, it is the strict liability modality that prevails over the novatio
legis.

Keywords: fundamental right; protection of personal data; GDPR.

 SUMÁRIO

1 INTRODUÇÃO........................................................................................... 8
2 APONTAMENTOS ACERCA DA PROTEÇÃO DE DADOS PESSOAIS. 9
2.1 Da conceituação...................................................................................... 12
2.2 Contexto global sobre a proteção dos dados....................................... 13
2.2.1 Da proteção de dados e contextualização nacional.................................. 15
2.3 A Lei Geral de Proteção de Dados......................................................... 17
2.3.1 Definição.................................................................................................... 17
2.3.2 Dos Fundamentos..................................................................................... 17
2.3.3 Do estudo principiológico........................................................................... 19
2.3.4 Agentes de Tratamento de Dados............................................................. 21
2.3.5 Da figura do Controlador........................................................................... 22
2.3.6 Operador de dados.................................................................................... 22
2.3.7 Do Encarregado......................................................................................... 23
2.4 Da Proteção de Dados como Direito Fundamental.............................. 23
3 DA RESPONSABILIDADE CIVIL DOS AGENTES RESPONSÁVEIS
PELO TRATAMENTO DOS DADOS PESSOAIS..................................... 30
3.1 Condições específicas para o tratamento de dados: a tônica do
consentimento............................................................................................ 30
3.2 Responsabilidade Civil: do conceito aos pressupostos de
admissibilidade.......................................................................................... 33
3.3 Pressupostos........................................................................................... 33
3.3.1 Do ato ilícito............................................................................................... 33
3.3.2 Do liame de causalidade............................................................................ 34
3.3.3 Do dano causado....................................................................................... 35
3.4 Classificações.......................................................................................... 35
3.4.1 Obrigação: Solidária – subsidiária............................................................. 35
3.4.2 Vínculo jurídico: extracontratual – contratual............................................. 36
3.4.3 Voluntariedade: objetiva – subjetiva.......................................................... 37
3.5 Pressupostos da Responsabilidade Civil em relação a Proteção de
Dados........................................................................................................ 39
3.5.1 Da Conduta Ilícita...................................................................................... 39
3.5.2 Do Nexo de Causalidade........................................................................... 40
3.5.3 Do Dano..................................................................................................... 41
3.6 Doutrina Sobre o Regime de Responsabilidade Civil dos Agentes
de Tratamento.......................................................................................... 42
3.6.1 Regime de Responsabilidade Civil Subjetiva dos Agentes de
Tratamento................................................................................................. 45
3.6.2 Regime de Responsabilidade Civil Objetiva dos Agentes de Tratamento 47
4 DECISÕES JUDICIAIS BASEADAS NA LEI GERAL DE PROTEÇÃO
DE DADOS................................................................................................ 50
4.1 Tribunal de Justiça de São Paulo: uso indevido de dados.................... 50
4.2 Tribunal de Justiça do Distrito Federal: Comercialização de dados
pessoais..................................................................................................... 51
4.3 Lei Geral de Proteção de Dados: Cacau Show...................................... 53
5 CONSIDERAÇÕES FINAIS...................................................................... 56
REFERÊNCIAS......................................................................................... 59
 8

1 INTRODUÇÃO

O trabalho em questão tem por foco principal fazer um estudo no âmbito da

doutrina e jurisprudência no que diz respeito à responsabilidade civil dos agentes de
tratamento de dados pessoais que figuram a nova Lei Geral de Proteção de Dados.
Diante disso, questiona-se ao longo do trabalho se o legislador tratou de
forma expressa o regime de responsabilidade civil dos agentes no capítulo VI da Lei
Geral de Proteção de Dados? Frente a isso, verifica-se um estudo sobre a posição
da doutrina e das recentes jurisprudências.
Para esclarecer os posicionamentos, o trabalho dividir-se-á em duas partes,
sendo a primeira tratando o ensino geral sobre os dados pessoais e suas proteções,
seu contexto, sua posição no ordenamento jurídico brasileiro, bem como explorados
temas internacionais, onde evidencia-se o seu objeto de estudo, conceito e contexto
internacional.
Após isso, será enfatizado pontos sobre a Lei Geral de Proteção de Dados,
tais quais, demonstra sua definição, fundamentação que levaram os legisladores a
criar a Lei, bem como um estudo principiológico que embasam e dão suporte na
hermenêutica da lei. Além disso, é demonstrado as figuras que foram inseridas na lei
e esclarecidos as diferenças entre elas, para depois, ser apresentado o regime de
responsabilidade civil.
Na segunda parte do trabalho, será abordado o tema da Responsabilidade
Civil e suas delimitações no ordenamento jurídico brasileiro. Será indicado os
pressupostos que caracterizam o instituto, bem como sua classificação e
características a fim de compreender e interrelacionar o tema com a Lei Geral de
Proteção de Dados.
Após isso, realizado um estudo sobre como a proteção de dados pessoais
ingressou no ordenamento jurídico como Direito Fundamental e a relevância dessa
categoria nos ramos do Direito. Em ato contínuo, foi trazido casos de consulta
pública que abrangeram a nova temática da Lei Geral de Proteção de Dados e quais
foram os entendimentos dos Tribunais Pátrios. Por fim, foi trazido um caso recente
contra o estabelecimento empresarial Cacau Show.
 9

2 APONTAMENTOS ACERCA DA PROTEÇÃO DE DADOS PESSOAIS

A partir das transformações das sociedades antigas para as modernas,

houve uma lenta e contínua evolução na maneira do ser humano se organizar. Em
cada fase, o desenvolvimento teve um núcleo central, e a forma como se
exteriorizou as negociações foi um fator decisivo para a fixação do respetivo marco
histórico, a exemplo da sociedade agrícola, a qual obteve a fonte da riqueza do solo.
Dessa forma, foram os produtos agrícolas que impulsionaram a economia através do
escambo, sendo essa a primeira prática comercial. (CORREIA, 2017).
No segundo momento, com o advento das máquinas a vapor e da
eletricidade, teve papel central a produção fabril e, portanto, na formação da riqueza
da sociedade industrial, posteriormente após a Segunda Guerra Mundial a prestação
de serviços ocupou lugar de maior repercussão na economia da sociedade.
A sociedade atual se limita a uma nova forma de organização em que a
informação se tornou o núcleo central do desenvolvimento econômico, substituindo
os recursos que antes compunham as sociedades agrícolas, industriais e pós-
industriais.
Houve assim, a facilidade de acesso à informação, da mesma forma que
trouxe a organização das informações que já existiam. Bioni (2021), trouxe as
seguintes exposições, onde, ao imaginar nas experiências de indivíduos que
guardam seus arquivos pessoais completos em papel, no qual este classifica como
átomos. A variável primeira está relacionada se estará ordenado de maneira que
seus arquivos sejam elencados em pastas por categorias, quanto a conteúdo e/ou
quanto a ordem alfabética, tornando mais descomplicada quando der início a
procurar por informações. Caso não venha a empreender tal arranjo manualmente,
tem-se uma grande possibilidade de não localizar as informações do qual necessita.
Todavia, ainda com essa organização manual, ainda seria necessária uma busca
por diversas pastas e arquivos para localizar a informação pretendida, o que, de
certo, despenderia uma quantidade significante de tempo. Doravante, ao imaginar
um individuo que escaneou todo o arquivo e, para buscá-lo, mediante a palavra-
chave correspondente a informação pretendida no arquivo desejado o encontra.
Assim, o mundo se encontra na sociedade da informação onde a proteção
de dados pessoais se transformou em um desafio lógico para o direito
contemporâneo. De um lado, o progresso tecnológico associado a esse novo ativo
 10

econômico se transmite muito rápido, por outro, existe um longo processo legislativo
para a geração de normas jurídicas. No ordenamento jurídico brasileiro, a proteção
de dados pessoais tem base normativa desde a Constituição Federal de 1988
(CF/88), que prevê a inviolabilidade da vida íntima e privada, a autonomia da
informação e o livre desenvolvimento da personalidade. (BRASIL, 1988).
A proteção de dados pessoais atingiu patamares sem precedentes na
chamada sociedade tecnológica (da informação), especialmente desde a introdução
do uso da tecnologia da informação e a digitalização generalizada que se tornou
onipresente e afeta todas as esferas da sociedade, tanto econômica quanto na vida
social, cultural e contemporânea. Na esfera do direito internacional, embora a partir
do limiar da década de 1970, o regime da proteção jurídica dos dados pessoais e
consequente expansão em termos quantitativos e qualitativos foi também
reconhecido como direito fundamental, com exceção da Constituição da República
Portuguesa de 1976 e da Constituição Espanhola de 1978. (SARLET, 2022).
No entanto, somente a partir da década de 1990, as razões para o
surgimento de regulamentações de proteção de dados pessoais se tornaram mais
consistentes e uniformes estando diretamente relacionadas ao desenvolvimento dos
modelos de negócios da economia digital, cada vez mais dependentes dos fluxos
internacionais de informação. Os avanços tecnológicos e a globalização tornaram
isso possível. (PINHEIRO, 2021).
A sociedade da informação se destaca na economia porque a própria
informação é o fornecimento de produtos e serviços. A informação é um valor em si,
não como meio de criação de bens e prestação de serviços. Em 2004, a receita
inicial do Facebook foi de US$ 400.000. Em 2014, sua receita atingiu US$ 12,5
bilhões. (LIMA, 2020,)
Com a formação dessa nova sociedade, surgiram escândalos e polêmicas
relacionados aos dados pessoais entregues às diversas empresas como Playstation
Network, Facebook e Banco Inter, a primeira teve seus servidores invadidos
expondo os dados de 77 milhões de clientes, a segunda cita-se como exemplo o
caso de 2018, o qual atingiu 30 milhões de usuários, e a terceira sendo o banco
pioneiro nas contas digitais no país, registrou um vazamento em 2018 de dados de
19 mil correntistas. Em relação ao vazamento de tais dados, se tornou necessária a
análise das violações seja para utilização de notícias relacionadas à determinada
pessoa, seja para utilizar em negociações fraudulentas e/ou publicidade política.
 11

Cumpre ressaltar que as questões acerca da proteção de dados no Brasil

têm sido abordadas indiretamente em legislações especiais, como Código de Defesa
do Consumidor e a Lei do Cadastro Positivo (Lei 12.414/2011) assim como o Marco
Civil da Internet. No entanto até 2018, ainda não havia regulamentação que
trouxesse especificamente a proteção de dados, o que destaca a importância de
uma legislação específica sobre o assunto.
Dado a previsão constitucional de que a sociedade exige regulação do setor
além dos escândalos retro mencionados, a Assembleia Nacional elaborou a Lei
13.709/18 em 14 de agosto de 2018, conhecida como "Lei Geral de Proteção de
Dados Pessoais", com a entrada em vigor a partir de 18 de setembro de 2020.
(BRASIL, 2020).
De forma estrutural, a Lei Geral de Proteção de Dados foi descrita como um
instrumento normativo de caráter protetivo, ou seja, com o objetivo de corrigir
desequilíbrios situacionais dentro do seu escopo definido, e tem como missão
corrigir assimetrias de informação entre os titulares. Os poderes dos dados pessoais
e dos agentes de processamento das mãos do verificador se acumulam como
resultado da configuração da tecnologia e informação. Concretamente, a natureza
desta proteção é direta e destina-se apenas a proteger os indivíduos, onde estes
são descritos como titulares de dados pessoais. (BIONI, 2021).
O interesse da lei reside na proteção dos direitos fundamentais de liberdade
e privacidade e no livre desenvolvimento da personalidade das pessoas, premissa
de dar boa vontade ao tratamento de todo o tipo de dados pessoais, devendo
respeitar uma série de princípios, de um lado, os itens de controle técnico da
governança de segurança da informação, de outro a categoria de dados sensíveis
está incluída no ciclo de vida do uso de informações que identificam ou podem
identificar e se relacionar com uma pessoa.
No primeiro capítulo, o presente trabalho se propôs a demonstrar a temática
retratada de forma abrangente, apontando a necessidade de proteção de dados com
apontamentos históricos, dando relevância aos principais pontos da proteção de
dados e seu reflexo na legislação brasileira com os pontos relevantes sobre
questões relacionadas à Proteção de dados e Responsabilidade Civil na sociedade
brasileira.
 12

2.1 Da conceituação

Em primeiro lugar, quando se fala em proteção de dados, é preciso entender

de antemão a distinção conceitual dos três sistemas de informações inerentes ao
objeto de estudo, a saber: dados, informação e conhecimento, pois embora
entendidos como semelhantes, ao conceituar tecnologia, mostraria que eles são
basicamente o oposto. Dessa forma, os dados são o elemento bruto dos três acima
(CRESPO, 2019), pois em seu estado bruto ele não agrega conhecimento ou gera
informações, novamente apenas requer alguma forma de fatos brutos Processo,
processo e organizar para que algo inteligível possa ser extraído daquela fonte, para
que informações sobre o assunto desejado possam ser obtidas. (BIONI, 2021).
Assim, os dados se interligam com todas as informações relacionadas a uma
pessoa identificada ou identificável e, portanto, não limitadas a nome, sobrenome,
apelido, idade, endereço residencial ou eletrônico, podendo incluir dados de
localização, placas de veículos, detalhes de compras, números de protocolo de
Internet (IP), dados acadêmicos, histórico de compras, etc. Sempre relacionado a
pessoas físicas vivas. (PINHEIRO, 2021, p.35).
O segundo elemento possui maior complexidade, pois os mesmos dados
podem gerar vários tipos de informações, dependendo dos interesses do agente que
realiza o tratamento, assim, o elemento informação é estruturado por dados para
buscar esclarecimentos sobre a questão que está sendo analisada. De fato,
considerando o seguinte exemplo: Uma empresa possui dados sobre os hábitos de
consumo de seus clientes, processa esses dados para conduzir negócios de forma
mais eficiente no mercado, pois possui informações sobre quais produtos são mais
aceitáveis para seus clientes. clientes, aumentando assim a probabilidade de
sucesso de uma campanha comercial, pois ter essas informações melhora o design
e a segmentação dos produtos/serviços, além de melhorar a eficiência da divulgação
dos itens oferecidos. (BIONI, 2021, p. 31).
Assim, a dinâmica de um banco de dados envolve entrada e processamento
de dados, bem como saída de informações. Portanto, o gerenciamento manual ou
automatizado do banco de dados é essencial para que dele seja extraído algum
conhecimento. Bioni (2021) exemplifica da seguinte forma que, o simples ato de
reunir e reunir fatos (dados) sobre as vendas e o desempenho de seus produtos é
algo que não importa em si. Apenas quando agrupados, justamente para a finalidade
 13

de apontar quais produtos tiveram maior saída, sintetiza-se, desta feita, uma base
aproveitável. Fundamentalmente, apresenta mediante essas informações quais
foram os produtos que tiveram uma afeição maior por parte dos consumidores para
(re)lança-los em conformidade com a referida tendência.
Após a introdução desses elementos, uma questão relacionada é que tais
atividades de uso de dados revelam informações sobre direitos fundamentais como
privacidade, autodeterminação informacional e livre desenvolvimento da
personalidade. Diante disso, é necessário que o Estado proteja essas informações
para não violar os direitos supracitados, pois são garantias fundamentais
consagradas na Constituição. Dessa forma, a proteção de dados pessoais inclui a
proteção legal do uso correto dessas informações e a possibilidade de os titulares
dos dados determinarem se seus dados são processados e como seus dados serão
utilizados.

2.2 Contexto global sobre a proteção dos dados

As razões para o surgimento de regulamentações de proteção de dados

pessoais mais consistentes e uniformes tiveram início da década de 1990, pois
estavam diretamente relacionadas ao desenvolvimento dos modelos de negócios da
economia digital. Portanto, é necessário resgatar e renegociar o compromisso de
instituições e indivíduos, cidadãos da atual sociedade digital, de proteger e garantir
direitos humanos fundamentais como a privacidade, que vem sendo celebrado
desde a Declaração Universal dos Direitos Humanos (DUDH) de 1948. A base da
convenção é a liberdade, mas o equilíbrio é a transparência. Portanto, a lei de
proteção de dados pessoais tem uma característica muito especial de redigir
princípios e vinculá-los a indicadores mais confiáveis de natureza técnica.
(PINHEIRO, 2021).
No entanto, também merece destaque o desenvolvimento tecnológico na
década de 1970, pois, trouxe a ameaça ao direito à intimidade e à privacidade como
as primeiras celeumas da proteção de dados. Aderindo à Europa continental, temos:
a Lei de Dados Sueca de 1973; Portugal, em 1976, sendo o primeiro país a conferir
direitos de proteção de dados de natureza constitucional, e finalmente a Lei Federal
de Proteção de Dados Alemã (Bundesdatenschutzgesetz) em 1977. Em sua análise
do continente americano, eles editaram a lei de proteção de dados mais famosa da
 14

América em 1974, intitulada "Privacy Atc", que deu aos americanos maior segurança
no processamento de dados pessoais. (CRESPO, 2019).
Em seguinte, na década de 1980, o continente europeu já estava na
vanguarda da proteção de dados quando editou a Convenção do Conselho da
Europa. Ainda nessa década, e mais especificamente, em 1983, o Tribunal
Constitucional alemão entrou em ação, que resolveu a inconstitucionalidade da lei
censitária (Volkszählungsgesetz), que obrigava os cidadãos alemães a fornecer
dados ao governo. Nesta Sentença, reconhece-se a existência do direito à
autodeterminação à informação com base no referido direito ao livre
desenvolvimento da personalidade e da dignidade humana. Com direito à inovação,
os indivíduos agora podem decidir como seus dados pessoais são exibidos.
(CRESPO, 2019).
Ao longo do caminho, outros países também criaram suas leis acerca do
tema. Consequentemente, a União Europeia, que já possui um histórico legislativo
como a Convenção nº 108 e a Diretiva nº 95/46 de 1995, promulgou uma legislação
geral de proteção de dados para regular o processamento de dados por seus
signatários, chamada de General Data Protection Regulation (GDPR). Cumpre
ressaltar que a referida norma previu, por exemplo, o que hoje se conhece como
direito ao esquecimento e desde já retrata em seu art. 8º o consentimento de dados,
trazendo assim novos elementos protetivos. É possível afirmar que a promulgação
dessa legislação impulsionou o desenvolvimento da proteção de dados (LGPD).
(CRESPO, 2019).
Nos Estados Unidos, compreende-se que atualmente o direito à privacidade
(right to privacy) não se encontra previsto explicitamente na Constituição norte-
americana, no entanto, a jurisprudência entende a sua aplicação principiologica
como: a) o direito de não interferir, ou seja, de ser deixado em paz, b) a
inviolabilidade de sua residência, e c) a tomada de decisões com base no seu
caráter e interesse. A partir da análise histórica se reconhece que até o ano de 1890,
nenhuma corte inglesa ou americana reconheceu a privacidade como direito, mas
somente em 1960 a maioria das cortes norte-americanas reconheceram a existência
de um direito de privacidade. (ALVAREZ; TAVARES, 2017).
Em seguinte no ano de 1974 os Estados Unidos promulgaram a Lei de
Privacidade (Privacy Act of 1974), decorre que enquanto a Lei de Privacidade norte-
americana de 1974 foi promulgada e representou um inegável avanço na proteção
 15

de dados pessoais nos Estados Unidos, seu campo de ação limitado deixa a
situação consagrada na Lei longe de responder à criação e desenvolvimento dos
avanços tecnológicos ocorridos e expostos através da internet. Cerca de uma
década após a Lei de Privacidade em 1986 viu-se a introdução da Lei de
Privacidade de Comunicações Eletrônicas (Electronic Communications Privacy Act -
ECPA -), que é considerada a legislação de proteção de dados mais abrangente nos
Estados Unidos para proteger informações pessoais disponíveis na Internet.
(ALVAREZ; TAVARES, 2017).
Por fim, como um momento imprescindível para o desenvolvimento do
cenário mundial de proteção de dados, levando às já mencionadas mudanças na
legislação europeia e norte-americana e à criação de legislação de violações aos
dados no mundo – incluindo a brasileira – diretrizes elaboradas pela Organização
para Cooperação e Desenvolvimento Econômico (OCDE) em julho 2013 por meio de
seu Conselho emitiu uma série de recomendações aos países no desenvolvimento
de suas respectivas leis, identificando os principais princípios orientadores para o
processamento e compartilhamento de dados para evitar violações de direitos
individuais, incluindo os mais proeminentes: o Princípio da Limitação de Coleta,
Transparência, Qualidade dos Dados, Finalidade e o da Responsabilidade.
(CRESPO, 2019).

2.2.1 Da proteção de dados e contextualização nacional

É de certo afirmar que até a promulgação da LGPD não havia uma

legislação específica regulamentando a proteção de dados pessoais, porém, na
Carta Magna há menções sobre o tema, mesmo que de forma genérica, isto, pois há
ligação intrínseca do direito a privacidade com a proteção de dados. A Constituição
Federal previu o direito à privacidade (artigo 5º inciso X), incluindo a inviolabilidade
do sigilo das correspondências, dados e comunicações telefônicas (artigo 5º inciso
XII), e garante o acesso às informações e dados pessoais por meio de habeas data
contidos em bancos de dados públicos (Artigo 5º, LXXII) que está sujeito a Lei n.
9.507 de 1997. (BRASIL, 1988).
A preocupação do Brasil com a proteção de dados pessoais regressa à
década de 1980, quando a Lei nº 7.232/84 instituiu a Política Nacional de
Informática. Vale ressaltar que o direito de acesso e retificação de dados pessoais
 16

está especificado na seção 43 e seus parágrafos do Código de Defesa do

Consumidor (Lei nº 8.078/90). Além disso, o Decreto nº 7.962 de 2013, que
regulamenta o referido diploma legal para regular o comércio eletrônico, estabelece
em seu art. 4º, VI, que os fornecedores devem utilizar mecanismos de segurança
eficazes para o tratamento dos dados dos consumidores. No entanto, o avanço mais
importante ocorreu quando o Marco Civil da Internet (Lei nº 12.965) entrou em vigor
em 23 de abril de 2014, vinte anos após as disposições de princípio contidas na Lei
n. 7.232/84. (ALVAREZ; TAVARES, 2017).
No cenário nacional, além de estabelecer e garantir remédios constitucionais
para proteção pessoal de dados, houve proteção constitucional dos direitos
relacionados a dados por meio da proteção da privacidade, da privacidade (artigo 5º,
X) para garantir o livre acesso aos dados. Os cidadãos têm acesso às informações
sobre você contidas em registros ou bancos de dados públicos (Artigo 5º, LXIX e
LXXII). Agregou-se ao programa nacional as regras da Lei de Defesa do
Consumidor através do Códex consumerista (Lei Federal nº 8.079/90 em seu artigo
43, que possui normas próprias sobre bancos de dados e cadastros de
consumidores, bem como a Lei nº 12.414/2011 que regulamenta o cadastro positivo
e, por fim a Lei 12.965/2014, conhecida como "Marco Civil da Internet", é a lei que
regulamenta o uso da Internet no Brasil, estabelecendo princípios, garantias, direitos
e obrigações para quem usa a Internet. (CRESPO, 2019).
O Marco Civil da Internet teve por objetivo estabelecer os princípios,
garantias, obrigações e direitos dos usuários da Internet, provedores de serviços e
governos, uma preocupação legislativa antiga que pode ser observada nos inúmeros
projetos de lei que tramitam, haja vista que ambas as casas do Congresso desde
meados da década de 1990 retratam a necessidade de lei específica sobre o tema.
E, justamente por seu conteúdo principiológico, estabelece regramentos gerais para
as questões decorrentes da regulação da relação entre o direito e a Internet,
atualmente conhecida como "Constituição da Internet".
Nesse ínterim, a citada Lei 13.709/2018, conhecida como Lei Geral de
Proteção de Dados, complementa o Marco Civil da Internet, criando um instrumento
jurídico inovador no ordenamento jurídico brasileiro, que tem por finalidade proteger
os direitos das pessoas físicas. Tratamento coletivo no tratamento de dados
pessoais, além de fazer com que o Brasil cumpra os parâmetros globais exigidos
para tratamento e compartilhamento de dados entre países. Após uma relevante
 17

introdução aos temas da pesquisa, este trabalho analisará os principais pontos do

direito brasileiro, explorando suas definições, fundamentos e princípios.

2.3 A Lei Geral de Proteção de Dados

Ao tratar de questões relacionadas à LGPD, além dos princípios a serem

observados no tratamento de dados pessoais, serão enfatizados os principais
pontos, fundamentos relacionados à sua definição.

2.3.1 Definição

A Lei Geral de Proteção de Dados, de nº 13.709, regulamenta a Proteção de

Dados Pessoais e data do dia 14 de agosto de 2018, trata especificamente da
vulnerabilidade dos titulares de dados pessoais, cujo objetivo é proteger as pessoas
físicas do processamento ilegal desses dados por qualquer pessoa (seja natural ou
jurídica) de direito público ou privado, estipulado em seu art. 1º. (BRASIL, 2018).

Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais,

inclusive nos meios digitais, por pessoa natural ou por pessoa
jurídica de direito público ou privado, com o objetivo de proteger os
direitos fundamentais de liberdade e de privacidade e o livre
desenvolvimento da personalidade da pessoa natural.
Parágrafo único. As normas gerais contidas nesta Lei são de
interesse nacional e devem ser observadas pela União, Estados,
Distrito Federal e Municípios. (BRASIL, 2018, p. 1).

Assim, pode-se notar que, por meio da proteção verbal contida no artigo, o
legislador vê o titular dos dados em posição desigual em relação ao agente de
tratamento, indicando claramente sua vulnerabilidade. (CARDOSO, 2020,).

2.3.2 Dos Fundamentos

A Lei Geral de Proteção de Dados, estabelece de forma direta e clara, em

seus incisos do artigo 2º.
 18

Art. 2º A disciplina da proteção de dados pessoais tem como

fundamentos:
I - o respeito à privacidade;
II - a autodeterminação informativa;
III - a liberdade de expressão, de informação, de comunicação e de
opinião;
IV - a inviolabilidade da intimidade, da honra e da imagem;
V - o desenvolvimento econômico e tecnológico e a inovação;
VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII - os direitos humanos, o livre desenvolvimento da personalidade,
a dignidade e o exercício da cidadania pelas pessoas naturais.
(BRASIL, 2018, p. 1).

Quanto ao inciso I, não se trata apenas de isolamento ou solidão, trata-se de

capacitar indivíduos com controle total sobre sua privacidade e apresentação e,
portanto, quem terá permissão para entrar em suas áreas íntimas da vida sem
condenação dos outros por expressar suas posições. Nesse sentido, a lei de dados
brasileira fornece às pessoas físicas ferramentas para melhor controlar as
informações referentes a sua privacidade. (CARDOSO, 2020).
Quanto ao inciso II, os indivíduos, titulares de dados pessoais que devam
ser tratados pelo responsável pelo tratamento/operador, têm pleno direito de saber o
que é feito com os seus dados e qual a sua fiabilidade. Desta forma, com base
nisso, a possibilidade de o titular dos dados manifestar seus desejos que não podem
ser impedidos por terceiros se soma à obrigação do controlador de fornecer
informações sobre seus dados. (CARDOSO, 2020).
O inciso V, trata do Desenvolvimento econômico e tecnológico, inovação e
livre iniciativa, livre concorrência e proteção ao consumidor são interesses nacionais.
Esses princípios fundamentais são de natureza constitucional, conforme constam da
Constituição Federal de 1988, pois o desenvolvimento econômico, a pesquisa e a
inovação tecnológica são essenciais para que os países adotem uma economia de
mercado, além de terem um mercado consumidor forte e seguro. Assim sendo,
segundo a Lei Geral de Proteção de Dados, não se pode, a não ser em caráter
excepcional, obstaculizar o trabalho do Estado quanto à efetivação de seus
interesses, tais como os inerentes ao Desenvolvimento Econômico, da tecnologia e
inovadora. (CARDOSO, 2020).
Quanto ao inciso VII, destaca-se para o caso da utilização de dados
pessoais no processo eleitoral da maior democracia do planeta tem sido observada
em todo o mundo, prática que violou o direito ao livre desenvolvimento da
 19

personalidade e ao exercício da cidadania na época. Portanto, a utilização desses

direitos como base da lei reflete sua sensibilidade à inviolabilidade desses direitos.

2.3.3 Do estudo principiológico

No tocante ao estudo dos princípios, é de suma importância mencionarmos

os ensinamentos do Doutrinador Alexy (2013), quando o mesmo trata o tema da
como mandamentos de otimização, preceitua que, os princípios constituem normas
que determinam a realização de algo da maior forma admissível, respeitando os
limites jurídicos quando a possibilidade, bem como as possibilidades reais. Dessa
forma, os princípios traduzem-se em mandamentos de melhoramento, qualificado
pelo fato de que são passiveis de serem cumpridos em diversos graus, e que seu
cumprimento não depende exclusivamente das possibilidades reais, como também
das jurídicas. A esfera das possibilidades jurídicas é apontada pelos princípios e
regras opostas.
Após vislumbrado esse entendimento sobre os Princípios Gerais do Direito,
consubstancia-se informar que de acordo com o artigo 6 da Lei Geral de Proteção
de Dados, tem-se elencado 10 (dez) princípios correlacionados, são eles, finalidade;
adequação; livre acesso; necessidade; transparência; segurança; prevenção; não
discriminação e responsabilização e prestação de contas.
Dessa forma, é fundamental que a Lei Geral de Proteção de Dados
estabeleça princípios legais ao regular o processamento de dados. No entanto, por
se tratar de um âmbito intrinsecamente ligada ao mundo digital e tecnológico, corre-
se o risco de criar uma ordem legalmente rígida que poderia levar à revogação
prematura de novas regulamentações. Assim, pode-se observar que, diante das
questões levantadas, os legisladores, ao formular os princípios para as atividades de
processamento de dados, tentaram criar uma norma que possa ser adaptada a um
campo de relações muito dinâmico, dando assim “força jurídica”. (CARDOSO, 2020).
Pelo princípio da Finalidade, entende-se que ele esteja relacionado ao
objetivo final e qual o seu resultado, tal princípio não veio apenas para a limitação,
como também para prever o que se almeja com o tratamento do dado. A razão
disso, é inviabilizar a utilização desvinculada do que foi proposto anteriormente.
Pode-se ser citado como exemplos as seguintes situações que violam o princípio da
finalidade previsto na lei, primeiro, quando o operador pelo tratamento do dado
 20

informa que irá coletar os dados para faturar determinada prestação de serviço ou
compra de um produto e depois utiliza para envio de marketing. Segundo caso, é
quando a empresa coleta seus dados e informa que apenas será compartilhado com
uma determinada empresa e depois compartilha com outra. (CARDOSO, 2020).
Pelo princípio da adequação, diferentemente do princípio da finalidade, este
está relacionado com a atividade meio e não fim, conforme disciplinado pelo outrora
mencionado princípio. Aqui, visa-se o procedimento utilizado pelo agente
responsável pelo tratamento dos dados. Cita-se como situações de violação ao
princípio da adequação, quando informado que os dados pessoais serão excluídos,
mas reter cópia consigo, bem como, informar também que os dados serão
protegidos pelo anonimato e na verdade é a modalidade pseudoanônimo.
Quando se fala em Princípio da Necessidade, o próprio nome já idealiza que
no tratamento dos dados, deve-se ater ao uso mínimo necessário, fazendo o liame
com o Princípio da Finalidade e Adequação. Como exemplo de casos de violação a
este princípio, são as situações que se solicitam cor da pele para faturar produtos ou
solicitar a sexualidade e orientação sexual como requisitos de empregabilidade,
além disso, também pode ser mencionado o caso de solicitação de todos os
telefones, até mesmo de parentes para fins de cadastro. (CARDOSO, 2020).
Não discriminação é um princípio basilar em nosso ordenamento jurídico e
representa uma luta diária na consolidação de direitos, notadamente porque existe
em nosso país uma onda de preconceito e discriminação histórica, então, não seria
diferente com a nova Lei Geral de Proteção de Dados, vez que o uso de dados não
pode ser utilizado para fins de discriminação, tais como exemplo, a situação de
realização de senso sobre candidato que participa de seletivo e é desligado em
função da informação da crença religiosa. (CARDOSO, 2020).
Princípio da Transparência é o basilar dentro da LGPD, sobretudo porque é
esta a finalidade da lei, mostrar de forma clara, acessível e transparente o que é e o
que será feito com os dados pessoais e de quem está utilizando e tratando os
referidos dados. Pode ser dito como violação, os casos onde não demonstra a
qualificação completa do agente controlador, bem como o não fornecimento
completo das informações sobre o fácil acesso dos dados e seus tratamentos.
(CARDOSO, 2020).
Segurança e Prevenção são tidas como princípios de forma complementar,
na qual os agentes de tratamento devem se valer de meios que almejem o
 21

tratamento de forma efetiva que protejam e assegurem os dados que não

autorizados o compartilhamento, onde existe uma fonte de segurança. Desta forma,
a tecnologia de segurança atual e os procedimentos de melhoria contínua devem ser
usados em todos os momentos para garantir a segurança e a prevenção da
manutenção. Nomeadamente, ao abrigo deste princípio, os agentes de tratamento
são obrigados a continuar a fornecer segurança de dados eficaz e, em caso de
falha, os operadores ou responsáveis pelo tratamento podem ser responsabilizados
civil e no âmbito administrativo. (CARDOSO, 2020).
Responsabilidade e Prestação de Contas, como o próprio nome já denota, é
para que o agente de tratamento preste informações de quais métodos tem-se
utilizado para assegurar as informações que lhe são postas sob sua
responsabilidade. Além disso, mesmo que o agente tenha agido com boa-fé, mas
tenha deixado de cumprir com seu dever, ainda sim, haverá responsabilização.
(CARDOSO, 2020).
Pelo Princípio da Qualidade dos Dados, os dados deverão ser informados
com clareza, exatidão e devem ser atualizados em razão da necessidade, uma vez
que dados que são de origem duvidosa, comprometerá toda a finalidade. (BRASIL,
2018).
Por fim, sobre o Princípio do Livre Acesso, princípio central da Lei Geral de
Proteção de Dados, vale a transcrição do próprio inciso da Lei: livre acesso:
garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do
tratamento, bem como sobre a integralidade de seus dados pessoais. (BRASIL,
2018).

2.3.4 Agentes de Tratamento de Dados

Neste tópico, será feito um estudo sobre os agentes de tratamento, que são
figurados como Controlador e Operador, e são os novos atores dentro da Lei Geral
de Proteção de Dados, que de acordo com ela, as novas figuras possuem
tratamento específico, no qual é citado, direitos e deveres, bem como o sistema de
responsabilidade.
De acordo com a Lei 13.079 de 14 de agosto de 2018, em seu artigo 5º,
incisos VI, VII e VII, tem-se a figura dos respectivos agentes.
 22

2.3.5 Da figura do Controlador

De acordo com a Lei Geral de Proteção de Dados, a figura do Controlador é

tida como “pessoa natural ou jurídica, de direito público ou privado, a quem
competem as decisões referentes ao tratamento de dados pessoais”. (BRASIL,
2018).
Na legislação da UE, os controladores são conhecidos como partes
contratantes, ou responsáveis pelo processamento, e definir quem é controlador e
quem é operador tornou-se uma tarefa essencial durante a implementação e o
cumprimento. Normalmente, o controlador é a entidade que determina os elementos-
chave do processo. (CARDOSO, 2020).
Por fim, em termos de responsabilidade, responde também por danos
materiais, morais, pessoais ou coletivos, além das violações causadas pela
obrigação de indenizar. É também solidariamente responsável pelos danos
causados pelo operador no caso de participação direta no tratamento que causou o
dano.

2.3.6 Operador de dados

A figura do operador é aquela que é responsável por dar prosseguimentos

nas ordens daquele que ocupa o patamar de controle, sendo esperado deste que
atue de acordo com as normas constitucionais e da LGPD. Em termos legais a
definição do operador é: pessoa natural ou jurídica, de direito público ou privado,
que realiza o tratamento de dados pessoais em nome do controlador. (BRASIL,
2018).
O principal elemento diferenciador entre esses atores é o poder decisório,
pressupondo que o controlador forneça instruções a um terceiro (“operador”) para
realizar o processamento em seu nome. O controlador pode compartilhar os dados
com, por exemplo, contadores, empresas de folha de pagamento, empresas de
transporte, empresas de courier etc., que processam os dados apenas de acordo
com as instruções expressas do controlador e não podem usá-los para outros fins ou
além do escopo determinado pela o controlador.
 23

2.3.7 Do Encarregado

Este de acordo com a Lei Geral de Proteção de Dados: VIII - encarregado:

pessoa indicada pelo controlador e operador para atuar como canal de comunicação
entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de
Dados (ANPD). (BRASIL, 2018).
Quando mencionado sobre o fato da responsabilidade, é de suma
importância que em termos legais não há especificação. Assim sendo, a
responsabilidade será transferida para o controlador e operador, observando cada
caso.
A Lei Geral de Proteção de Dados impõe maiores responsabilidades aos
controladores, mesmo que haja responsabilidade solidária entre os agentes de
processamento. Dentro de seu mandato, deve elaborar relatório de impacto na
proteção de dados pessoais, comunicar o incidente à ANPD, elaborar o ROPA
(Registro de Atividade de Processamento de Dados Pessoais), e suas
responsabilidades estão de acordo com os artigos 42 a 45 da LGPD. (DIVINO,
2020).
Em decorrência de atividades de tratamento de dados pessoais em
desacordo com a LGPD, os controladores e operadores são obrigados a reparar
qualquer dano que causem, sejam eles patrimoniais, morais, individuais ou coletivos.
Os operadores devem agir de acordo com suas obrigações sob a LGPD e cumprir
as diretrizes legais do controlador, sob pena de responderem solidariamente pelos
danos decorrentes do tratamento de dados pessoais.

2.4 Da Proteção de Dados como Direito Fundamental

O Congresso Nacional em 10 de fevereiro de 2022, fez a promulgação da

Emenda Constitucional nº 115/22, no qual a acrescenta ao artigo 5º da Carta Magna
de 1988, inciso LXXIX, que expressa o seguinte termo:

Art. 5º Todos são iguais perante a lei, sem distinção de qualquer

natureza, garantindo-se aos brasileiros e aos estrangeiros residentes
no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à
segurança e à propriedade, nos termos seguintes:
LXXIX - é assegurado, nos termos da lei, o direito à proteção dos
dados pessoais, inclusive nos meios digitais. (BRASIL, 1988, p. 37).
 24

A Emenda Constitucional nº 115/22 ocorreu meses depois que o plenário do

Supremo Tribunal Federal decidiu sobre a Ação Direta de Inconstitucionalidade nº
6.393, onde reconheceu a defesa dos dados pessoais e a autodeterminação
informativa ao patamar de direito fundamental autônomo, conferindo-lhes proteção
especial, com o fito de reforçar a defesa do indivíduo, bem como impor limites à
atuação do Estado. (BRASIL, 2022).
A Emenda Constitucional se originou do Projeto de Emenda Constitucional
proveniente do senador Eduardo Gomes do Partido MDB/TO e como relatora
Simone Tibete, senadora do MDB/MS, onde obteve a aprovação após o rito
constitucional.
As Mesas da Câmara dos Deputados e do Senado Federal, nos
termos do § 3º do art. 60 da Constituição Federal, promulgam a
seguinte Emenda ao texto constitucional:
Altera a Constituição Federal para incluir a proteção de dados
pessoais entre os direitos e garantias fundamentais e para fixar a
competência privativa da União para legislar sobre proteção e
tratamento de dado pessoais.
Art. 1º O inciso XII do art. 5º da Constituição Federal passa a vigorar
com a seguinte redação:
“Art. 5º XII – é inviolável o sigilo da correspondência e das
comunicações telegráficas, de dados e das comunicações
telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e
na forma que a lei estabelecer para fins de investigação criminal ou
instrução processual penal, bem como é assegurado, nos termos da
lei, o direito à proteção dos dados pessoais, inclusive nos meios
digitais;
Art. 2º O caput do art. 22 da Constituição Federal passa a vigorar
acrescido do seguinte inciso XXX:
“Art. 22 XXX – proteção e tratamento de dados pessoais.
Art. 3º Esta Emenda Constitucional entra em vigor na data de sua.
(BRASIL, 2022, p. 14).

De acordo com o Relatório da Pec nº 17/2019 Proteção De Dados Pessoais,

emitido pela Comissão de Constituição e Justiça e de Cidadania de relatoria do
Deputado João Roma, foi usado como justificativa dos proponentes da PEC o
seguinte teor:
 25

[...] A proteção de dados pessoais é fruto da evolução histórica da

própria sociedade internacional: diversos são os Países que
adotaram leis e regras sobre privacidade e proteção de dados. Isso
porque o assunto, cada vez mais, na Era informacional, representa
riscos às liberdades e garantias individuais do cidadão. O avanço da
tecnologia, por um lado, oportuniza racionalização de negócios e da
própria atividade econômica: pode gerar empregabilidade,
prosperidade e maior qualidade de vida. Por outro lado, se mal
utilizada ou se utilizada sem um filtro prévio moral e ético, pode
causar prejuízos incomensuráveis aos cidadãos e à própria
sociedade, dando margem, inclusive, à concentração de mercados.
Por isso, países de todo o planeta já visualizaram a importância e
imprescindibilidade de se regular juridicamente o tratamento de
dados dos cidadãos. (BRASIL, 2019, p. 3).

Vislumbra-se que tal justificativa é o ponto basilar da frase “o direito evolui

com a sociedade”, sobretudo porque vise-se tempos da era informacional, onde há
um compartilhamento de dados pessoais entre pessoas naturais e jurídicas e as
inúmeras possibilidades de utilização desses dados necessita de regulamentação,
com o fito de proteger os cidadãos, bem como as pessoas jurídicas, uma vez que se
assim não for feito, conforme dito acima, pode acarretar consequências. Dito isto,
conferir status de direito fundamental, é promover uma proteção maior aos dados
pessoais. (BRASIL, 2019).
Adiante, na fundamentação foi sustentado pelo autor proposta o senador
Eduardo Gomes o seguinte trecho:

[...] além de instituir o direito fundamental à proteção de dados

pessoais, também disciplina questão tormentosa: a competência
constitucional para legislar sobre o tema. Sabemos que existem
diversas propostas de leis estaduais e municipais versando sobre o
assunto, inclusive em flagrante réplica da Lei nº 13.709/2018, Lei
Geral de Proteção de Dados. Não há racionalização nisso: a
fragmentação e pulverização de assunto tão caro à sociedade deve
ser evitada. O ideal, tanto quanto se dá com outros direitos
fundamentais e temas gerais relevantes, é que a União detenha a
competência central legislativa [...]. (BRASIL, 2019, p. 4).

Por fim, o reconhecimento de que a proteção de dados pessoais é um direito

fundamental também traz benefícios econômicos, aumentando o nível de segurança
da informação e aumentando a visibilidade na comunidade internacional,
fortalecendo assim as relações do Brasil com países de alta adequação. (BRASIL,
2019).
Dito isto, cabe uma breve síntese sobre os Direitos Fundamentais, sendo
direitos indispensáveis ao ser humano, cabe ressaltar que estes estão previstos na
 26

Constituição Federal, enquanto os direitos humanos transcendem a legislação

nacional e independem da Constituição Federal. (BRASIL, 2019).
Conferir proteção aos dados pessoais e conferir a estes categoria de Direito
Fundamental, é estabelecer que a aplicação do artigo 5º da Constituição Federal de
1988, a inviolabilidade. Veja-se:

Art. 5º Todos são iguais perante a lei, sem distinção de qualquer

natureza, garantindo-se aos brasileiros e aos estrangeiros residentes
no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à
segurança e à propriedade, nos termos seguintes:
X - são invioláveis a intimidade, a vida privada, a honra e a imagem
das pessoas, assegurado o direito a indenização pelo dano material
ou moral decorrente de sua violação;
XII - e inviolável o sigilo da correspondência e das comunicações
telegráficas, de dados e das comunicações telefônicas, salvo, no
último caso, por ordem judicial, nas hipóteses e na forma que a lei
estabelecer para fins de investigação criminal ou instrução
processual penal [...]. (BRASIL, 1988, p. 38).

De acordo com a análise, essas partes tratam da intimidade, da

inviolabilidade da vida privada e da confidencialidade da proteção de dados. Em
resumo, esses projetos tratam da proteção de informações pessoais porque verifica
que, além da segurança, o objetivo é proteger a privacidade pessoal, e é fortemente
contra a interferência de estranhos nas informações pessoais de outras pessoas.
(PINTO, 2020).
No entanto, a constituição federal teve início em 1988 e, à medida que o
fluxo de dados pessoais se intensificou devido aos avanços da tecnologia e do uso
da internet, os legisladores brasileiros estão gradualmente trabalhando para dar
maior defesa às informações das pessoas. (PINTO, 2020).
O direito fundamental ao autogoverno pode ser deduzido do princípio da
dignidade da pessoa humana, uma vez que essas pretensões constitucionais
exigem pelo menos mais ou menos as exigências e conquistas da dignidade
humana. (PINTO, 2020).
De acordo com a doutrina, os direitos tidos como fundamentais possuem
origem em um processo de formação histórico, vindo de uma progressão histórico-
social. Tal progressão foi crescendo ao longo do tempo, em que os indivíduos foram
conquistando e se desenvolvendo, razão pela qual está divido em gerações ou
dimensões.
 27

A Constituição de 1988 é caracterizada pela afirmação de uma gama de

direitos, seja em decorrência dos significativos anos em que as liberdades
individuais e sociais foram aniquiladas no país, seja pela nova ordem mundial após a
queda do muro de Berlim, que implantou valores de integração social, política e
econômica.
Os direitos fundamentais foram incorporados à Carta Magna e passaram a
ser confirmados por meio de legislação, aprimorados administrativamente por meio
dos serviços públicos e controlados pelos tribunais.
Assim sendo, os direitos de primeira geração, de acordo com a doutrina, são
os que se relacionam com o princípio das liberdades, as chamadas negativas.
Nessa dimensão estão inseridos o direito à liberdade, vida, locomoção, liberdade de
expressão e propriedade, religião, política. Tais direitos tiveram seu nascimento no
final do século XIII, e são atrelados à fase inicial do movimento constitucional
ocidental.
Pedro Lenza (2022, p. 1923), traduz o seguinte pensamento acerca da
primeira geração dos direitos fundamentais:

Os direitos humanos da 1.ª dimensão marcam a passagem de um

Estado autoritário para um Estado de Direito e, nesse contexto, o
respeito às liberdades individuais, em uma verdadeira perspectiva de
absenteísmo estatal. Seu reconhecimento surge com maior evidência
nas primeiras Constituições escritas, e podem ser caracterizados
como frutos do pensamento liberal-burguês do século XVIII. Tais
direitos dizem respeito às liberdades públicas e aos direitos políticos,
ou seja, direitos civis e políticos a traduzir o valor liberdade.

Quando aos direitos de 2º geração, os mesmos estão atrelados com as

liberdades positivas. Foram alavancados pelo momento histórico da Revolução
Industrial, em meados do século XIX. A título exemplificativo, pode-se mencionar os
direitos coletivos, sociais, culturais e econômicos, bem como a igualdade, material e
real.
Já os tidos como terceira dimensão são atrelados à solidariedade,
encorpando os direitos atrelados à paz, meio-ambiente equilibrado, patrimônio da
humanidade, desenvolvimento.
Hodiernamente, há, dentro do âmbito doutrinário, aqueles que defendem
uma quarta e quinta geração, contudo, não é unânime tal tema. O de quarta geração
ainda é debatido entre os doutrinadores e estudiosos do Direito.
 28

Sarlet (2016), denota que há contradição acerca do reconhecimento das

dimensões citadas acima, ou seja, quarta e quinta, além de que, existem
doutrinadores brasileiros que defendem a existência não apenas da quarta e quinta,
mas também, de uma sexta dimensão.
Bem como os direitos básicos em geral, o de proteção de dados pessoais
tem dimensões subjetivas e objetivas e desempenha múltiplas funcionalidades na
ordem jurídica. Sob a condição de direitos subjetivos, o direito de proteção de dados
pessoais é decodificado como um anexo heterogêneo de caráteres subjetivas de
natureza defensiva, mas também com condição de direitos, interesses, cuja
finalidade inclui ações empreendidas pelo Estado, proporcionando benefícios de
natureza de fato ou normativa.
Embora o direito de segurança dos dados pessoais esteja diretamente
relacionado (mas não confundido, como observado na coluna anterior) com o direito
à autodeterminação da informação, a lista de posições jurídicas básicas que ele
contém é bastante diversificada.
Ressalte-se que mesmo atrelado à direito fundamental seja
constitucionalmente fundamentado, o texto constitucional brasileiro (pelo menos por
enquanto) não faz referência direta a posições jurídicas subjetivas específicas que
possam ser protegidas pelo âmbito de sua proteção, mas isso não significa que eles
não encontraram uma base constitucional implícita.
Em consonância com o entendimento acima, vale destacar as palavras de

Salet (2021, p. 2) sobre “O direito fundamental à proteção de dados pessoais como

direito subjetivo”:
De qualquer sorte, também no Brasil — e independentemente da
incorporação de um direito à proteção de dados pessoais à CF — é
na legislação infraconstitucional que foram especificados os direitos
do titular da proteção, como dá conta o leque contido nos artigos 17
e 18 da LGPD, que, contudo, deve ser compreendido e aplicado em
sintonia e conformidade com a CF, a normativa internacional e outros
diplomas legais, como é o caso, por exemplo (e em especial) da Lei
de Acesso à Informação e na Lei do Marco Civil da Internet.

A leitura simples dos artigos 17 e 18 da Lei Geral de Proteção de Dados, faz

com que seja possível observar que os direitos inerentes aos titulares dos dados
pessoais, se relaciona à própria proteção fundamental dos dados pessoais,
notadamente porque coincide de forma direta e habitual com a função dupla do
 29

direito em si, tanto em caráter negativo, ou seja, de defesa, como positivo,

prestações.
Art. 17. Toda pessoa natural tem assegurada a titularidade de seus
dados pessoais e garantidos os direitos fundamentais de liberdade,
de intimidade e de privacidade, nos termos desta Lei.
Art. 18. O titular dos dados pessoais tem direito a obter do
controlador, em relação aos dados do titular por ele tratados, a
qualquer momento e mediante requisição:
I - confirmação da existência de tratamento;
II - acesso aos dados;
III - correção de dados incompletos, inexatos ou desatualizados;
IV - anonimização, bloqueio ou eliminação de dados desnecessários,
excessivos ou tratados em desconformidade com o disposto nesta
Lei;
V - portabilidade dos dados a outro fornecedor de serviço ou produto,
mediante requisição expressa, de acordo com a regulamentação da
autoridade nacional, observados os segredos comercial e
industrial; (Redação dada pela Lei nº 13.853, de 2019) Vigência
VI - eliminação dos dados pessoais tratados com o consentimento do
titular, exceto nas hipóteses previstas no art. 16 desta Lei;
VII - informação das entidades públicas e privadas com as quais o
controlador realizou uso compartilhado de dados;
VIII - informação sobre a possibilidade de não fornecer
consentimento e sobre as consequências da negativa;
IX - revogação do consentimento, nos termos do § 5º do art. 8º desta
Lei. (BRASIL, 2018, p. 29).

Refira-se ainda que a arranjo de pontos jurídicas supra não é exaustiva, pelo
que não se excluem outras possibilidades, ainda que não expressamente expressas
na constituição ou diploma de lei. Além disso, percebe-se que há uma abundante
simetria entre a Lei Geral de Proteção de Dados e o Regime Geral de Proteção de
Dados (artigo 17), de modo que as diferenças geralmente se limitam a mudanças de
terminologia, no sentido mais ou menos da precisão da terminologia empregada.
Portanto, dado o caráter histórico dos direitos fundamentais, eles não se
esgotam na terceira dimensão que pode ser defendida. Assim, discutiu-se a quarta
dimensão dos direitos fundamentais, a proteção e segurança dos direitos que vêm
sendo desenvolvidos diante dos impactos e desafios trazidos pelos
desenvolvimentos tecnológicos contemporâneos.
 30

3 DA RESPONSABILIDADE CIVIL DOS AGENTES RESPONSÁVEIS PELO

TRATAMENTO DOS DADOS PESSOAIS

3.1 Condições específicas para o tratamento de dados: a tônica do

consentimento

Ainda que a definição de dados não esteja colacionada acima, o seu

entendimento é essencial para a delimitação do que e quais são as condições legais
primordiais. O destaque move-se para a caracterização legal introduzida pela LGPD.
Para nossa legislação, dado pessoal é tido como informação pertinente a pessoa
natural identificada ou identificável e dado pessoal sensível como sendo de origem
racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a
organização de caráter religioso, filosófico ou político, informações de saúde ou
referente a vida sexual, informação genética ou biométrica, este vinculados a uma
pessoa natural. (BRASIL, 2018).
Conforme Doneda (2014), dado consistiria em algo tratável com um sentido
mais rudimentar, abstrata, fracionada, sendo capaz de ser assemelhado à potencial
informação, anterior a sua transmissão. Isto é, este se consubstancia em uma pré
informação. Sendo a informação, no que lhe concerne, compreendida como algo
que transpassa a representação abstrata e fracionada que o “dado” apresenta,
alcançando o patamar da cognição e, por pouco como uma ação reflexa, estará
relacionado ao direito de privacidade.
Compreende Wacks (1989) que, dados são as informações subjacentes que
podem ser transformadas em informações que podem ser comunicadas, recebidas
ou compreendidas. Pode o dado se concretiza em uma mera palavra, incitando ao
receptor a necessidade de sua compreensão para que possa ser convertida em
informação, quando este for compreendido é possível sua apresentação em atos,
sinais ou símbolos, fazendo-se indispensável a sua interpretação para que faça
algum sentido, em outras palavras, o dado só deixará de ser pré informação quando
for compreendido.
Par mais, pois, a definição de dado agora figura um componente medular
para o aprimoramento das normas e legislações, em especial a LGPD. Segundo
Bioni (2021), parece que o legislador teve como base uma visão expansionista,
decretando de maneira sintética e principiológica a linguagem empregada para
 31

conceituação de dados pessoais. Deste modo, o diálogo entre conceito e efeito

prático claramente não está sujeito a qualquer interpretação restritiva.
Entre os requisitos essenciais para o processamento de dados está o
princípio orientador do consentimento. O art. 7° da LGPD aponta algumas hipóteses
alternativas a licitude do tratamento de dados.

Art. 7º O tratamento de dados pessoais somente poderá ser

realizado nas seguintes hipóteses:
I - mediante o fornecimento de consentimento pelo titular;
II - para o cumprimento de obrigação legal ou regulatória pelo
controlador;
III - pela administração pública, para o tratamento e uso
compartilhado de dados necessários à execução de políticas
públicas previstas em leis e regulamentos ou respaldadas em
contratos, convênios ou instrumentos congêneres, observadas as
disposições do Capítulo IV desta Lei;
IV - para a realização de estudos por órgão de pesquisa, garantida,
sempre que possível, a anonimização dos dados pessoais;
V - quando necessário para a execução de contrato ou de
procedimentos preliminares relacionados a contrato do qual seja
parte o titular, a pedido do titular dos dados;
VI - para o exercício regular de direitos em processo judicial,
administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de
23 de setembro de 1996 (Lei de Arbitragem);
VII - para a proteção da vida ou da incolumidade física do titular ou
de terceiro;
VIII - para a tutela da saúde, exclusivamente, em procedimento
realizado por profissionais de saúde, serviços de saúde ou
autoridade sanitária;
IX - quando necessário para atender aos interesses legítimos do
controlador ou de terceiro, exceto no caso de prevalecerem
direitos e liberdades fundamentais do titular que exijam a
proteção dos dados pessoais; ou
X - para a proteção do crédito, inclusive quanto ao disposto na
legislação pertinente. (BRASIL, 2018, p. 39, grifo do autor).

Assimila-se que o legislador ao utilizar a conjunção disjuntiva “ou” no fim do

inciso IX que, restando caracterizado quaisquer uma das possibilidades dos demais
incisos estaria autorizada a realização do tratamento de dados, ainda que sem o
consentimento do sujeito. Ora, analisando sob o prisma da hermenêutica, se o
legislador deliberasse pela integralidade na aplicação do consentimento do sujeito
nas outras possibilidades antevistas pelo artigo alhures, deveria ter apontado em
forma de alíneas, não em forma de incisos.
Outrossim, usou da conjunção disjuntiva “ou”, ao passo que a limitação das
hipóteses era passível de limitação ante ao primeiro inciso. Por este motivo, mesmo
na ausência do consentimento do titular, se configurada quaisquer uma das
 32

conjecturas contidas dos incisos II ao X, é tido como lícito o tratamento de dados,

tão somente sendo necessário a observância dos demais princípios legislativos.
O consentimento é a força motriz dessa relação, devendo nele ser colocado
todo o foco. Mesmo que a legislação ao atribuir seu conceito como uma
manifestação dada de forma livre, sem equívocos, por meio da qual o usuário do
dado expressa concordância com o tratamento dos dados para um determinado fim,
a mesma, não delimita qualquer terminologia, impondo-se a recorrência à
normatividade estrangeira.
Conforme dito, além da manifestação da vontade livre para o uso de dados
atrelado a uma finalidade específica, os agentes de tratamento deverão respeitar, de
acordo com o artigo 6º da Lei Geral de Proteção de Dados, os princípios nele
elencados, a fim de adequá-los. De acordo com o que fora esclarecidos no capítulo
anterior. O operador dos dados, ou seja, o controlador deve esclarecer para o
usuário o caminho que será trilhado na utilização do referido dado, ou seja, informar
o liame entre a ação e o resultado que será obtido por meio dela. Tudo isso, é
resultado do direito a privacidade e os laços que estão seguros a ele, requerendo do
operador dos dados uma maior transparência e disciplina sobre a utilização,
devendo o mesmo informar com clarividência os percalços que o usuário irá
enfrentar em possíveis ações judiciais, para que seja possível aferir o dano de
acordo com a má utilização dos dados, seja ele, moral ou material.
Tal ato é ainda mais evidente quando realizado nos dados passiveis de
sensibilidade, que somente poderá ser processado e coletados dentro da
aplicabilidade do artigo 11 da Lei Geral de Proteção de Dados. Este conceito e
classificação é tido de forma particular em razão dos riscos de vazamento e
utilização de forma potencial para fins de discriminação. (RODOTÀ, 2008).
Esse tracejado célere demonstra que, para adiante dos do simples
reconhecimento destes direitos com o fito de regular o tratamento ideal pata a
circulação de dados no ambiente virtual, a autonomia privada é tida como uma forte
condição e que é necessária sua presença nas situações expostas acima. Tudo
isso, em razão de que os dados obtidos, podem ocasionar dados mensuráveis e
imensuráveis se utilizados de forma errada.
 33

3.2 Responsabilidade Civil: do conceito aos pressupostos de admissibilidade

Para retratar a responsabilidade dos agentes responsáveis pelo tratamento

de dados torna-se necessária a análise da figura da responsabilidade civil de modo
geral e específico.
Conforme conceitua Miragem (2021) que, do ponto de vista jurídico, a
responsabilidade civil é uma das consequências da violação de uma obrigação legal.
Existe um determinado direito ao passo que há uma atitude correspondente a uma
ação ou omissão a ser praticado pelo indivíduo. O não emprego desta atitude
requerida demonstra-se como ilicitude, no qual pode (ou não) ensejar danos. Sendo
presente algum dano oriundos desta transgressão do dever jurídico, responsabilizar-
se-á aquele que efetuou a transgressão do aludido dever, a este será imputado um
dever sucessivo, do qual se traduz no dever de indenizar. Observa-se, então, que a
responsabilização civil, no qual se atribui a determinada pessoa a obrigação de
indenizar, deriva de uma transgressão de algum dever que procede em dano. Ou
ainda, nas ocorrências em que a obrigação de indenizar é apontado por legislação
ainda que em ocorrências pelas quais existem causa justificativa para a ação do
indivíduo – tratando agora não mais de ilicitude –, o que guia o direito é justamente a
precisão de reparação do dano suportado pela vítima.
A partir do conceito supracitado divide-se o capítulo na discussão dos
pressupostos e classificações para aplicação da responsabilidade civil nos casos de
violação de dados.

3.3 Pressupostos

Os pressupostos básicos do sistema tradicional de responsabilidade civil não

estão completamente separados do sistema de responsabilidade fática do produto
ou serviço. Nesse sentido, os pressupostos lógico-jurídicos da responsabilidade são
exequíveis em qualquer sistema de atribuição de responsabilidade: conduta, dano e
nexo de causalidade.

3.3.1 Do ato ilícito

Segundo o previsto no art. 186 do Código Civil (CC) brasileiro:

 34

Aquele que por ação ou omissão voluntária, negligência ou

imprudência, violar direito e causar dano a outrem, ainda que
exclusivamente moral ou no caso do titular de um direito que, ao
exercê-lo, excede manifestamente os limites de seu fim econômico,
social, em ofensa à boa-fé e aos bons costumes, comete ato ilícito
(BRASIL, 2002, p. 15).

Tradicionalmente, é um ato ilícito definido como pré-requisito para a

responsabilidade civil. Verificou-se que esta declaração carece atualmente de
revisão, pois conduz a uma obrigação de indemnização por danos causados por
factos lícitos. No entanto, como premissa da responsabilidade civil, o conceito de
ilegalidade é mais amplo do que o conceito de ilegalidade (pelo menos em seu
sentido formal ilegal se configura como violação da lei). O antilegítimo caracteriza-se
por causar danos injustos, violando o preceito de não prejudicar os outros (alterum
non laedere). (MIRAGEM, 2021).

3.3.2 Do liame de causalidade

O nexo de causalidade interliga a ação ou omissão com o dano, nas

palavras de Tartuce (2021) consiste para ocorrer a responsabilidade se faz
imprescindível a presença de uma correlação entre a afronta ante a norma e a lesão
suportada, de maneira que seja possível atestar que houve um dano em razão da
ação do sujeito ante ao direito do outro.
De certo que para existir a responsabilidade civil torna precípuo o nexo de
causalidade entre o ato ilícito e o dano causado. Sem tal nexo de causalidade, não
se admite a obrigação de indenizar ante ao previsto no art. 186 do Código Civil
estabelece claramente que quem infringir os seus direitos e causar dano a outrem
por ação ou omissão voluntária, negligência ou imprudência assume a obrigação de
reparar o dano. A responsabilidade pelo dano surge apenas quando existe a
possibilidade de estabelecer uma relação de causalidade entre o dano e o seu autor.
Existem certos fatos que interfeririam no fato culposo e romperiam a relação causal,
excluindo a responsabilidade do agente. As exclusões de responsabilidade civil
envolvendo excludente de nexo de causalidade incluem: o estado de necessidade, a
legítima defesa, a culpa da vítima, o fato de terceiro, o caso fortuito ou força maior e
a cláusula de não indenizar. (GONÇALVES, 2021).
 35

Conclui-se que este não é um elemento central em relação à

responsabilidade civil, mas um meio para alcançá-la, pois para apurar a culpa e
extensão do dano das ações do agente, é necessário demonstrar a causalidade e a
relação entre os outros dois pressupostos de responsabilidade.

3.3.3 Do dano causado

O dano incide sobre o desenvolvimento contemporâneo da responsabilidade

civil, concentrando-se no campo relacional a ela associado, e passando a referir-se
à existência do direito à indenização. Assim, o dano constitui o dano sofrido pela
vítima do ato ilícito, ensejando, assim, a responsabilidade civil. Esse é o ponto da
responsabilidade civil, pois a partir daí, é preciso indenizar a vítima pelos danos
sofridos. Ressalte-se que, quer se trate de responsabilidade civil subjetiva, quer de
responsabilidade civil objetiva, devem ser observadas as disposições sobre
indenização por danos, sendo que em ambos os casos, se o dano não ocorrer, a
indenização não se aplica. (TARTUCE, 2019).
Dessa forma, o dano se trata do elemento central da responsabilidade civil,
exigindo a comprovação do dano material ou moral causado pelo agente no âmbito
do direito civil, possibilitando, assim, a reparação do inconveniente sofrido. Feitas as
suposições necessárias sobre a responsabilidade civil, é necessário abordar as
questões de classificação relacionadas ao problema estudado.

3.4 Classificações

Com relação a este item, serão discutidas brevemente as principais

classificações da responsabilidade civil no direito brasileiro, levando em
consideração aspectos relacionados à natureza da obrigação, os vínculos jurídicos
na relação e a natureza voluntária do ato.

3.4.1 Obrigação: Solidária – subsidiária

A solidariedade dos autores quanto à responsabilidade por danos, segue o

exposto no artigo 942 do Código Civil que constitui uma obrigação com
antecedentes muito antigos, remontando ao povoamento romano no Digesto para os
 36

casos de dano intencional e violento. No entanto, deve-se notar que não há

solidariedade entre o responsável pelo pagamento da indenização e o cônjuge que
não foi envolvido ou causador do dano. (GONÇALVES, 2021). O art. 942 do Código
Civil assim prevê:
Art. 942. Os bens do responsável pela ofensa ou violação do direito
de outrem ficam sujeitos à reparação do dano causado; e, se a
ofensa tiver mais de um autor, todos responderão solidariamente
pela reparação. Parágrafo único. São solidariamente responsáveis
com os autores os coautores e as pessoas designadas no art. 932.
(BRASIL, 2002, p. 798).

Ao contrário da responsabilidade solidária, na responsabilidade subsidiária,

a obrigação não se figura entre dois ou mais devedores. Nesse aspecto subsiste
somente o devedor principal, porém, se este não cumprir a obrigação que ficou
responsável, outro obrigado legalmente ou contratualmente assumirá
responsabilidade por essa obrigação. Como exemplo de responsabilidade
subsidiária, no campo do direito civil temos a do fiador figurado na Lei do Inquilinato
(Lei nº 8.245/1991). (OLIVEIRA, 2016).
Em síntese, compreende-se que a solidariedade e subsidiariedade se
relaciona com a obrigação de ressarcimento do dano causado, o primeiro nos casos
em que há mais de um responsável pelo dano causado, e caso tenha sido pago por
um este poderá exigir dos outros o direito de regresso. No entanto, a
subsidiariedade difere, pois existe uma ordem a ser seguida, caso o principal não
quite a obrigação, o considerado subsidiário se encontra legitimado passivamente
para figurar na lide e proceder com o pagamento.

3.4.2 Vínculo jurídico: extracontratual – contratual

A obrigação contratual se relaciona com a natureza da obrigação legal

violada pelo responsável. A responsabilidade contratual surge no caso de não
cumprimento do contrato, ou seja, quando não há violação do contrato ou atraso no
cumprimento das obrigações estabelecidas no contrato. Portanto, não há
necessidade de responsabilizar o contratante lesado, pois é o descumprimento em si
que gera a responsabilidade.
Embora origem da palavra “responsabilidade” vem do verbo latino
respondere, de spondeo, da obrigação originária de natureza contratual, onde o
 37

devedor e o credor estão vinculados em um contrato, há a regra geral do direito

brasileiro aplicando a responsabilidade extracontratual, denominada aquiliana, no
descumprimento normativo do responsável pelo dano, com base em obrigações
legais derivadas da lei e do ordenamento jurídico. Em geral, este é um dever de
interesse público, pois os agentes de processamento devem cumprir todos os
princípios acima ao realizar atividades de processamento de dados pessoais, além
das diversas regulamentações impostas pela LGPD. (GONÇALVES, 2021).

3.4.3 Voluntariedade: objetiva – subjetiva

Nesse ponto se insere a questão deste estudo, pois a premissa deste

trabalho é analisar a voluntariedade da culpa na determinação da responsabilidade
do agente pelos danos causados através da atividade exercida. Ou seja, no direito
civil brasileiro, existem duas formas de responsabilidade que são parametrizadas
pela culpa das ações de quem causa dano a outrem.
Assim, conforme o exposto nos dispositivos dos artigos 186, 187 e 927 do
CC tem-se como regramento geral a necessidade de demonstração da culpa na
prática do ato ilícito que geou o dano, tal característica se interliga de forma
imprescindível à subjetividade da conduta, melhor dizendo, há importância na
validação do interesse do agente por meio da conduta infligida. Conforme relata
Cavalieri Filho (2003, p. 36), entende-se que:

Responsabilidade subjetiva teremos sempre, até o juízo final, mesmo

não havendo lei prevendo-a, porque essa responsabilidade faz parte
da ética, da moral, do sentimento natural de justiça. Decorre daquele
princípio superior de direito, de que ninguém deve causar dano a
outrem. Então, vale ressaltar, sempre que não tivermos disposição
legal expressa consagrando a responsabilidade objetiva, persiste a
responsabilidade subjetiva, como sistema subsidiário, como princípio
universal de direito; posso não responder objetivamente por falta de
previsão legal, mas, subjetivamente, se causar dano a outrem, vou
ter sempre que responder [...].
Essa responsabilidade só vai se configurar quando houver conduta
culposa, nexo causal e dano, com aquela complexidade toda de
provar a culpa, como violação ao dever de cuidado. Cláusula geral,
aberta, que sempre exigirá um juízo de valor, porque em cada caso
teremos que ver se houve previsibilidade, se houve um
comportamento adequado etc.

A responsabilidade objetiva é uma responsabilidade que constitui uma

obrigação de indenizar, independentemente de o agente demonstrar ou não ser
 38

culpado. Desenvolveu-se no direito contemporâneo a partir do século XIX, em parte

devido aos desenvolvimentos industriais e tecnológicos da época e à crescente
urbanização da vida relacional. (MIRAGEM, 2021). É plausível que investigações
que utilizem a existência de culpa como critério para definir a responsabilidade do
agente sejam praticamente impossíveis, ou mesmo irrelevantes para determinados
casos aplicando-se quando convier a socialização dos custos.
Diante disso, é necessário destacar pontos relevantes referentes à
responsabilidade pelo exercício das atividades de risco. Nos ensinamentos de
Cavalieri Filho (2003, p. 40), ao analisar o termo atividade, encontra-se um
ensinamento heurístico sobre essa questão:

Mas no parágrafo único do art. 927, o Código usou a outra expressão

“atividade”. E será que o fez por mera coincidência? Não. Isso deve
ter relevância. Se ali diz “atividade”, é porque estava querendo se
referir a uma outra modalidade de comportamento, a uma outra
espécie de conduta, que não a mera “ação ou omissão voluntária,
negligência ou imprudência”. Qual seria? [...]
Não há dúvida, portanto, de que o próprio Código Civil, e não apenas
o Código do Consumidor, utilizou em mais de um lugar a palavra
“atividade”, não para indicar a ação ou omissão esporádica, isolada
de alguém, mas a conduta profissional, habitual, economicamente
organizada.

Desta forma, fica claro que há um fator econômico inerente quando se fala
em atividade. Quanto ao risco, é importante observar que o direito civil brasileiro
adere à teoria da criação de risco e, diante disso, é preciso entender que certas
atividades têm o poder de criar perigo e a possibilidade de infringir os direitos de
outras. Portanto, em caso de dano, o autor assume o risco, não tem espaço para
discutir se há culpa e conceitua-se como teoria da objetividade.
Gonçalves (2021, p.19) conceitua as duas responsabilidades da seguinte
forma:
Diz-se, pois, ser “subjetiva” a responsabilidade quando se esteia na
ideia de culpa. A prova da culpa do agente passa a ser pressuposto
necessário do dano indenizável. Nessa concepção, a
responsabilidade do causador do dano somente se configura se agiu
com dolo ou culpa.
A lei impõe, entretanto, a certas pessoas, em determinadas
situações, a reparação de um dano independentemente de culpa.
Quando isto acontece, diz-se que a responsabilidade é legal ou
“objetiva”, porque prescinde da culpa e se satisfaz apenas com o
dano e o nexo de causalidade.
 39

O problema a partir do objeto de estudo se torna compreender que esses

dois institutos da responsabilidade realmente atingem os objetivos pretendidos pela
lei brasileira na proteção de dados ao determinar as responsabilidades dos agentes
que tratam os dados pessoais. Ou seja, quando tal ação causa danos ao titular, o
agente deve responder por culpa segundo o modelo tradicional, ou seguir o modelo
de risco/vulnerabilidade, presumindo que a culpa favorece a pessoa que sofreu o
dano.

3.5 Pressupostos da Responsabilidade Civil em relação a Proteção de Dados

Neste subitem, faz-se necessária a análise dos pressupostos da

responsabilidade civil em relação a proteção de dados levando em consideração os
aspectos ora discutidos quais sejam: a) a conduta ilícita por meio do ato que enseja
reparação; b) o liame do nexo de causalidade da conduta do agente com o ato ilícito;
c) e a conceituação do dano. Excetua-se dessa análise a culpabilidade (objetiva e
subjetiva) do agente para a discussão trazida nos subitens 3.2.1 e 3.2.2
respectivamente.

3.5.1 Da Conduta Ilícita

Independentemente da previsão estabelecida na LGPD do conjunto de

princípios e regras que visam criar um ambiente proativo, responsável e protetivo,
existe um risco inerente a coleta e processamento de dados pessoais,
especialmente diante dos riscos inerentes ao acesso a internet. (FRAZÃO, 2019).
Exige-se, então o estabelecimento de um microssistema de responsabilidade civil
que possa proporcionar às vítimas proteção efetiva e indenização integral pelos
prejuízos.
A partir do extraído da lei de proteção de dados, a saber, Lei Geral de
Proteção de Dados (Lei nº 13.709/2018), concebe-se duas condutas que retratam a
responsabilidade civil na LGPD, expostos no artigo 42 caputs e o art. 44, parágrafo
único:
 40

Art. 42. O controlador ou o operador que, em razão do exercício de

atividade de tratamento de dados pessoais, causar a outrem dano
patrimonial, moral, individual ou coletivo, em violação à legislação de
proteção de dados pessoais, é obrigado a repará-lo. (caput do art.
42) (BRASIL, 2018)
[...]
Art. 44 [...]
Parágrafo único. Responde pelos danos decorrentes da violação da
segurança dos dados o controlador ou o operador que, ao deixar de
adotar as medidas de segurança previstas no art. 46 desta Lei, der
causa ao dano. (art. 44, parágrafo único). (BRASIL, 2018, p. 71).

No contexto da promoção da segurança da informação, os processos e

procedimentos devem garantir a disponibilidade, integridade e confidencialidade de
todas as formas de informação ao longo do ciclo de vida dos dados. Portanto, para
garantir que os dados pessoais sejam processados de maneira eficiente e
adequada, o agente responsável por esse processamento deverá adotar as medidas
técnicas de segurança adequadas e específicas para tais procedimentos.
Divino (2020) as divide em duas, sendo a primeira concernente à violação
das normas jurídicas presentes no microssistema de proteção de dados e aqui se
entende como todas as normas que versam sobre a proteção de dados, desde a
Constituição Federal de 1988, Código de Defesa do Consumidor, Lei de Cadastro
Positivo até a LGPD, e a segunda a violação de normas técnicas de segurança e
proteção de dados pessoais, de forma mais restrita as normativas técnicas sobre o
tema.

3.5.2 Do Nexo de Causalidade

Partindo da lógica posta no subitem 3.2.2, tendo sido elencado que o nexo
de causalidade se trata do elemento primordial para a conduta chegar no resultado
pretendido ou não pelo agente. Por meio dele, pode-se determinar quem é o
responsável pelo dano, portanto, para fins de responsabilidade civil, é necessário
examinar, no caso concreto, a correlação entre o dano sofrido pelo titular dos dados
e a ação realizada pelo processador.
Em relação ao nexo de causalidade, cita-se como exemplo uma situação em
que uma cliente realiza a solicitação de orçamento em uma concessionária para a
compra de um automóvel e expressa o desejo de um carro de marca X, no entanto,
 41

a cliente ao fazer o test drive, descobre que o carro não era o que imaginava e
assim resolve não comprar o automóvel solicitado. (DIVINO, 2020).
Alguns meses depois chegou a sua residência cobranças de parcelas do
referido carro, informando que caso não seja pago será encaminhado os dados da
cliente para os órgãos de proteção ao crédito. Logo, a cliente relembra que ao fazer
o orçamento concedeu seus dados pessoais tais como: nome, residência, CPF,
endereço eletrônico e renda para o fim de saber o preço do carro e sequer assinou
contrato de compra e venda. (DIVINO, 2020).
A cliente titular dos dados esteve ciente que sua privacidade foi violada pela
conduta adotada, e assim ajuíza ação arguindo que não houve contrato firmado
entre as partes. Assim, conforme prova documental, houve a utilização de seus
dados para finalidade diversa e sem que a autora tivesse informação adequada
violando o Código de Defesa do Consumidor e a LGPD prevista no art. 6º, I em
ambas as legislações. Tal exemplo foi um caso extraído do processo nº Processo
Nº: 0034398-48.2019.8.03.0001 do Tribunal de Justiça do Amapá em 2021.

3.5.3 Do Dano

No atual modelo em que os dados pessoais desempenham um papel

fundamental no desenvolvimento social e econômico, aumentam-se também os
riscos inerentes às atividades de tratamento de dados. Afirma-se que devido às
infinitas possibilidades de uso desses dados, ainda não é possível dizer com
precisão a extensão do dano, mas as violações que foram testemunhadas, tanto
individual quanto coletivamente, sugerem que o potencial de dano se torna alto.
No entanto, para gerar responsabilidade civil com direito a indenização,
deve-se verificar a ocorrência do dano real suportado pelo titular, pois o simples
descumprimento de obrigações legais e a não verificação do dano acarretará
apenas a responsabilidade administrativa do operador. Ocorre que a percepção é
mais pronunciada no caso de danos materiais, pois a perda de lucros ou prejuízos
decorrentes de violação da lei será uma medida precisa e matemática da extensão
do dano, o fato de que no dano moral, o O grau de análise é mais complexo.
(DIVINO, 2020).
Frente a isto, cabe relacionar a supracitada decisão do TJ-AM com aplicação
à nova legislação de dados brasileira. Vide a ementa:
 42

CONSUMIDOR. CONTRATO DE FINANCIAMENTO DE VEÍCULO.

FRAUDE. COMPROVADA. DANOS MORAIS. COMPROVAÇÃO.
VALOR DO DANO. ADEQUAÇÃO. RECURSO CONHECIDO E
PROVIDO EM PARTE. SENTENÇA PARCIALMENTE REFORMADA
1) Da leitura do art. 14 do CDC, verifica-se que a responsabilidade do
fornecedor de serviços é objetiva e somente não responderá pela
reparação dos danos causados se provar que, tendo prestado o
serviço, o defeito inexiste ou o fato é exclusivo do consumidor ou de
terceiro. 2) No caso dos autos, Ficou evidente que os dados do autor,
independentemente de sensíveis ou pessoais (art. 5º, I e II, Lei Geral
de Proteçâo de Dados Pessoais - LGPD) foram tratados em violação
aos fundamentos de sua proteção (art. 2º, LGPD) e à finalidade
específica, explícita e informada ao seu titular (art. 6º, I, LGPD).3)
Não houve contrato firmado entre as partes. Entretanto, conforme
prova documental, houve a utilização de seus dados para finalidade
diversa e sem que o autor tivesse informação adequada (art. 6º, II,
LGPD), o que afronta diretamente o disposto no artigo 6º, III e IV, do
Código de Defesa do Consumidor, quanto ao dever de informação.
Assim, não existe suporte para a exclusão de responsabilidade, pois
ficou caracterizado o ilícito relativo à violação de direitos da
personalidade, por utilização indevida de dados pessoais. 4) Quanto
aos danos morais, no caso em particular, deve ser reduzido, em
consonância com os julgados desta Turma Recursal, para o valor de
R$ 4.000,00 (quatro mil reais). 5) Recurso conhecido e provido em
parte. Sentença parcialmente reformada para reduzir o valor dos
danos morais para R$ 4.000,00 (quatro mil reais), permanecendo
inalterados os demais termos do julgado. Sem honorários. (TJ-AP -
RI: 00343984820198030001 AP, Relator: MÁRIO MAZUREK, Data
de Julgamento: 01/04/2021, Turma recursal). (AMAPÁ, 2021, p. 1).

Portanto, deve-se verificar caso a caso se os direitos patrimoniais ou

extrapatrimoniais do titular são efetivamente prejudicados pela ação do agente de
processamento, e se a ação é cabível como infração às normas legais e conforme
no caso em comento houve a utilização do microssistema juntando o códex
consumerista com a nova legislação de proteção de dados.

3.6 Doutrina Sobre o Regime de Responsabilidade Civil dos Agentes de

Tratamento

A princípio, cabe destacar que a análise dos regimes de responsabilidade

estará vinculada ao regime geral adotado na LGPD ignorando as regras específicas
estabelecidas no art. 45, por sua redação clara, se os direitos dos titulares forem
violados no âmbito das relações de consumo, ainda estarão sujeitos às regras de
responsabilidade estabelecidas pela legislação pertinente, no caso a
responsabilização estabelecida pelo CDC. (BRASIL, 1990).
 43

No capítulo VI da Lei Federal nº 13.709/2018 do artigo 37 ao 40 foi retratado

a figura dos agentes de tratamento de dados pessoais, em especial merece apreço
o registro realizado pelos controladores e operador, sempre que versarem sobre os
dados pessoais quando baseado no interesse legítimo. Para efeitos de controle e
transparência das ações e cumprimento do tratamento de dados, as ações
realizadas durante o tratamento de dados pessoais são registadas pelos
responsáveis pelo tratamento e pelos operadores. (BRASIL, 2018).
O controlador de dados é uma pessoa física ou jurídica de direito público ou
privado responsável pela tomada de decisões sobre o tratamento de dados pessoais
(artigo 5º inciso VI da LGPD). Um operador de dados é uma pessoa física ou
jurídica, de direito público ou privado, que processa dados pessoais em nome do
controlador. (BRASIL, 2018).
Com base nessa ideia, os legisladores utilizaram uma técnica legislativa
imprecisa na criação da LGPD, que envolvia tanto a responsabilidade quanto a
indenização, definido na Seção III. Ocorre que isso deveria ser especificado de
forma clara, pois evitaria uma série de controvérsias que inevitavelmente surgem por
falta de clareza (NOVAKOSKI; NASPOLINI, 2020). Em vez disso, os legisladores se
limitaram ao art. 42, e assim em caso de violação da lei, a assunção de
responsabilidade do agente causador do dano. Já no art. 44, indicando
responsabilização em caso de descumprimento de normas técnicas relacionadas às
obrigações de segurança de proteção de dados. (DIVINO, 2020).
Em relação a responsabilização dos agentes, Miragem (2021, p. 495) retrata
que:
A responsabilidade dos agentes de tratamento decorre do tratamento
irregular dos dados pessoais do qual resulte o dano. Exige-se a falha
do controlador ou do operador, que caracteriza o nexo causal do
dano. Contudo, não se deve perquirir se a falha se dá por dolo ou
culpa, senão que apenas sua constatação é suficiente para
atribuição da responsabilidade, inclusive com a possibilidade de
inversão do ônus da prova em favor do titular dos dados.

Ou seja, atribui de forma clara a responsabilidade objetiva para o caso de

vazamento ou manutenção irregular dos dados quando houver dano, pouco
importando a existência de culpa.
As condições para atribuição da responsabilidade dos responsáveis pelo
tratamento e dos operadores pelos danos causados pelo tratamento abusivo de
dados são: a) a constatação de violação das regras que regem o tratamento de
 44

dados pessoais; o titular dos dados. Porque nenhuma das partes precisa provar
intenção ou culpa para atribuição quando a responsabilidade for objetiva. Mais uma
vez, entendendo-se que a interpretação da lei é correta e que pela natureza das
atividades realizadas serão solidariamente responsáveis, o titular dos dados que
sofrer danos pode reclamar qualquer um deles, o operador ou o responsável pelo
tratamento, individualmente ou em conjunto. (MIRAGEM, 2021).
Em contramão ao doutrinador acima, Rizzardo (2019, p. 934) expõe que:

Pela Lei no 13.709/2018, art. 60, em 18.08.2020, passará a vigorar a

seguinte redação do inc. II acima: “de dados pessoais que sejam
excessivos em relação à finalidade para a qual foi dado
consentimento pelo seu titular, exceto nas hipóteses previstas na Lei
que dispõe sobre a proteção de dados pessoais”.
Conforme o art. 15, o provedor está obrigado a manter os registros
de acesso sob sigilo, em ambiente controlado e de segurança, pelo
prazo de seis meses, sob pena de sanções administrativas. Contudo,
pelos danos decorrentes do uso desses serviços por terceiros, não
redunda responsabilidade ao provedor.

No que diz respeito ao regime adequado de responsabilidade civil dos

agentes de tratamento de dados, segue-se nesta doutrina a tradicional dicotomia no
campo jurídico, Miragem (2021) e Novakoski (2020), entre outros, defendem a
responsabilidade objetiva porque argumentam que as práticas de tratamento de
dados revelam riscos inerentes, pois há um potencial significativo de danos em
casos de infração, pois esses direitos dizem respeito à personalidade e à liberdade.
Em outra perspectiva, há uma linha de pensamento de que, segundo a
interpretação da LGPD, o regime de responsabilidade relevante será o regime de
responsabilidade subjetiva, representado por Tartuce (2021). Os autores propõem
que se destaque o conteúdo da legislação que estabelece normas processuais às
quais os agentes de processamento de dados devem aderir para proporcionar maior
segurança, discrição e boas práticas na gestão de dados, o que é elencado como
justificador de uma responsabilidade subjetiva.
Tartuce (2021, p. 520, grifo do autor) expõe a subjetividade na LGPD da
seguinte forma:
 45

Ainda, conforme o § 2.º do art. 42 da Lei n. 13.709/2018, o juiz, no

processo civil, poderá inverter o ônus da prova a favor do titular dos
dados quando, a seu juízo, for verossímil a alegação, houver
hipossuficiência para fins de produção de prova ou quando a
produção de prova pelo titular resultar-lhe excessivamente onerosa.
Nota-se, aqui, uma clara influência da inversão do ônus da prova, já
consagrada pelo CDC (art. 6.º, inc. VIII). Entendo que tal inversão é
possível inclusive quanto ao elemento culpa, uma vez que a
responsabilidade do controlador ou operador, pelo menos em
regra, é subjetiva. Aqui já se indica uma possibilidade de utilização
da responsabilidade objetiva no âmbito da LGPD. As ações de
reparação por danos coletivos que tenham por objeto essa
responsabilização podem ser exercidas coletivamente em juízo,
observado o disposto na legislação pertinente (§ 3.º do art. 42 da Lei
n. 13.709/2018). Eventualmente, como consequência da
solidariedade, aquele que reparar o dano ao titular tem direito de
regresso contra os demais responsáveis, na medida de sua
participação no evento danoso (§ 3.º do art. 42 da Lei n.
13.709/2018). Adota-se, portanto, a mesma ideia constante do art.
942 do Código Civil, aqui antes estudado.

O autor acima afirma que a teoria do regime da responsabilidade subjetiva

se tornou regra e a exceção a responsabilidade objetiva, inclusive no tratamento de
dados pelo controlador e operador.
Dessa forma, após uma breve introdução teórica sobre como cada uma das
correntes doutrinárias mencionadas compreende a responsabilidade dos agentes de
tratamento, o presente trabalho prossegue com um exame detalhado dos
argumentos apresentados pelos estudiosos em defesa do regime da
responsabilidade subjetiva.

3.6.1 Regime de Responsabilidade Civil Subjetiva dos Agentes de Tratamento

Após introduzir o cenário da responsabilidade civil no âmbito da proteção de

dados, este estuda passa a centrar-se na sua questão central: o elemento de culpa
na responsabilidade dos agentes de tratamento de dados pessoais, iniciando esta
análise com a atual defesa da responsabilidade subjetiva do tratamento de dados
pessoais pelos agentes.
A referência explícita à responsabilidade objetiva foi totalmente retirada do
texto legal e introduzida no art. Artigo 42.º, para efeitos de indemnização civil, o
dever de danos causados pelo tratamento de dados decorre do incumprimento, por
parte do agente competente, da legislação sobre a proteção de dados pessoais.
(NOVAKOSKI; NASPOLINI, 2020). Depreende-se daí que os legisladores nacionais
 46

optaram pelo sistema de apuração da culpa para alocar as obrigações indenizatórias

excluindo explicitamente a responsabilidade objetiva, e seguiram o modelo
tradicional de responsabilidade civil existente no Código Civil.
Em seguida, seguindo essa linha de raciocínio Cardoso (2020), relata que a
responsabilidade civil segue os parâmetros gerais do Código Civil, com base no art.
186, 187 e 927 (BRASIL, 2002) e art. 42 da LGPD (BRASIL, 2018) trata da
responsabilidade civil dos agentes. O artigo pressupõe que o controlador ou
operador é responsável pelos danos causados por violações da lei, sejam materiais,
espirituais, individuais ou coletivos. Assim, em casos específicos, a assunção da
responsabilidade civil é analisada juntamente com a responsabilidade do terapeuta
pelos crimes cometidos, sendo o modelo de responsabilidade subjetiva o melhor
modelo para essa necessidade, o processo de conhecimento para analisar situações
de culpa. (CARDOSO, 2020).
Como argumento na doutrina, também emergiu que em uma interpretação
teleológica do que visa a LGPD, pode-se observar que os legisladores estabelecem
padrões genuínos de conduta aos quais os agentes de processamento de dados
devem seguir. (NOVAKOSKI; NASPOLINI, 2020). Estabeleceu-se o Capítulo VII no
texto da LGPD intitulado "Sobre Segurança e Boas Práticas", que se divide em duas
partes: (i) Parte I - "Sobre Dados" e (ii) Parte II, "Boas Práticas e Governança"
(BRASIL, 2018, p. 35), cria uma lista de responsabilidades que os agentes de
processamento de dados devem cumprir.
Cardoso (2020), fez uma análise crítica do dispositivo em consonância com
os autores acima. O artigo 50 da LGPD, incluído no Capítulo VII, no qual os autores
afirmam que a LGPD implementou um programa de governança da privacidade
semelhante às políticas de segurança da informação conhecidas, mas com foco no
cumprimento da nova legislação, além de demonstrar o compromisso por parte dos
agentes de processamento para cumprir e fazer cumprir suas leis relacionadas à
Contratada. Seguindo esse raciocínio, Novakoski e Naspolini (2020), sugerem que
se os legisladores devem responsabilizar os agentes independentemente de sua
culpa, não é adequado discutir o descumprimento das obrigações legais pela lógica
da responsabilidade objetiva.
Dessa forma, os autores deduzem que, além do fato de a estrutura da LGPD
se basear na criação de padrões de responsabilidade e conduta, há outra pista
importante que aponta para esse regime de responsabilidade subjetiva no
 47

tratamento de dados. O artigo 43 da Lei dispõe acerca das excludentes de

responsabilidade e estabelece o conceito de culpa como fundamento da
responsabilidade civil.
Por fim, conclui-se que os defensores do sistema de responsabilidade civil
subjetiva entendem que a responsabilidade deve seguir um modelo geral, e dado
que a lei não prevê um modelo especial, é necessário verificar a culpa do agente,
sabendo que o tratamento de dados pessoais não constitui uma atividade de risco,
sustentam ainda que não faz sentido que os legisladores estabeleçam tantos
padrões de conduta para que os agentes sejam responsabilizados,
independentemente da sua culpa e, por fim, a necessidade de um processo a ser
contestado, conhecimento na necessidade de conhecimento técnico específico.

3.6.2 Regime de Responsabilidade Civil Objetiva dos Agentes de Tratamento

Tendo exposto os argumentos para a doutrina subjetivista, se torna

necessária a análise para examinar as principais premissas dos defensores do
objetivismo. Portanto, ao adotar um sistema objetivo que existe na LGPD, deve-se
evitar entrar em um dilema que criaria um obstáculo ao desenvolvimento de novas
tecnologias de proteção de dados devido à grande possibilidade de ações judiciais.
Acontece que esse é um dilema equivocado que historicamente foi superado, pois
com o modelo de presunção de culpa, a prova de culpa é mais flexível e não há
limite para o desenvolvimento de novas tecnologias; ao contrário, o pleno
desenvolvimento da tecnologia e da indústria é assegurada, essa responsabilização
O custo do modelo é incorporado pelo mercado sem afetar a indenização às vítimas
que sofreram danos. (DOSSA, 2020).
A partir da compreensão que o regime da responsabilidade objetiva não será
um empecilho ao desenvolvimento da indústria de dados, há fortes argumentos na
doutrina brasileira para justificar a aplicação do regime, inclusive Bioni (2021, p.
188), segundo o qual a proteção de dados passa por um processo para regular o
risco atinente ao processamento de dados, levando ao fenômeno da regulação para
que haja uma mudança de paradigma na prevenção de danos e nas ferramentas
regulatórias que, além de impor um poder ao público, eleva o nível de segurança da
informação e a percepção de risco dos profissionais autoridades, uma série de
obrigações para com as empresas e, portanto, aumentará o uso de dados limitados
 48

às atividades comerciais para uma conduta potencialmente ética. (BIONI, 2021, p.

200).
Além disso, a LGPD foi analisada em 3 de maio de 2017 em audiência
pública realizada pela Comissão Parlamentar Especial (CPE) sobre o tema
“Responsabilidade pela Objetividade e Solidariedade”, e pelo Instituto Brasileiro de
Pesquisa em Defesa do Consumidor (IDEC), evidenciaram as deficiências dos
usuários nas atividades de risco representadas pela coleta de dados, defendendo
assim a objetividade e a responsabilidade solidária caso a caso. (COMISSÃO, 2018,
p. 17).
O ordenamento jurídico incorpora o princípio da segurança em seu corpo
normativo. Como essa proteção dos legítimos interesses do cedente dos dados se
tornou preventiva, criou-se uma nova situação neste caso, revelando a função
preventiva da responsabilidade civil, que, segundo a LGPD, torna-se uma ato ilícito
quando há um perigo, incluindo danos graves possíveis ou iminentes ou danos
irreversíveis a interesses individuais, coletivos e difusos.
Ainda acerca do princípio da segurança, do qual se depreende que os
agentes de tratamento têm obrigações de segurança no exercício das suas
atividades. Quanto a esta responsabilidade, Cavalieri Filho, especifica que tais
obrigações decorrentes de risco corporativo são inerentes à obrigação de cumprir
com as normas técnicas e de segurança e os padrões de fidelidade, tanto no que diz
respeito aos bens e serviços prestados quanto a quem são feitas tais ofertas. Assim,
qualquer pessoa que exerça as atividades de produção, armazenamento,
distribuição e comercialização de produtos ou prestação de serviços torna-se seu
fiador e responsável pela sua qualidade e segurança.
Ao dissertar sobre o fenômeno da risquificação (BODIN, 2019), e além dos
riscos dos direitos e liberdades da personalidade inerentes à natureza do tratamento
de dados pessoais, encontra-se geralmente na doutrina um posicionamento,
exemplificado pela Doutora Laura Mendes Amando de Barros, demonstrando que,
no que diz respeito à responsabilidade civil cabível. Então, o regime, de acordo com
as regras gerais do direito civil brasileiro, a responsabilidade será objetiva, conforme
articula o parágrafo único do art. 927 do CC, Pela natureza da atividade e pelo risco
aos direitos de outrem, o causador do dano é obrigado a repará-lo,
independentemente de o autor ter realizado a atividade com culpa. (BARROS,
2022).
 49

De forma clara o art. 43 representa uma tendência que pode ser interpretada
como determinante da responsabilidade objetiva, desde que estabeleceu
exaustivamente as circunstâncias em que a obrigação de indenizar pode ser evitada:
o agente responsável não tratou dos dados; não há violação da proteção de dados
na legislação; culpa exclusiva da pessoa ou de terceiros. Deve-se notar que em
nenhum momento a culpa do operador/controlador se torna um ponto central.
(BARROS, 2022).
Bruno Miragem (2021, p. 26) acredita que a responsabilização objetiva é
necessária pelos seguintes fatores: (i) Quanto ao tratamento de dados pessoais - é
necessário saber se o responsável tem responsabilidade de segurança pelo
tratamento, em relação a aqueles que realizam atividades a título profissional as
expectativas legítimas das pessoas em relação à sua segurança e, portanto,
assumem que possuem conhecimentos suficientes para garantir a integridade dos
dados e proteger a privacidade de seus titulares: (ii) a responsabilidade do agente
de processamento pelo manuseio indevido de dados pessoais causadores de danos
Causados - Não se deve perguntar se a falha se deu por dolo ou negligência, mas
apenas para verificar se o tratamento irregular dos dados é suficiente para
determinar a atribuição de responsabilidade.
Desta forma, compreende-se que os defensores do regime de
responsabilidade objetiva entendem que, pela sua própria natureza, o tratamento de
dados pessoais está intrinsecamente ligado a atividades de risco pela sua
capacidade de causar danos materiais/morais e violar direitos e liberdades,
privacidade e individualidade. Com base nessa premissa, os parágrafos únicos do
artigo 927 do Código Civil estabelecendo a obrigação de reparar o dano, culposo ou
não, quando o autor do dano normalmente exerce atividade que por sua natureza
constitua uma ameaça a direitos de outrem. (BRASIL, 2002).
 50

4 DECISÕES JUDICIAIS BASEADAS NA LEI GERAL DE PROTEÇÃO DE DADOS

Neste capítulo será abordado casos decorrentes de nossos tribunais que se

valeram da Lei Geral de Proteção de Dados como fundamentação para apreciação
do mérito, conforme se vê.

4.1 Tribunal de Justiça de São Paulo: uso indevido de dados

Toda lei nova quando entra em vigor no ordenamento jurídico, causa

dúvidas de sua aplicabilidade, sobretudo quando há posições jurídicas divergentes
alguns tribunais, tais como, os superiores ou os tribunais estaduais. Dito isto, é de
suma importância colacionar algumas decisões envolvendo a nova Lei Geral de
Proteção de Dados, no que concerne ao compartilhamento indevido dos dados
pessoais e como as empresas fazem mal uso dos referidos. (BRASIL, 2020).
Inicia-se esse tópico com um caso julgado no Tribunal de Justiça de São
Paulo. No tema da Lei Geral de Proteção de Dados, essa foi a primeira decisão que
se tem conhecimento. Em apartada síntese, o juiz de 1º grau decidiu pela
condenação de uma empresa do ramo da construção que utilizou de forma errônea
os dados de sua clientela. Na descrição do caso, a empresa teria feito o
compartilhamento dos dados do autor da ação com outras empresas que não
estavam previstas no controlado, e tudo isso, realizado sem o consentimento do
autor. (BRASIL, 2020).
No caso concreto, o autor havia realizado uma compra de um imóvel,
através de um contrato celebrado com a empresa e após isso, outras empresas
começaram a entrar em contato com o cliente e oferecendo serviços, aduzindo que
a empresa construtora havia feito a venda dos dados pessoais. Assim sendo, o autor
da ação, requereu em juízo o valor de 10.000,00 reais em termos de indenização e
obteve êxito na ação, sendo a empresa reclamada condenada por ter feito algo que
não deveria, ou seja, descumpriu cláusula de obrigação de não fazer. (BRASIL,
2020).
Foi nesse contexto que o juiz decidiu no processo 1080233-
94.2019.8.26.0100 com base no entendimento disposto na Lei Geral de Proteção de
Dados. É que se retira do trecho a seguir:
 51

Vê-se, portanto, que os referidos diplomas (CDC e LGPD)

encontram-se em consonância com os princípios fundamentais da
República expressos na Constituição Federal de 1988,
especialmente o respeito à dignidade humana (art. 1º, III, CF/88), a
construção de uma sociedade livre, justa e solidária (art. 3º, I, CF/88)
e a promoção do bem de todos sem preconceitos (art. 3º, IV, CF/88).
Exsurge de tais valores o vetor que direciona a tutela dos direitos
fundamentais como pilar inarredável do Estado Democrático de
Direito, em que as garantias e os direitos individuais sequer são
passíveis de serem infirmados ou reduzidos pelo Poder Constituinte
Derivado (art. 60, § 4º, IV, CF/88).
[...].
Patente que os dados independentemente de sensíveis ou pessoais
(art. 5º, I e II, LGPD) foram tratados em violação aos fundamentos de
sua proteção (art. 2º, LGPD) e à finalidade específica, explícita e
informada ao seu titular (art. 6º, I, LGPD). O contrato firmado entre as
partes prescreveu apenas a possibilidade de inclusão de dados do
requerente para fins de inserção em banco de dados (“Cadastro
Positivo”), sem que tenha sido efetivamente informado acerca da
utilização dos dados para outros fins que não os relativos à relação
jurídica firmada entre as partes. Entretanto, consoante prova
documental acima indicada, houve a utilização para finalidade
diversa e sem que o autor tivesse informação adequada (art. 6º, II,
LGPD). Nesse mesmo sentido tuitivo, o disposto no artigo 6º, III e IV,
do Código de Defesa do Consumidor. Isto posto, a responsabilidade
da ré é objetiva (arts. 14, caput, CDC e 45, LGPD). Inexiste suporte
para a exclusão de responsabilidade (art. 14, § 3º, I a III, CDC), de
sorte que caracterizado o ato ilícito relativo a violação a direitos de
personalidade do autor, especialmente por permitir e tolerar (conduta
omissiva) ou mesmo promover (conduta comissiva) o acesso
indevido a dados pessoais do requerente por terceiros. (BRASIL,
2020, p. 1).

De acordo com a decisão posta acima, percebe-se que os princípios

inseridos na Lei Geral de Proteção de Dados são datados de extrema importância,
notadamente porque foram inseridos de forma central em uma das iniciais decisões
exaradas no país após a entrada em vigor da legislação.

4.2 Tribunal de Justiça do Distrito Federal: Comercialização de dados pessoais

No caso julgado, tem-se entre as partes uma empresa no serviço do

comércio digital, conhecido como e-commerce, foi colocada como requerida pela
utilização indevida dos dados pessoais.
No decorrer do processo, o autor provou por todos os meios de provas
admitidos que a empresa intermediou o comércio de forma massiva dos dados
pessoais. No desmembramento tinha-se um vendedor que por meio do portal fazia
 52

ofertas dos dados pessoais e a empresa que figura como réu, era beneficiária pelos
pagamentos. (BRASIL, 2020),
Com isso, a decisão exarada pelo juízo, teve fundamentação completa de
acordo com a Lei Geral de Proteção de Dados. In verbis:

11. Tal prática, portanto, está em patente confronto com o princípio

constitucional da inviolabilidade do sigilo de dados, insculpido no
artigo 5º, XII, da Constituição Federal e o fundamento do respeito à
privacidade, previsto no artigo 2º, I, da Lei Geral de Proteção de
Dados Pessoais, sem prejuízo de outros Diplomas Legais aplicáveis
à espécie, a demonstrar a probabilidade do direito invocado. 12. O
perigo de dano, por sua vez, dessai da persistente violação à
privacidade dos titulares dos dados, a tornar impositiva a suspensão
do comércio erigido pelo réu. 13. Do exposto, DEFIRO a tutela de
urgência postulada na inicial, para DETERMINAR ao réu que se
abstenha de disponibilizar, de forma gratuita ou onerosa, digital ou
física, dados pessoais de quaisquer indivíduos, sob pena de multa no
valor de R$ 2.000,00, para cada operação nesse sentido, bem como
DETERMINAR ao portal MERCADO LIVRE a suspensão do anúncio
#1527486354. (BRASIL, 2020, p.1 ).

Ao observar o pedido feito na presente ação, o juiz de 1º grau constatou que

a referida empresa fazia a comercialização dos dados pessoais inerentes às
pessoas físicas que poderiam ser identificadas facilmente. No mesmo, houve afronta
à Lei Geral de Proteção de Dados, uma vez que constatada de que não existiam
consentimento dos titulares para a comercialização dos dados.
Outro ponto mencionado na decisão foi a afronta Constitucional à
Privacidade dos titulares, notadamente porque, a depender do destinatário que
adquire os dados, violado estaria a intimidade dos donos dos dados. Por isso, foi
usado como fundamento o seguinte trecho: “Tal prática, portanto, está em patente
confronto com o princípio constitucional da inviolabilidade do sigilo de dados [...] a
demonstrar a probabilidade do direito invocado. O perigo de dano, por sua vez,
dessa da persistente violação à privacidade dos titulares dos dados, a tornar
impositiva a suspensão do comércio erigido pelo réu”. (BRASIL, 2020, p. 1).
Na condenação, foi concedido tutela de urgência com o fito de determinar
que a referida empresa cessasse com a prática de comercialização dos dados, tanto
gratuito ou onerosa, de forma virtual ou físico, dados de natureza pessoal para
terceiros, tanto pessoas físicas ou jurídicas sob aplicação de multa no valor de R$
2.000,00 (dois mil reais). Além disso, foi decidido que a empresa Mercado Livre
cessasse quaisquer anúncios da referida empresa.
 53

Assim sendo, o juiz se baseou em princípios inerentes à Lei Geral de

Proteção de Dados, tais como privacidade, inviolabilidade do sigilo de dado, bem
como o consentimento, pois os dados foram identificáveis e a compartilhamento foi
feito de forma irregular.

4.3 Lei Geral de Proteção de Dados: Cacau Show

Com o início da Covid-19, muitas empresas mudaram suas estruturas de

vendas e passaram a focar em vendas on-line. Assim sendo, as empresas criaram
canais de atendimento ao cliente.
Foi o que ocorreu com uma Franquia da Cacau Show, onde o
estabelecimento comercial, divulgou em seus canais de atendimento, o número de
contato da gerente responsável pela unidade, sendo o contato exposto no site por
um período de sete meses, sem autorização. (BRASIL, 2020).
Em fato posterior, uma ação trabalhista contra a empresa com a finalidade
de pôr fim ao vínculo de emprego, onde foi requerido direitos, bem como
indenização a título de dano moral pelo uso indevido de seus dados. (BRASIL,
2020).
Uma empresa para publicar tal informação em determinado site, ainda mais
sendo de um gerente de sua empresa, é necessário que as exigências da Lei Geral
de Proteção de Dados sejam cumpridas. O que no presente caso, não foi
observado. (BRASIL, 2020).
Em análise ao caso, o Consentimento deveria ter sido dado pelo titular do
dado. A empresa deveria ter questionado a funcionária sobre a possibilidade de
publicação de seu dado pessoal, qual seja, o telefone celular no sítio eletrônico a fim
de que fosse facilitado o contato com os clientes, e, em caso de afirmação positiva,
tal consentimento deveria ter sido realizado por meio de um Termo de
Consentimento. No documento em voga, deveria haver a manifestação no sentindo
de autorização do referido dado e sua finalidade. (BRASIL, 2020).
Contudo, a empresa não utilizou a forma legal e afrontou os princípios
previstos na LGPD, tal como o da privacidade e a autodeterminação informativa
(dever de informação), além de não cumprir com o dever de tratamento legal aos
dados pessoais. (BRASIL, 2020).
 54

Na fundamentação do processo nº ATOrd 0010337-16.2020.5.03.0074,

tramitado na Vara do Trabalho de Ponte Nova, a juíza destacou os seguintes pontos
concernentes à aplicação da Lei Geral de Proteção de Dados.

Ora, resta evidente que foram desrespeitadas a privacidade e a

intimidade da autora, por meio de ato comissivo da empregadora de
tornar público o número do telefone celular da empregada. A
privacidade e a intimidade são direitos fundamentais do cidadão
descritos no artigo 5º, X, da CF/88. Ainda, o inciso XII do artigo 5º da
Constituição Federal protege o sigilo dos dados e da
correspondência. Por oportuno, urge destacar a Lei nº 13.709/2018,
a Lei Geral de Proteção de Dados Pessoais (LGPD), publicada em
15 de agosto de 2018 e que entrou em vigor no dia 18 de setembro
de 2020, exceto os artigos atinentes às sanções administrativas. A
LGPD é um marco no ordenamento jurídico brasileiro, pois
representa uma regulamentação específica do tratamento de dados
pessoais. É um diploma normativo de indiscutível transversalidade,
pois afeta inúmeras relações jurídicas, dentre elas, as relações de
trabalho. O artigo 1º da LGPD prevê, verbis: “esta Lei dispõe sobre o
tratamento de dados pessoais, inclusive nos meios digitais, por
pessoa natural ou por pessoa jurídica de direito público ou privado,
com o objetivo de proteger os direitos fundamentais de liberdade e
de”. Privacidade e o livre desenvolvimento da personalidade da
pessoa natural LGPD não possui normas próprias destinadas ao
tratamento de dados na relação trabalhista, como ocorre no artigo 88
do GDPR (),General Data Protection Regulationque é a legislação
europeia sobre o tratamento de dados pessoais. Porém, como já
mencionado, é incontestável que as relações laborais devem
observar as regras e princípios estampados na LGDP, afinal o
empregador trata inúmeros dados pessoais de seus empregados,
sendo muitos deles sensíveis, conforme conceito disposto no artigo
11 da LGPD.A LGPD entrou em vigor no dia 18/09/2020, a presente
ação trabalhista foi distribuída no dia 22/09/2020 e, conforme fixado
supra, o telefone pessoal da autora esteve na página virtual da
“Cacau Show”, pelo menos, de 10/06/2020 até o dia 14/10/2020.
Segundo o inciso I do artigo 5º da LGPD, dado pessoal é toda
informação relacionada a pessoa natural identificada ou identificável.
Ou seja, é a informação que, de pronto, identifique a pessoa, a
exemplo do nome, ou que possa identificá-la, como a filiação. Neste
sentido, o número de telefone celular da autora é um dado pessoal,
nos termos da LGPD. Assim, o empregador, ao publicizar o telefone
pessoal da autora em sua página virtual visando à vendas de seus
produtos, desrespeitou a Lei nº 13.709/2018, vez que tratou dado
pessoal da autora sem base legal, enumerados nos artigos 7 e 11 da
LGPD, e em inobservância aos princípios esposados no artigo 6º da
LGPD, além da boa-fé. Cumpre destacar também que, ainda que a
autora aquiescesse com o cadastro de seu telefone pessoal no sítio
eletrônico da ré, o consentimento como base legal de tratamento de
dados no âmbito das relações trabalhistas deve ser visto com ampla
parcimônia. Afinal, como parte hipossuficiente da relação, o
trabalhador não consente de forma livre e espontânea, vez que
necessita se manter no emprego e continuar recebendo salário para
sobreviver. (BRASIL, 2021, p. 1).
 55

No caso em tela, a empresa reclamada interpôs recurso com a finalidade de

mudar o resultado da condenação. O que restou apenas a redução do valor que fora
imposto na sentença, de 10.000,00 para 5.000,00. De acordo com o acórdão em
voga:
FUNDAMENTOS PELOS QUAIS, o Tribunal Regional do Trabalho
da Terceira Região, em sessão ordinária da Nona Turma, hoje
realizada, à unanimidade, conheceu do recurso, exceto quanto à
questão relativa à rescisão indireta; rejeitou a preliminar de inépcia;
no mérito, sem divergência, deu-lhe parcial provimento para: (i) fixar
que a liquidação fica limitada aos valores lançados no rol de pedidos
da inicial; (ii) reduzir a indenização por danos morais a
R$5.000,00; (iii) determinar que a reclamante arcará com honorários
advocatícios de 5%, fixados para ambas as partes, do valor
atualizado dos pedidos julgados improcedentes, a serem deduzidos
de seu crédito, observando-se o disposto no §4º do art. 791-A da
CLT, por ser beneficiária da justiça gratuita; reduziu o valor da
condenação a R$20.000,00, com custas no importe de R$400,00;
repetição do indébito quanto às custas recolhidas a maior, na forma
da Resolução Regional 167, de 20/01/21. Tomaram parte no
julgamento: Exmos. Juiz Convocado Ricardo Marcelo Silva (Relator,
substituindo o Exmo. Desembargador Ricardo Antônio Mohallem, em
férias regimentais), Desembargadora Maria Stela Álvares da Silva
Campos e Desembargador Rodrigo Ribeiro Bueno (Presidente).
(BRASIL, 2021, p. 1).

Além disso, cabe ressaltar que o colegiado acatou a tese de que a

exposição do número telefônico no sítio eletrônico da empresa reclamada, está
atrelado aos dados sociais e afrontou os princípios da Lei Geral de Proteção de
Dados, pois, mesmo que em um primeiro momento não se soubesse de quem era o
contato telefônico, quando os clientes entrassem em ligação com o número, seria
remetido ao contato da gerente da empresa, sendo possível sua identificação.
(BRASIL, 2020).
 56

5 CONSIDERAÇÕES FINAIS

Diante do exposto, o referido trabalho trouxe explicações sobre pontos

atinentes da Lei Geral de Proteção de Dados e a responsabilidade civil dos agentes
que tratam os dados pessoais, percorrendo-se a esteira do debate doutrinário com o
fito de elucidar qual a temática utilizada.
De forma inicial, foi feita uma análise acerca da conceituação dos dados
pessoais, sua importância diante de um mundo globalizado, seu contexto nacional e
internacional, bem como seus pontos principais dentro do ordenamento jurídico
brasileiro.
Chegou-se à conclusão de que devido a era informacional que se iniciou e
continua em constante crescimento, há diversos obstáculos a serem enfrentados,
uma vez que de um lado existe uma diversidade sem precedentes de pessoas
logadas à era informatizada e isso resulta em uma vasta produção de informações
virtuais que se integralizam em forma de dados pessoais.
Com isso, constatou-se que a depender da forma tratada, esses dados
podem ser revestidos pelas garantias dos direitos fundamentais, pois estão ligados à
privacidade. Desta forma, fazer uma boa utilização destes dados, é o desafio
proposto para a sociedade que deve se adequar diante da proteção jurídica imposta
pela Lei Geral de Proteção de Dados.
Findado esta parte de contexto dos dados pessoais, foi estudado a Lei Geral
de Proteção de Dados, sobre pontos acerca de seu conceito, fundamentação e base
principiológica. Foi apresentado os atores dessa nova legislação, que são os
agentes responsáveis pelos tratamentos de dados, bem como suas
responsabilidades correspondentes. Na Lei Geral de Proteção de Dados, existe dez
princípios que devem ser respeitados, caso não seja, o agente responderá pelo não
obedecimento. Neste contexto, evidenciou-se que entre os atores da nova lei, o
controlador é quem tem maiores responsabilidades, haja vista está munido do poder
de decisão, sendo o operador que obedece às ordens do controlador.
Continuamente, o trabalho em questão fez um estudo no âmbito do Direito
Civil, uma vez que a matéria da responsabilidade civil é abordada com maestria
pelos estudiosos civilistas que muito bem explicam sobre o conceito, fundamentos,
hipóteses e classificações.
 57

Em seguida, partiu-se para o ponto central do trabalho, partindo-se da

premissa de descobrir qual o regime aplicado na Lei Geral de Proteção de Dados no
que concerne à conduta que causou o dano de forma voluntária, se seria por culpa,
nos contornos da classificação subjetiva ou objetiva.
Assim sendo, foi concluso que a Lei Geral de Proteção de Dados não
estabeleceu a precisão sobre a responsabilidade, deixando o tema em aberto e livre
para ser discutido entre os estudiosos da área. Assim sendo, os doutrinadores que
se afiliam a corrente subjetivista entendem que o tratamento de dado não perfaz os
requisitos de uma atividade com risco, muito pelo contrário, é respaldada por uma
legislação que determina como fazer e como tratar os devidos dados. Ou seja, deve
ser feito todo aquele procedimento legal para verificar se o agente agiu com culpa
com o fito de causar dano ao usuário do dado e com isso ao fim do processo e da
fase de instrução, haver o ressarcimento e a responsabilidade do agente.
Por outro viés, os defensores da modalidade objetiva entendem que a
atividade de tratamento de dados possui risco por estar ligado aos direitos
fundamentais e capaz de gerar danos incomensuráveis vez que pode ferir os direitos
da liberdade propriamente ditos, razão pela qual deveria haver a reparação do dano,
independente do fator “culpa”, uma vez que a atividade por si só já apresenta risco
para outrem. O que enseja uma maior responsabilidade no tratamento do dado,
devendo ser levado a sério e de forma cautelosa.
No presente, foi trazido também uma discussão sobre a categoria da
proteção de dados ser tido como direito fundamental o que fez com que o
Congresso Nacional em 10 de fevereiro de 2022, promulgasse a Emenda
Constitucional nº 115/22, no qual a acrescenta ao artigo 5º da Carta Magna de 1988,
inciso LXXIX, que expressa o seguinte termo: Art. 5º Todos são iguais perante a lei,
sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros
residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à
segurança e à propriedade, nos termos seguintes: LXXIX - é assegurado, nos
termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais.
(BRASIL, 1988).
A Emenda Constitucional nº 115/22 ocorreu meses depois que o plenário do
Supremo Tribunal Federal decidiu sobre a Ação Direta de Inconstitucionalidade nº
6.393, onde reconheceu a defesa dos dados pessoais e a autodeterminação
informativa ao patamar de direito fundamental autônomo, conferindo-lhes proteção
 58

especial, com o fito de reforçar a defesa do indivíduo, bem como impor limites à
atuação do Estado. (BRASIL, 2022).
Ademais, foi trazido tópico específico sobre casos levados ao judiciário que
já se utilizaram da Lei Geral de Proteção de Dados como fato gerador para a
propositura das ações. Foi discutido casos concernentes ao Tribunal de Justiça de
São Paulo, Distrito Federal, bem como comentado um caso de conhecimento
nacional onde figurava a Cacau Show como polo passivo de uma reclamação
trabalhista onde foi arguido afronta à Lei Geral de Proteção de Dados.
Logo, foi verificado em toda sistemática dos casos trazidos, bem como de
toda discussão exarada no presente trabalho que o regime definidor da
responsabilidade civil dos agentes de tratamento de dados seria a modalidade
subjetiva, ou seja, aquela onde se deve levar em consideração um processo que
ateste a culpabilidade do ato praticado causador do dano.
 59

REFERÊNCIAS

ALEXY, Robert. El Concepto y la Validez del Derecho y Otros Ensayos.

Barcelona: Gedisa, 2013.

ALVAREZ, Bruna Acosta; TAVARES, Letícia Antunes. Da proteção dos dados

pessoais: uma análise comparada dos modelos de regulação da Europa, dos
Estados Unidos da América e do Brasil. Escola Paulista da Magistratura, São Paulo,
2017. Disponível em: http://genjuridico.com.br/2020/06/23/importancia-pec-de-
protecao-de-dados/. Acesso em: 06 mai. 2022.

AMAPÁ. Tribunal de Justiça. RI: 00343984820198030001 AP. Relator: Mário

Mazurek, Turma recursal. 01 de abril de 2021. Disponível em: https://tj-
ap.jusbrasil.com.br/jurisprudencia/1191684928/recurso-inominado-ri-
343984820198030001-ap. Acesso em: 15 mai. 2022.

BARROS. Laura Mendes Amando de. LGPD: risco do negócio e dever de indenizar.
2022. Disponível em: https://www.conjur.com.br/2022-mar-27/laura-mendes-
indenizacao-vazamento-dados. Acesso em 10 mai. 2022.

BIONI, Bruno Ricardo. Proteção de dados pessoais. São Paulo: Forense, 2021.

BODIN DE MORAES, Maria Celina. LGPD: um novo regime de responsabilização

civil dito “proativo”. Editorial à Civilistica.com. Rio de Janeiro, v. 8, n. 3, 2019.
Disponível em: https://civilistica.emnuvens.com.br/redc/article/view/448/377. Acesso
08 mai. 2022.

BRASIL. Constituição (1988). Constituição da República Federativa do Brasil:

promulgada em 5 de outubro de 1988. 4. ed. São Paulo: Saraiva, 1988.

BRASIL. 0733646-87.2020.8.07.0001. Trata-se de ação coletiva, a que se imprimirá

o rito da Ação Civil Pública, estabelecido pela Lei nº 7.347/85, em que o Ministério
Público do Distrito Federal e Territórios, por sua Unidade de Proteção de Dados e
Inteligência Artificial – ESPEC. 2020. Disponível em:
https://www.mpdft.mp.br/portal/pdf/comunicacao/outubro_2020/Decisa%CC
%83o_XXXXXX.pdf. Acesso em: 25 mai. 2022.

BRASIL. Código de Defesa do Consumidor. Decreto Presidencial nº 2.181, de 20

de março de 1997, Brasília, DF, 1997.

BRASIL. Emenda Constitucional nº 115, de 10 de fevereiro de 2022. Altera a

Constituição Federal para incluir a proteção de dados pessoais entre os direitos e
garantias fundamentais e para fixar a competência privativa da União para legislar
sobre proteção e tratamento de dados pessoais. 2022. Disponível em:
http://www.planalto.gov.br/ccivil_03/constituicao/Emendas/Emc/emc115.htm. Acesso
em: 12 mai. 2022.
 60

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados

Pessoais (LGPD Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive
nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou
privado, com o objetivo de proteger os direitos fundamentais de liberdade e de
privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Disponível em
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em:
12 maio. 2022.

BRASIL. Lei nº 10.406, de 10 de janeiro de 2002. Institui o Código Civil.

BRASIL. Medida Provisória nº 869 de 27 de dezembro de 2018. Altera a Lei nº

13.709, de 14 de agosto de 2018, para dispor sobre a proteção de dados pessoais e
para criar a Autoridade Nacional de Proteção de Dados, e dá outras providências.
Disponível em: https://legislacao.presidencia.gov.br/atos/?
tipo=MPV&numero=869&ano=2018&ato=1e1ITVq5UeZpWTb26#:~:text=Ementa
%3A,Dados%2C%20e%20d%C3%A1%20outras%20provid%C3%AAncias. Acesso
em: 12 mai. 2022.

BRASIL. Proposta de Emenda à Constituição n° 17, de 2019. Acrescenta o inciso

XII-A, ao art. 5º, e o inciso XXX, ao art. 22, da Constituição Federal para incluir a
proteção de dados pessoais entre os direitos fundamentais do cidadão e fixar a
competência privativa da União para legislar sobre a matéria. 2019. Disponível em:
https://www25.senado.leg.br/web/atividade/materias/-/materia/135594. Acesso em:
25 mai. 2022.

BRASIL. Recurso Ordinário Trabalhista 0010337-16.2020.5.03.0074. 2020.

Disponível em: https://www.conjur.com.br/dl/empresa-condenada-mil-violar-lgpd.pdf.
Acesso em: 12 mai. 2022.

BRASIL. Tribunal de Justiça do Distrito Federal e dos Territórios. 0733785-

39.2020.8.07.0001. Brasília-DF. 2020. Disponível em:
https://www.conjur.com.br/dl/decisao-lgpd-justica-determina-site.pdf. Acesso em: 25
mai. 2022.

CARDOSO, Oscar Valente. Lei Geral de Proteção de Dados e Diálogo das

Fontes – 2): Código de Defesa do Consumidor, 2020. Disponível em:
https://jus.com.br/artigos/84448/lei-geral-de-protecao-de-dados-e-dialogo-das-fontes-
2-codigo-de-defesa-do-consumidor. Acesso em: 16 abr. 2022.

CAVALIERI FILHO, Sergio. Programa de Responsabilidade Civil. 9. ed. São

Paulo: Atlas, 2010. p. 10-16.

CORREIA, Pedro de P. Guerra e Sociedade. Lisboa. Grupo Almedina (Portugal),

2017.. Disponível em:
 61

https://integrada.minhabiblioteca.com.br/#/books/9789724420875/. Acesso em: 05

mai. 2022.
CRESPO, Danilo Leme; FILHO, Dalmo Ribeiro. A evolução legislativa brasileira
sobre a proteção de dados pessoais: a importância da promulgação da lei geral
de proteção de dados pessoais. 2019.

DIVINO, Sthéfano Bruno Santos; LIMA, Taisa Maria Macena de. Responsabilidade
Civil na Lei Geral de Proteção de Dados Brasileira. Revista em Tempo, [S.l.], v. 20,
n. 1, nov. 2020. Disponível em:
https://revista.univem.edu.br/emtempo/article/view/3229. Acesso em: 24 out. 2021.

DONEDA, Danilo. O direito fundamental à proteção de dados pessoais. In:

MARTINS, Guilherme Magalhães (Org.). Direito Privado e Internet. São Paulo:
Atlas, 2014.

FRAZÃO, Ana. Fundamentos da proteção dos dados pessoais: Noções introdutórias

para a compreensão da importância da Lei Geral de Proteção de Dados. In:
FRAZÃO Ana; TEPEDINO, Gustavo; OLIVA, Milena Donato (coord.). A lei geral de
proteção de dados pessoais e suas repercussões no direito brasileiro. São
Paulo: Thomson Reuters, 2019. p. 23-52.

GONÇALVES, Carlos Roberto. Direito civil brasileiro: responsabilidade civil 16.

ed. São Paulo: Saraiva Educação, 2021.

LENZA, Pedro. Direito constitucional esquematizado. 26. ed. ed. São Paulo:
Saraiva Jur, 2018. 1552 p.

LIMA, Cíntia Rosa Pereira D. Autoridade Nacional de Proteção de Dados e a

Efetividade da Lei Geral de Proteção de Dados. Lisboa: Grupo Almedina
(Portugal), 2020. Disponível em:
https://integrada.minhabiblioteca.com.br/#/books/9788584936397/. Acesso em: 20
mai. 2022.

MIRAGEM, Bruno. Responsabilidade Civil. São Paulo: Grupo GEN, 2021.

Disponível em: https://integrada.minhabiblioteca.com.br/#/books/9788530994228/.
Acesso em: 06 mai. 2022.

NOVAKOSKI, André Luis Mota; NASPOLINI, Samyra Haydêe Dal Farra,

Responsabilidade civil na lgpd: problemas e soluções. Conpedi Law Review,
Evento Virtual, v. 6, n. 1, p. 158 – 174, 2020. Acesso em 08. mai. 2022.

OLIVEIRA, Jaqueline Santos. Responsabilidade Solidária e Subsidiária das

Empresas, Grupo Econômico e Sucessão de Empregadores. 2017. Disponível
em: https://jaquesoliver.jusbrasil.com.br/artigos/351057494/responsabilidade-
solidaria-e-subsidiaria-das-empresas-grupo-economico-e-sucessao-de-
empregadores. Acesso em: 08. mai. 2022.
 62

PINHEIRO, Patrícia P. Comentários à lei n. 13.709/2018 (LGPD). 2021. Disponível

em: https://integrada.minhabiblioteca.com.br/#/books/9786555595123/. Acesso em:
31 mai. 2022.

PINTO, Douglas Guzzo. A proteção de dados alçada a direito fundamental na

Constituição brasileira. 2020. Disponível em: https://www.conjur.com.br/2022-fev-
17/douglas-pinto-protecao-dados-alcada-direito-fundamental. Acesso em: 13 mai.
2022.

RODOTÀ, S. A vida na sociedade da vigilância: a privacidade hoje. Trad. Danilo

Doneda e Luciana Cabral Doneda. Rio de Janeiro: Renovar, 2008.

SANTOS, Camila Ferrão dos; SILVA. Jeniffer Gomes da; PADRÃO, Vinicius.
Responsabilidade Civil pelo tratamento de dados pessoais na Lei Geral de Proteção
de Dados. Revista Eletrônica da Procuradoria Geral do Estado do Rio de
Janeiro -PGE-RJ. Rio de Janeiro, v. 4, n. 3, set./dez. 2021. Disponível em:
https://revistaeletronica.pge.rj.gov.br/index.php/pge/article/view/256/198. Acesso em:
12 mai. 2022.

SARAIVA, Editora. Lei geral de proteção de dados (LGPD) e marco civil da

internet. São Paulo: Editora Saraiva, 2022. Disponível em:
https://integrada.minhabiblioteca.com.br/#/books/9786553620384/. Acesso em: 08
jun. 2022.

SARLET, Ingo, W. et al. Estudos sobre protecao de dados pessoais. São Paulo:
Saraiva, 2022. (Coleção Direito, tecnologia, inovação e proteção de dados num
mundo em transformação).

TARTUCE, Flávio. Responsabilidade Civil. 3. ed. Rio de Janeiro: Forense, 2021.

UNIÃO EUROPEIA. Regulamento 2016/679 do Parlamento Europeu e do

Conselho. 2016. Disponível em: http://eur-lex.europa.eu/legalcontent/PT/TXT/?
uri=celex%3A32016R0679. Acesso em: 15 mai. 2022.

WACKS, Raymond. Personal information: privacy and the law. Oxford: Clarendon
Press, 1989.