Por Paulo Henrique de Souza Freitas e Célia Cristina Martinho
O sigilo de dados é um direito subjetivo fundamental, hipótese nova, trazida no artigo 5º, XII da Constituição Federal (CF) de 1988, podendo ser entendida a sua inviolabilidade como correlata ao direito fundamental à privacidade.
Osujeito é o titular do direito. O conteúdo é a faculdade específica atribuída ao sujeito de gozar, usufruir, dispor, resistir à violação ou de constranger os outros ao respeito. O objeto é o bem protegido, que no caso em questão, direito à privacidade, se resume a integridade moral do sujeito. Assim, se forma a estrutura básica do direito subjetivo, ou seja, sujeito, conteúdo e objeto.
Para Pontes de Miranda, a liberdade de “negação” de comunicação de pensamento é o objeto e o conteúdo a faculdade do sujeito de resistir ao devassamento de um direito. Dito de outra forma, o direito de manter o sigilo da informação materializada, por exemplo, em correspondência, comunicação de dados ou telefonia, o sigilo não é o bem protegido e sim a faculdade de agir ao manter em sigilo a informação, resistir a sua divulgação (“devassamento”). Assim, ninguém pode ser constrangido a informar sobre a sua privacidade.
O Estado também está inserido neste contexto, considerando a previsão constitucional do inciso XXXIII, art. 5º. da CF/88, que assegura a todos receber, dos órgãos públicos, informações de seu interesse particular ou de interesse coletivo em geral, com exceção daquelas cujo sigilo seja imprescindível à segurança da sociedade e do Estado.
Ao sujeito, a nossa CF/88 garantiu a liberdade de omitir informação privada, inclusive, e não se limitando, ao sigilo profissional, sendo certo que em algumas atividades há a faculdade de resistir a divulgação de informações que o sujeito obteve pelo seu ofício, e por esta razão possa-lhe ter sido compartilhada. Assim, há uma distinção entre o direito (faculdade) de manter sigilo e a liberdade de omitir informação, onde a expressão “dados”, protegidos pelo sigilo, está prevista no inc. XII do art. 5º. da CF/88.
A Lei 13.709/18 – Lei Geral de Proteção de Dados (LGPD), no seu art. 5º., inciso V, conceitua “titular”, como sendo a pessoa natural a quem se refere os dados pessoais que são objeto de tratamento, e atribui no art. 42 ao controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo, a fim de assegurar a efetiva indenização ao titular dos dados.
Na Alemanha a proteção de dados se tornou uma obsessão jurídica, onde foi dada extrema importância à privacidade e proteção de dados, havendo um temor generalizado ante a coleta e tratamento de dados pessoais, principalmente pelo setor público, conferindo aos seus cidadãos o direito básico à autodeterminação de seus dados pessoais.
A Europa se esforçou para atingir a padronização jurídica de proteção de dados pessoais em poder dos setores públicos e privado, onde o Conselho da Europa, através das Resoluções 73 e 74, de 1973 e 1974, respectivamente, fez recomendações de ações aos Estados-Membros para implementarem mudanças legislativas e administrativas, visando garantir o direito à proteção de dados dos seus cidadãos.
Depois disso, sobreveio a Convenção n. 108 de 1981 (1º Tratado Internacional) vinculante sobre proteção de dados e a Diretiva 95/46/EC de 1995. Todo material, com o transcorrer do tempo, resultou nas atuais leis de proteção de dados, com grande destaque para a Carta de Direitos Fundamentais da União Europeia (CDF – EU 2000) e a General Data Protection Regulation – GDPR (2016/679), implementado em 2018.
Aqui no Brasil o art. 43 da LGPD prevê as exceções (excludentes) de responsabilidade aos agentes de tratamento, que só não serão responsabilizados quando provarem que não realizaram o tratamento de dados pessoais que lhes for atribuído (ausência de nexo causal) (inciso I); que, embora tenham realizado o tratamento de dados pessoais que lhe é atribuído, não houve violação à legislação de proteção de dados (divulgação autorizada legalmente) (inciso II) e a culpa exclusiva da vítima (“titular”) ou de terceiros (inc. III).
Foram elencadas, assim, as possibilidades de excludentes de responsabilidade do operador e ou controlador, que respondem solidariamente pelos danos causados pelo tratamento de dados quando descumprirem as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese que o operador equipara-se ao controlador.
O tratamento de dados pessoais será considerado irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstancias relevantes, que dentre elas, os incisos I a III do art. 44 elencam o modo pelo qual é realizado, o resultado e os riscos que razoavelmente dele se esperam e as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.
Apesar das divergências sobre a natureza jurídica da responsabilidade civil disposta na LGPD, é certo que pode ser aplicado o artigo 393 do Código Civil que estabelece que “O caso fortuito ou de força maior verifica-se no fato necessário, cujos efeitos não era possível evitar ou impedir.”, o qual diferencia o caso fortuito externo do interno pela conduta de terceiro alheio ou estranho à obrigação imposta pelo legislador, excluindo-se, assim, a responsabilidade civil.
Aliás, nesse sentido foi o entendimento do Superior Tribunal de Justiça, em julgamento da 2ª. Seção, no final de 2020, decidindo que a importunação sexual no transporte de passageiros, cometida por pessoa estranha à empresa, configura fato de terceiro, que rompe o nexo de causalidade entre o dano e o serviço prestado pela concessionária, excluindo, para o transportador, o dever de indenizar.
“Está fora de dúvida: o crime era inevitável, quando muito previsível apenas em tese, de forma abstrativa, com alto grau de generalização. Por mais que se saiba da possibilidade de sua ocorrência, não se sabe quando, nem onde, nem como e nem quem o praticará. Apenas se sabe que, em algum momento, em algum lugar, em alguma oportunidade, algum malvado o consumirá. Então, só pode ter por responsável o próprio criminoso”, afirmou o relator do recurso, ministro Raul Araújo.
Desse modo, sendo o caso fortuito externo uma excludente de responsabilidade civil, não há dúvida de que aplica-se também na LPGD.
Os autores
Paulo Henrique de Souza Freitas, Doutor em Direito Comercial pela Pontifícia Universidade Católica de São Paulo e Célia Cristina Martinho, mestre em Direito pela Instituição Toledo de Ensino de Bauru, ambos sócios da Freitas Martinho Advogados.
Parabéns pelo artigo!
Sempre é bom receber informação de qualidade.