A responsabilidade civil, se entendida numa visão ampla de obrigação de reparar um dano antijuridicamente causado a um terceiro, pode ser compreendida em duas modalidades. A primeira delas é a decorrente de danos resultantes do inadimplemento, má execução ou atraso no cumprimento de obrigações contratuais, denominada de responsabilidade contratual. A segunda, também chamada de responsabilidade civil extracontratual, diz respeito à obrigação de reparação de danos resultantes da violação de outros direitos alheios, como os direitos da personalidade.
A responsabilidade civil extracontratual é, portanto, diretamente ligada à violação de um direito. Assim, aquele que viola um direito e ocasiona dano a outrem será responsável pela reparação do dano causado. No Código Civil, a responsabilidade civil é fundada em dois conceitos, o de ato ilícito (art. 186) e o de abuso de direito (art. 187) da seguinte forma:
Art. 186. Aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que exclusivamente moral, comete ato ilícito.
Art. 187. Também comete ato ilícito o titular de um direito que, ao exercê-lo, excede manifestamente os limites impostos pelo seu fim econômico ou social, pela boa-fé ou pelos bons costumes. (BRASIL, 2002)
O ato ilícito, portanto, é aquele praticado em desacordo com a ordem jurídica, que ocasiona a violação de direitos e causa prejuízos a outrem. O ato ilícito pode ser penal, administrativo ou civil bem como pode acarretar dupla ou tripla responsabilidade, por exemplo, um crime ambiental que ofende os particulares (ilícito civil), a sociedade (ilícito penal) e é passível de sanções administrativas. A consequência do ato ilícito civil é a obrigação geral de reparar o dano, disposta no caput do art. 927 do Código Civil de 2002.
Além disso, existem situações em que se responde por terceiros, devendo existir uma conexão entre o responsável e o executor do ato. Há também a hipótese de dano causado por coisa da qual se é proprietário.
Por outro lado, nos moldes do art. 187 do CC, a noção de ato ilícito foi ampliada, para considerar como ilícito aquele ato que, originalmente é lícito, mas foi exercido fora dos limites impostos pelo seu fim econômico ou social, pela boa-fé objetiva ou pelos bons costumes.
Desse modo, para que exista a responsabilidade civil é necessária a conjugação de três pressupostos, quais sejam a conduta, o nexo de causalidade e o dano. A conduta pode ser ação ou inação; comissiva ou omissiva; própria ou de terceiro; lícita ou ilícita; derivada de fato, coisa, produto ou animal. O nexo de causalidade liga a conduta do agente ao dano sofrido pela vítima. Para que surja o dever se indenizar é preciso que o dano verificado seja consequência da ação ou omissão do agente. O dano é a lesão a um bem jurídico.
A LGPD, a seu turno, define a responsabilidade dos agentes de tratamento de dados, que são os controladores[1] e os operadores[2], pelos danos causados em razão do exercício da atividade de tratamento, de forma semelhante à sistemática do Código de Defesa do Consumidor (CDC), na seção III do Capítulo VI. A Lei, conforme art. 43, exime de responsabilidade os agentes quando provarem que: não realizaram o tratamento de dados em questão; que não houve violação à legislação; ou que houve culpa exclusiva do titular dos dados ou de terceiro pela ocorrência dos danos.
Conforme art. 42 da LGPD, o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, será obrigado a repará-lo. A LGPD traz, ainda, previsão expressa de responsabilidade solidária dos operadores e controladores. Nesse sentido, conforme disposição do inciso Ido § 1º do art. 42, o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da LGPD ou quando não tiver seguido as instruções lícitas do controlador. Já os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados, conforme inciso II do § 1º do art. 42 da LGPD, respondem solidariamente.
O direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso, é assegurado àquele que reparar o dano ao titular dos dados consoante § 4º do art. 42 da LGPD.
Nos termos do art. 44 da LGPD, será considerado irregular o tratamento de dados pessoais quando for inobservada a legislação ou quando não for fornecida ao titular a segurança que ele poderia esperar, levando-se em conta as seguintes circunstâncias: o modo pelo qual o tratamento é realizado; o resultado e os riscos que razoavelmente dele se esperam; as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.
As seguintes sanções administrativas, entre outras, são aplicáveis aos agentes de tratamento de dados por violação às normas previstas na Lei, conforme art. 52: (i) advertência; (ii) multa de até 2% do faturamento do grupo econômico no Brasil no último exercício, limitada a R$ 50 milhões por infração; (iii) multa diária; (iv) publicização da infração após devidamente apurada e confirmada a sua ocorrência; (v) bloqueio de dados pessoais; (vi) eliminação dos dados pessoais.
[1] Controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. [2] Operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.