VAZAMENTO DE DADOS NO SETOR PRIVADO BRASILEIRO - A GESTÃO DO RISCO COMO PARÂMETRO PARA A RESPONSABILIDADE EMPRESARIAL

Prévia do material em texto

VAZAMENTO DE DADOS NO SETOR PRIVADO BRASILEIRO: A GESTÃO DO
RISCO COMO PARÂMETRO PARA A RESPONSABILIDADE EMPRESARIAL
Data breach in the Brazilian private sector: risk management as a parameter for
corporate responsibility
Revista de Direito e as Novas Tecnologias | vol. 7/2020 | Abr - Jun / 2020
DTR\2020\7817
Gabriel Araújo Souto
Visiting Student do LLM de Global Antitrust Law & Economics da Antonin Scalia Law
School of George Mason University. Diretor acadêmico do Laboratório de Políticas
Públicas e Internet da Universidade de Brasília (LAPIN/UnB). gasouto@outlook.com.
Área do Direito: Civil; Comercial/Empresarial
Resumo: O presente artigo explica como a gestão de riscos pode mitigar a
responsabilização de uma empresa por incidente de vazamento de dados. O trabalho
apresenta doutrinas nacionais e internacionais sobre os métodos de gestão de riscos,
considerando a responsabilidade civil bem como a imputabilidade da lei pátria quando tal
incidente ocorre, e quais seriam os melhores esforços segundo a legislação brasileira
para a empresa não ser responsabilizada, ou pelo menos, mitigar sua responsabilidade.
Por fim, o estudo apresenta propostas de gestão de risco às empresas e métodos para
redução ou eliminação da incidência da responsabilidade empresarial no tratamento de
dados.
Palavras-chave: Gestão de Risco – Vazamento de Dados – Responsabilidade Civil –
Risco de Privacidade – Relatório de Impacto à Proteção de Dados Pessoais
Abstract: This paper presents how risk management can mitigate a company's liability
for data breach incidents. The article presents national and international doctrines on
risk management methods regarding liability, as well as the imputability of Brazilian law
when such an incident occurs and what would be the best efforts under the Brazilian law
for the company not to be held responsible or at least to mitigate it. Finally, the study
presents business risk management proposals and methods for reducing or excluding the
incidence of corporate responsibility in data processing.
Keywords: Risk Management – Data Breach – Civil Responsibility – Privacy Risk – Data
Protection Impact Assessment
Sumário:
Introdução - 1. O risco de vazamento de dados - 2. A gestão do risco de vazamento de
dados - 3. A responsabilidade empresarial em vazamento de dados no direito brasileiro -
4. Considerações finais - Referências bibliográficas
Introdução
O “risco” pode ser definido como a incerteza sobre a perda futura ou, em outras
palavras, a incapacidade de prever a ocorrência ou o tamanho de uma perda, que pode
acontecer de forma repentina ou inesperada (CRANE, 1980, p. 34). Além disso, o risco
pode ser dividido em graus que quantificam, através da probabilidade, a extensão em
que as perdas são previsíveis. Assim, se as perdas podem ser previstas com bastante
precisão, há um pequeno grau de risco, independentemente da chance de perda,
enquanto o grau de risco aumenta caso a previsão da perda não seja precisa.
O entendimento de “risco” propicia que ferramentas para a diminuição ou controle de
riscos sejam aplicadas por empresas, como o uso da lei dos grandes números, princípio
probabilístico que afirma que à medida que o número de exposições aumenta, os
resultados reais tendem a se aproximar dos resultados esperados (CRANE, 1980, p.
147). Em outras palavras, quanto maior o número de amostras, i.e. dados adicionados
Vazamento de dados no setor privado brasileiro: a gestão
do risco como parâmetro para a responsabilidade
empresarial
Página 1
em um experimento, maior sua probabilidade de atingir o resultado esperado. Tal
princípio justifica a busca constante de empresas por dados pessoais, como as empresas
de seguros, que através de uma maior amostra de segurados, podem conhecer melhor o
seu mercado de atuação, seus próprios clientes e mensurar as taxas de sinistro, dessa
forma, aumentando o prêmio e reduzindo a seleção adversa1 e o risco moral.2
Portanto, quanto mais a empresa conhece seu cliente e o mercado em que atua, maior a
possibilidade de aumento da sua margem de lucro e do seu poder de mercado
(STIGLITZ; WEISS, 1981, p. 393-394). No entanto, sob outra perspectiva, a obtenção e
exploração de dados pessoais de consumidores por empresas privadas cria embates
relacionados à privacidade que buscam balancear a relação business-to-consumer (B2C),
o que eventualmente cerceia eventuais proveitos econômicos obtidos por meio de dados.
A fim de remediar esse embate, há a intervenção do Estado que, com o seu poder
regulador, define limites para a busca e uso de dados pessoais.
Dessa forma, normas de proteção de dados pessoais começaram a ser demandadas,
originando regulações como o General Data Protection Regulation (GDPR) e a Lei Geral
de Proteção de Dados (LGPD), a fim da promoção de segurança ao consumidor sobre a
gestão de seus dados por terceiros e também às empresas, sobre os requisitos objetivos
de responsabilização de gestão indevida de dados, como nos casos de vazamentos de
dados, que geram às empresas brasileiras um custo médio de U$ 1,35 milhão em 2019
(IBM SECURITY, 2019, p. 21). Nesse sentido, destaca-se o dever das empresas que
tratam de dados pessoais de elaborar o Relatório de Impacto à Proteção de Dados
Pessoais (RIPD), o qual exige uma análise minuciosa das medidas, salvaguardas e
mecanismos adotados por tais empresas para mitigação de riscos de vazamento de
dados, conforme positivado no art. 38, parágrafo único da LGPD.
Sob esse contexto, adotar-se-á a metodologia de pesquisa qualitativa, mediante análises
descritivas e explicativas, a partir de pesquisa bibliográfica, baseada nas principais
doutrinas e bibliografias acerca da gestão de risco em vazamentos de dados para
mitigação da responsabilidade empresarial. Ainda, analisar-se-á o Código Civil
(LGL\2002\400) (CC (LGL\2002\400)) e a LGPD para verificar as condições de
imputação de responsabilidade às empresas brasileiras por vazamento de dados, para
que se proponha modelos de gestão e notificação de riscos com base na LGPD, a fim de
promover a segurança jurídica no setor empresarial brasileiro.
Por fim, o artigo foi dividido em cinco seções, além da primeira seção, ou seja, a
introdução, e das referências bibliográficas. A segunda seção apresenta como o risco de
vazamento de dados é definido e classificado. A terceira seção explica como acontece a
gestão de riscos considerando o risco de vazamento de dados, quais são os critérios para
mensurar tal risco, e os critérios práticos para mensurar o risco de vazamento de dados
à luz de doutrina e do direito pátrio. A quarta seção elenca como é possível
responsabilizar uma empresa por vazamento de dados no direito brasileiro, como a lei
imputa tal incidente e quais seriam os melhores esforços para ela não responsabilizada.
Finalmente, a quinta seção apresenta as considerações finais sobre o assunto e as
propostas de gestão de risco às empresas para mitigar ou eliminar a incidência da
responsabilidade empresarial na gestão de dados.
1. O risco de vazamento de dados
Não há uma definição amplamente aceita de “risco” no campo de privacidade de dados.
A LGPD também não define o conceito de “risco” e, em vez disso, oferece orientação
interpretativa sobre o que pode constituir risco e dano aos indivíduos. Por exemplo,
pode-se referir ao risco de um vazamento de dados, no entanto a violação de dados em
si não necessariamente leva a danos para os titulares dos dados, mas se os dados são
analisados, usados ou criptografados, ou se podem causar danos a eles se considerados
o risco de perda de confidencialidade ou perda financeira (CIPL, 2016, p. 13). Na
doutrina pátria temos que:
Vazamento de dados no setor privado brasileiro: a gestão
do risco como parâmetro para a responsabilidade
empresarial
Página 2
“O tratamento de dados pessoais, em particular por processos automatizados, é, no
entanto, uma atividade de risco. Risco que se concretiza na possibilidade de exposição e
utilização indevida ou abusiva de dados pessoais, na eventualidade desses dados não
serem corretose representarem erroneamente seu titular, em sua utilização por
terceiros sem o conhecimento deste, somente para citar algumas hipóteses reais.”
(DONEDA, 2011, p. 92).
Assim, a National Institute of Standards and Technology (NIST), do Departamento de
Comércio dos Estados Unidos da América, proporciona um claro entendimento quanto
aos riscos envolvidos em vazamento de dados, dividindo-os em riscos de cibersegurança
e riscos de privacidade:
Figura 1 – Relação entre os riscos de cibersegurança e de privacidade
Fonte: Tradução do Diagrama de Venn da NIST (2019, p. 6).
No entanto, internacionalmente, uma definição de risco que foi usada na comunidade de
privacidade e proposta para a aplicação do GDPR é a de que o risco de privacidade é
igual à probabilidade de uma atividade de processamento de dados resultar em impacto,
ameaça ou perda gradual de um resultado ou direito, que não poderia ser mitigado pela
implementação de controles eficazes de tecnologia da informação (risco de
cibersegurança), ou que o custo marginal por sua implementação superasse o benefício
marginal da empresa (EDPS, 2019, p. 8). Assim, o objetivo da avaliação de riscos é
reduzir o risco tanto quanto razoável e praticável, à luz dos benefícios pretendidos e das
mitigações e controles disponíveis, incluindo tecnologia de ponta, custo de
implementação e melhores práticas, abordagem também adotada na LGPD (CIPL, 2016,
p. 14).
Embora existam inúmeras definições e conceitos de “risco” na área de privacidade e
cibersegurança, a LGPD concentra-se em dois tipos de risco na relação entre titular de
dados e agentes de tratamento: risco de privacidade para o indivíduo em funções de
risco de conformidade adotado pelos agentes de tratamento. Nesse sentido, segundo
Assi (2012, p. 43), o risco de conformidade é a “possibilidade de perda ocasionada pela
inobservância, violação ou interpretação indevida de regulamentos e normas”. A partir
de tal concepção, o risco de conformidade é inevitavelmente associado ao setor jurídico
Vazamento de dados no setor privado brasileiro: a gestão
do risco como parâmetro para a responsabilidade
empresarial
Página 3
da empresa, que é responsável por fiscalizar e garantir o compliance com as normas
inerentes a sua atuação. A relação entre o risco de privacidade e o risco de conformidade
pode ser esquematizada da seguinte forma:
Figura 2 – Relação entre o risco de privacidade e o risco de conformidade
Fonte: Adaptação e tradução da figura da NIST (2019, p. 7). Esquematização própria.
Como resultado de um vazamento de dados, uma organização pode sofrer impactos
como custos de não conformidade, abandono de cliente ou prejudicar sua reputação de
marca externa ou cultura interna, situação que ainda se agrava se considerarmos que
empresas brasileiras tem a 2ª maior média de demora para identificar vazamento de
dados, demorando 250 dias, e 111 dias para contê-lo. (IBM SECURITY, 2019, p. 53).
Esses impactos organizacionais podem ser determinantes para a tomada de decisões
sobre a alocação de recursos, a fim de fortalecer os programas de conformidade em
privacidade e ajudar as organizações a gerenciar o risco de privacidade em paridade com
outros riscos empresariais, como o risco de conformidade.
2. A gestão do risco de vazamento de dados
Ao elaborar o RIPD, será necessário mensurar o risco, o que deve ser realizado por
empresas através de critérios de mitigação de risco, conforme o art. 38 da LGPD:
“Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório
de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas
operações de tratamento de dados, nos termos de regulamento, observados os segredos
comercial e industrial.
Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter,
no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a
coleta e para a garantia da segurança das informações e a análise do controlador com
relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.”
Assim, uma abordagem baseada em risco à proteção de dados, além da conformidade
com a LGPD, permite que as organizações interpretem conceitos e metas abstratas em
riscos identificáveis, controles e etapas de mitigação que podem ser implementadas, já
que a realização do RIPD deve concatenar o risco de privacidade de dados e o risco de
conformidade. Ao avaliar a probabilidade, o significado dos impactos (positivos e
negativos) e qualquer dano potencial a indivíduos de uma atividade específica de
processamento de dados pessoais, a avaliação de riscos ajuda com que as empresas
possam maximizar os benefícios potenciais da atividade de processamento e reduzir o
impacto negativo potencial da atividade em questão nos direitos e liberdades dos
Vazamento de dados no setor privado brasileiro: a gestão
do risco como parâmetro para a responsabilidade
empresarial
Página 4
indivíduos (CIPL, 2016, p. 13).
Nesse sentido, a gestão de riscos no campo da proteção de dados, que tem a
necessidade de ser reportada no RIPD, envolve duas modalidades: o risk assessment e o
risk management. O risk assessment, ou a análise de riscos, mais especificamente na
seara da segurança da informação, é um meio de identificar riscos inerentes, ou seja, o
risco a que uma organização está exposta sem considerar quaisquer medidas de controle
que possam reduzir a probabilidade de sua ocorrência ou seu impacto (INPI, 2018, p. 7),
e assim avaliar possíveis danos que possam ser causados por erro ou imprudência na
manipulação de dados de outrem (EDPS, 2019, p. 8). A análise tem três objetivos
principais: identificar os riscos, quantificar o impacto de possíveis ameaças e buscar um
equilíbrio financeiro entre o impacto do risco e o custo da respectiva medida de
segurança (CIPL, 2016, p. 3).
Já o risk management, ou gerenciamento de riscos, se refere ao processo de gerenciar e
responder sistematicamente o impacto de uma operação de processamento de dados
pessoais na organização e, cada vez mais, em indivíduos, por meio de processos bem
definidos e documentados de gerenciamento de riscos corporativos (NIST, 2019, p. 7),
além de mitigar riscos residuais, ou seja, o risco a que uma organização está exposta
após a implementação e medidas de gerenciamento do risco (INPI, 2018, p. 7). Uma
representação dessas duas etapas pode ser ilustrada da seguinte forma:
Figura 3 – Etapas de operacionalização de riscos
Fonte: Adaptação e tradução da figura da CIPL (2016, p. 39). Esquematização própria.
2.1. Análise de riscos
Um dos principais desafios da análise de riscos à privacidade é decidir quais são os
riscos, como ponderá-los e como avaliar a probabilidade e a gravidade de eventual dano
oriundo deles (CIPL, 2016, p. 14). Apesar da LGPD dar competência à ANPD em seu art.
55-J, XIII, para editar regulamentos nas hipóteses em que o tratamento represente alto
risco à garantia dos princípios gerais de proteção de dados pessoais dispostos na norma,
a orientação é bastante genérica. A LGPD não aborda como identificar e avaliar riscos e
danos específicos associados ao processamento de dados.
Assim, parte do desafio na implementação das disposições de risco da LGPD consistirá
em obter consenso sobre riscos e danos específicos a titulares de dados que podem ser
identificáveis e mitigáveis por gerenciamento de riscos, conforme será estabelecido pela
ANPD. No entanto, é útil identificar e enumerar categorias de risco gerais e amplamente
relevantes. Essa identificação e enumeração permitem que as empresas e a ANPD
identifiquem e avaliem os riscos específicos associados a uma atividade de
processamento específica ao longo de todo o ciclo de dados (desde a coleta,
armazenamento, uso e compartilhamento até o descarte) de maneira repetível e
consistente, ajudando também as organizações a definir o escopo de suas operações de
gerenciamento de riscos.
Nesse sentido, um cálculo possível do risco pode ser feito através de uma matriz onde
há o produto de probabilidadedo evento, como o vazamento de dados e a sua
gravidade. Dessa forma, a doutrina internacional explica que o limite do risco de
privacidade é calculado com o produto dos valores probabilidade e impacto com base no
caso concreto, onde o resultado é a probabilidade da perda de dados pessoais, a perda
de integridade dos dados e a perda da confidencialidade dos dados do ecossistema da
Vazamento de dados no setor privado brasileiro: a gestão
do risco como parâmetro para a responsabilidade
empresarial
Página 5
empresa analisada (BITKOM, 2017, p. 30):
Figura 4 – Matriz para cálculo de riscos
Fonte: Adaptação da figura do Instituto Nacional de Propriedade Industrial (INPI) (2018,
p. 16).
Já no caso de uma análise de risco de cibersegurança, os riscos são vistos com relação a
um possível dano para a empresa (BITKOM, 2017, p. 20). É possível uma extensão
dessa análise ao risco à cibersegurança, mas, de acordo com o LGPD, o nível de risco
depende do seu impacto direto aos titulares dos dados. Portanto, é necessária uma
extensão do contexto interno e externo para que os critérios de risco relevantes também
sejam utilizados para determinar o nível desse tipo de risco. Nesse sentido, o risco de
cibersegurança é calculado com o produto da probabilidade de ameaças ao sistema,
como pontos fracos exploráveis, e as consequências dessa exploração, sendo, portanto,
diferente do risco de privacidade (BITKOM, 2017, p. 20).
2.2 Gerenciamento de riscos
Uma vez que os riscos são estabelecidos por meio da sua avaliação, a empresa deve
escolher controles apropriados para aplicar medidas mitigadoras. Existem inúmeras
maneiras de mitigar riscos. Por exemplo, o GDPR refere-se a medidas como criptografia,
pseudoanonimização ou anonimização de dados, participação em códigos de conduta ou
certificações e selos.
Consequentemente, a escolha de medidas de mitigação apropriadas deve ser feita caso a
caso, em que as empresas terão que considerar os riscos envolvidos, o custo de
implementação das medidas e a sua eficácia, bem como seu impacto nos propósitos,
interesses ou benefícios que estão sendo perseguidos pela atividade de processamento
de dados proposta. Como acontece no caso dos riscos a serem estabelecidos, os
controles a serem adotados dependem das operações de processamento específicas para
as quais a empresa realiza um RIPD. No entanto, alguns controles básicos podem ser
adotados, independente do nível de atuação da empresa.
Tabela 1 – Medidas básicas de mitigação de riscos
Vazamento de dados no setor privado brasileiro: a gestão
do risco como parâmetro para a responsabilidade
empresarial
Página 6
Alvo Controles genéricos
Justificabilidade Verificar o uso permitido/esperado ao
reutilizar determinado conjuntos de dados
Transparência Notificar automaticamente os titulares dos
dados
Limitação de propósito Evitar identificadores genéricos
Minimização de dados Coletar faixas etárias em vez de datas de
nascimento
Limitação de armazenamento Distinguir entre o período de conservação
para diferentes partes dos dados
Segurança Seguir os protocolos do gerenciamento de
riscos de segurança da informação
Fonte: Adaptação e tradução da tabela da European Data Protection Supervisor (EDPS)
(2019, p. 17-18).
A EDPS, que orienta as Data Protection Authorities (DPAs) de cada país da União
Europeia, define que existem quatro maneiras diferentes de gerenciar os riscos: redução
de riscos pela adoção de medidas mitigadoras; prevenção de riscos; transferência de
risco para terceiros; e aceitação de riscos. Assim, se os riscos forem reduzidos por uma
dessas medidas, uma lista correspondente de medidas deve documentar qual medida
está planejada; quem é o responsável pela implementação e até quando está planejado
concluir a sua implementação (EDPS, 2019, p. 31).
Nesse mesmo sentido, a LGPD, em seu art. 50, § 2º, I, h, obriga o controlador a
estabelecer e executar um procedimento para revisar e monitorar a segurança do
processamento de dados. Para cumprir o dever de responsabilidade da LGPD, deve-se
ter uma documentação detalhada do planejamento (programa de auditoria) e das
verificações realizadas (relatórios de auditoria) e, sendo encontrados desvios nas
auditorias, os remédios também devem ser sistematizados, documentados e reportados
à ANPD, conforme o art. 48 da LGPD.
3. A responsabilidade empresarial em vazamento de dados no direito brasileiro
O risco como possibilidade de responsabilização surgiu, no século XIX, com a doutrina do
risco, expressão cunhada pelo jurista Georges Ripert, o qual propôs a formulação dos
conceitos de risco-profissional, do risco-propriedade e do risco-criado (RIPERT, 2000, p.
45). O falecido Desembargador Luiz Carlos de Azevedo, que foi professor titular de
História do Direito da Universidade de São Paulo, também descreveu a motivação do
advento da doutrina do risco como da seguinte forma:
“Na verdade, no século que se encerrou, o surto contínuo ocorrido na tecnologia veio
exigir respostas às situações emergentes, antes sequer imaginadas no contexto dos
meios locomotores de comunicação. Os jornais dos anos que precederam ao primeiro
conflito mundial descrevem o assustador recrudescimento de acidentes de trânsito
causados pelos primeiros automóveis, os quais excediam, em números geométricos,
aqueles da época dos tilburis, vitórias e carruagens. Corrida realizada na França, da qual
participara com malogrado êxito um dos irmãos Renault, levou a que fossem tomadas
medidas rigorosas para refrear o mau uso destes perigosos veículos.” (AZEVEDO, 2007,
p. 276).
A LGPD estabelece que toda pessoa natural tem assegurada a titularidade de seus dados
pessoais, através do consentimento prévio (opt-in), bem como garantidos seus direitos
fundamentais de liberdade, intimidade e de privacidade, conforme previsto pela
Constituição Federal no seu art. 5º, X e XII, sendo inviolável o sigilo de dados e
assegurado o direito à indenização pelo dano material ou moral decorrente de suas
violações, incluídas as atividades de risco.
Vazamento de dados no setor privado brasileiro: a gestão
do risco como parâmetro para a responsabilidade
empresarial
Página 7
Assim, qualquer pessoa que tenha seus dados vazados, e por isso sofrer danos de ordem
patrimonial, moral, individual ou coletivo, poderá pleitear o direito de reparação por
meio do instituto da responsabilidade civil, disposto no art. 927 do CC (LGL\2002\400).
No que tange à responsabilidade civil dos agentes responsáveis pelo tratamento dos
dados, o direito pátrio opera com duas categorias: a subjetiva, na qual o dano é causado
em função de ato doloso ou culposo, mediante negligência, imperícia ou imprudência
(BETTI, 2006, p. 420-421) e a objetiva, na qual o dano resultado de ato doloso ou
culposo é irrelevante, sendo necessário apenas o nexo causal entre o dano e a conduta
do agente para o surgimento do direito de reparação (COELHO, 2012, p. 136). Assim,
René Savatier bem explica que:
“A responsabilidade nascida do risco criado é aquela que obriga à reparação dos danos
produzidos, mesmo sem culpa, por uma atividade que se desenvolvia dentro do
interesse do agente e sob a responsabilidade dele. Esta definição visa compreender
todos os casos em que a lei ou a jurisprudência determinam a responsabilidade civil de
uma pessoa não culpada.” (SAVATIER, 1951, p. 349-350, Tradução Livre3).
Nesse sentido, o parágrafo único do art. 927 do CC (LGL\2002\400) bem esclarece que o
direito à reparação não dependerá da existência de culpa para aquele que exerce
atividade que, por sua natureza, envolve riscos para os direitos de outrem, o que
claramente é caracterizado na gestão empresarial de bancos de dados. Nessa mesma
marcha, a LGPD, em seu art. 44, II caracteriza o tratamento de dados irregular quando
não oferecer a segurança compatível com o resultado e os riscos que razoavelmente
espera-se do tratamento de dados.
Dessa forma, entende-se que não incidirá a responsabilidade objetiva no negócio jurídico
entre controlador e operador de dados pessoais, quando nele ficar demonstradoa
conformidade com a LGPD, Código de Defesa do Consumidor (CDC (LGL\1990\40)) e CC
(LGL\2002\400), verificando-se, assim, a existência de excludente de responsabilidade,
recaindo o ato de vazamento de dados sob a responsabilidade subjetiva. Assim, será
necessária a comprovação de descumprimento do negócio jurídico através de ato doloso
ou culposo, caso contrário, o agente de tratamento de dados ficará isento de
responsabilidade.
Portanto, pode-se afirmar que a LGPD adota a responsabilidade subjetiva ao requisitar a
prova do dano nas previsões dispostas no seu art. 42, seja para imputar o controlador
ou, alternativamente, o operador pelo dano causado em detrimento de atividade de
tratamento de dados pessoais. Logo, se os atos dos agentes de tratamento resultarem
em vazamento de dados e possibilitarem uma condenação à indenização, far-se-á
necessária a comprovação judicial de um dano efetivo, seja ele patrimonial, moral,
individual ou coletivo.
Caso o dano seja comprovado, importante será verificar se o operador descumpriu a
LGPD, ou não seguiu as instruções lícitas dadas pelo controlador, ou se mais de um
controlador estiver diretamente envolvido no tratamento nos dados do titular, uma vez
que nessas hipóteses constata-se o concurso de agentes de tratamento a fim do efetivo
ressarcimento do titular dos dados, uma vez que, em ambas as situações, os agentes
responderão solidariamente ao prejuízo causado, conforme o seu art. 42, I e II, podendo
nesse caso, um dos agentes de tratamento exigir o direito de regresso caso arque com a
reparação do dano do titular, segundo o seu art. 42, § 4º.
Para todos os quesitos acima, o art. 43 da LGPD é claro ao estabelecer taxativamente as
exceções de excludente de responsabilidade quando os agentes de tratamento
provarem: (i) que não realizaram o tratamento de dados pessoais previamente
atribuído; (ii) que não houve violação à LGPD apesar de terem realizado o tratamento de
dados pessoais previamente atribuído; ou (iii) que o dano ocorreu por culpa exclusiva do
titular dos dados ou de terceiro, hipóteses que podem ser abarcadas na gestão de riscos
de empresas a fim de evitar a imputação de responsabilidade sobre vazamento de
dados.
Vazamento de dados no setor privado brasileiro: a gestão
do risco como parâmetro para a responsabilidade
empresarial
Página 8
É importante salientar que se as medidas determinadas na LGPD não forem adotadas e
for comprovado dano causado pela violação do direito do titular no âmbito das relações
de consumo, o seu art. 45 determina que a responsabilização do agente de tratamento
permanece sujeita às regras do CDC (LGL\1990\40), mitigando possível conflito de
competência. O caso dessa identidade de normas, por exemplo, reflete-se no art. 43 da
LGPD, onde as excludentes mostram grande influência ou mesmo similitude com o artigo
14, § 3° do CDC (LGL\1990\40), ou mesmo a previsão de inversão do ônus da prova no
art. 42, § 2º da LGPD, também prevista no CDC (LGL\1990\40) em seu art. 6º, VIII.
Desse modo, quando se tratar de uma relação de consumo, o mero vazamento dos
dados caracteriza defeito no produto ou serviço contratado, configurando-se a
responsabilidade objetiva, nos termos dos art.12, §1º e art. 14, §1º do CDC
(LGL\1990\40), por não fornecer a segurança que o consumidor pode dele esperar,
através do resultado e os riscos que razoavelmente dele se esperam, consonante com o
art. 44, II da LGPD. Assim, em ambos os casos, demanda-se a gestão de riscos para
isenção de ilicitude na gestão de dados de terceiros.
4. Considerações finais
Para mitigar ou até mesmo eximir uma empresa de responsabilização por vazamentos
de dados, cabe a ela comprovar que agiu conforme a LGPD e que aplicou todos os
recursos possíveis e razoáveis para a proteção dos dados constantes de seus registros.
Portanto, uma solução para isso é a adoção de mecanismos de gestão de riscos para
provar que empregou os melhores esforços (best efforts)4 ao reduzir os riscos de
vazamentos de dados e o dever anexo de cooperação no adimplemento do contrato, ou
seja, o dever de mitigar perdas (duty to mitigate the loss)5 durante e após o incidente
de vazamento de dados, o que afastaria por si só a teoria da aparência6 nos casos de
relações de consumo que implicam em responsabilidade objetiva.
É fato que as empresas que administram e coletam dados pessoais se tornam
responsáveis pela segurança dessas informações, e dessa forma possuem o dever de
garantir medidas adequadas para evitar vazamento de dados de terceiros e mitigar as
perdas quando essa situação se consubstancia. Dentre os métodos de se compartilhar ou
transferir a gestão de riscos para outra parte destacam-se a contratação de apólices de
seguro, a realização de transações de hedging e a contratação de empresas terceirizadas
para executarem atividades específicas de proteção de dados.
Caso a empresa opte que haja um operador dos dados de seus clientes, contratando
uma empresa terceirizada para tal tarefa, seja por questões de economia,
desconhecimento, eficiência, ou estratégia jurídica, a medida mais aconselhável é a
contratação de seguros, uma vez que a apólice protegeria o patrimônio financeiro da
empresa pela cobertura dos custos pelo vazamento de dados e pela possibilidade de
responsabilidade solidária, conforme o art. 34 do CDC (LGL\1990\40), caso os métodos
de gestão de risco forem considerados insuficientes em processo administrativo pela
ANPD.
Desse modo, como em outras apólices de seguro, a cobertura por vazamento de dados
pode ter provisões próprias e de terceiros. Coberturas próprias são aquelas pertencentes
à própria organização segurada e coberturas de terceiros são voltadas para as partes
afetadas fora da empresa (CRANE, 1980, p. 44-58). Do mesmo modo que acontece em
seguros automotivos, uma cobertura própria eximiria o segurado da responsabilidade de
custos, uma vez que cobre o segurado, já a cobertura de terceiros, além de cobrir o
segurado, também abarcaria as outras pessoas envolvidas no acidente.
Nesse sentido, seguradoras e resseguradoras, como a Swiss Re, já ofertam seguros
cobrindo vazamento de dados, em que suas apólices de cobertura própria incluem:
custos de investigação de violação de dados, custos de danos de hardware e software;
multas incorridas por dados perdidos; receita perdida, enquanto as apólices com
coberturas de terceiros abrangem: custos de litigância por perda de dados e taxas
Vazamento de dados no setor privado brasileiro: a gestão
do risco como parâmetro para a responsabilidade
empresarial
Página 9
incorridas para auxiliar os titulares que tiveram seus dados vazados (SWISS RE, 2017,
pp. 11-12).
Por fim, com a LGPD introduzindo o princípio da accountability, ou prestação de contas,
no contexto da proteção de dados, mais especificamente no seu art. 6º, X, cria-se a
necessidade de que a avaliação de risco seja realizada antes que uma organização sofra
uma violação de dados pessoais. Assim, se determinada empresa cumpriu as obrigações
dispostas na LGPD, incluindo suas obrigações de manutenção de registros para
processamento (quando aplicável), registrou detalhes suficientes de suas avaliações de
risco e cumpriu suas obrigações de segurança através da gestão de riscos, é
teoricamente improvável que a ANPD penalize uma empresa em casos de
responsabilidade civil subjetiva.
Referências bibliográficas
ADAMS, Kenneth A. Understanding "Best Efforts" And Its Variants (Including Drafting
Recommendations). Practical Lawyer-Philadelphia, v. 50, n. 4, p. 18, 2004.
AKERLOF, George A. The market for “lemons”: Quality uncertainty and the market
mechanism. The Quarterly Journal of Economics, v. 84, n. 3, pp. 488-500, 1970.
ASSI, Marcos. Gestão de riscos com controles internos: ferramentas, certificações e
métodos para garantir a eficiência dos negócios. São Paulo: Saint Paul Editora, 2012.
AZEVEDO, Luís Carlos de. Introdução à história do direito. 2. ed. São Paulo: Revista dos
Tribunais, 2007.
BITKOM. Risk Assessment & Data Protection Impact Assessment. Bitkom e. V. FederalAssociation for Information Technology, Telecommunications and New Media, 2017.
Disponível em:
[www.bitkom.org/sites/default/files/pdf/noindex/Publikationen/2017/Leitfaden/170919-LF-Risk-Assessment-ENG-online-final.pdf].
Acesso em: 25.09.2019.
BETTI, Emílio. Teoria geral das obrigações. Campinas: Bookseller, 2006.
CIPL. Risk, High Risk, Risk Assessments and Data Protection Impact Assessments under
the GDPR. CIPL GDPR Interpretation and Implementation Project, 2016. Disponível em:
[https://iapp.org/media/pdf/resource_center/cipl_gdpr_risk_21_dec_2016.pdf]. Acesso
em: 12.10.2019.
CLAYDEN LAW. Risk Assessment And Data Privacy. Cybersecurity Series, 2017.
Disponível em: [www.claydenlaw.co.uk/cms/document/Cybersecurity_2___Risk_.pdf].
Acesso em: 21.09.2019.
COELHO, Fábio Ulhoa. Curso de direito civil 2 – Obrigações – Responsabilidade civil. 5.
ed. São Paulo: Saraiva, 2012.
CRANE, Frederick G. Insurance Principles and Practices, 1st edition. New York: John
Wiley & Sons, 1980.
DONEDA, Danilo. A Proteção dos Dados Pessoais como um Direito Fundamental.
Joaçaba: Espaço Jurídico, v. 12, n. 2, p. 92, 2011.
EUROPEAN DATA PROTECTION SUPERVISOR. Accountability on the ground Part II: Data
Protection Impact Assessments & Prior Consultation. Accountability on the ground
Series, 2019. Disponível em:
[https://edps.europa.eu/sites/edp/files/publication/19-07-17_accountability_on_the_ground_part_ii_en.pdf].
Acesso em: 12.10.2019.
FARNSWORTH, Edward Allan. Contracts. 3. ed. New York: Aspen Law, p. 229, 1999.
IBM SECURITY. 2019 Cost of a Data Breach. Ponemon Institute Research Department,
Vazamento de dados no setor privado brasileiro: a gestão
do risco como parâmetro para a responsabilidade
empresarial
Página 10
2019. Disponível em:
[www.ibm.com/downloads/cas/ZBZLY7KL?_ga=2.134781105.1373689445.1570151369-1799981008.1570151369].
Acesso em: 03.10.2019.
INSTITUTO NACIONAL DA PROPRIEDADE INDUSTRIAL. Manual de gestão de riscos do
INPI. Rio de Janeiro: INPI, 2018. Disponível em:
[www.inpi.gov.br/sobre/estrutura/manual-gestao-de-riscos-inpi.pdf]. INPI. Acesso em:
25.09.2019.
MANKIW, Gregory N. Principles of microeconomics. New Delhi: Cengage Learning, 6th
edition, 2011.
NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. NIST Privacy Framework: a
tool for improving privacy through enterprise risk management. Preliminary Draft of the
U.S. DoC, 2019. Disponível em:
[www.nist.gov/sites/default/files/documents/2019/09/09/nist_privacy_framework_preliminary_draft.pdf].
Acesso em: 24.09.2019.
RIPERT, Georges. A regra moral nas obrigações civis. Trad. Osório de Oliveira.
Campinas: Bookseller, 2000.
SAVATIER, René. Traité de la responsabilité civile en droit français. 2. ed. Paris: Librairie
Générale de Droit et de Jurisprudence, 1951.
SMITH, Juliane. Teoria da aparência: Uma análise crítica ao artigo 50 e 1.015 do Código
Civil de 2002. Revista do Ministério Público do Rio Grande do Sul, Porto Alegre, n. 63, p.
20, 2009. Disponível em:
[www.amprs.org.br/arquivos/revista_artigo/arquivo_1259071074.pdf]. Acesso em:
09.10.2019.
STIGLITZ, Joseph E.; WEISS, Andrew. Credit rationing in markets with imperfect
information. The American Economic Review, v. 71, n. 3, pp. 393-410, 1981.
SWISS RE. Cyber liability: Data breach in Europe. Swiss Re Publications, pp. 11-12,
2017. Disponível em:
[www.swissre.com/dam/jcr:b6772437-1bb4-4555-9ff9-1c55e67b6367/Cyber_Liability_Data_Breach_Europe.pdf].
Acesso em: 12.10.2019.
1 Mankiw (2011, p. 470) explica que a seleção adversa é um problema que surge em
mercados em que o vendedor sabe mais sobre os atributos do bem que está sendo
vendido do que o comprador, correndo o risco de venderem um bem de baixa qualidade,
ou seja, é um oportunismo pré-contratual, em que uma parte contratante usa suas
informações privadas em face do contratado.
2 Akerlof (1970, pp. 488-489) leciona que o risco moral é o risco de má-fé de uma parte
em uma transação que pode ter fornecido informações enganosas sobre seus ativos,
responsabilidades ou capacidade de crédito.
3 Tradução livre do francês: “La responsabilité née du risque créé est celle qui oblige à
réparer des dommages produits, même sans faute, par une activité qui s’exerçait dans
votre intérêt et sous votre autorité. Cette définition vise à comprendre tous les cas où la
loi ou la jurisprudence retiennent la responsabilité civile d’une personne non fautive.”
4 Adams (2004, p. 18) ensina que “os esforços que uma pessoa razoável na posição de
prometedor usaria para alcançar esse objetivo o mais rapidamente possível”. Tradução
livre do inglês: “the efforts that a reasonable person in the position of [the promisor]
[Acme] would use so as to achieve that goal as expeditiously as possible”.
Vazamento de dados no setor privado brasileiro: a gestão
do risco como parâmetro para a responsabilidade
empresarial
Página 11
5 Conforme explica Farnsworth (1999, p. 229), um dos mais renomados estudiosos de
direito dos contratos dos Estados Unidos: “o credor prejudicado não será indenizado
pelas perdas e danos que evitou ou poderia ter evitado com esforços razoáveis e
apropriados às circunstâncias”. Tradução livre do inglês: “the injured creditor will not be
compensated for the losses and damages he has avoided or could have avoided with
reasonable efforts appropriate to the circumstances”.
6 Smith (2009, p. 20) leciona que “a boa-fé subjetiva será estimada na Teoria da
Aparência, quando esta for invocada pelo terceiro prejudicado, isto porque apenas a
análise da boa-fé objetiva não bastará para isentar a conduta deste, sendo necessário o
questionamento da boa-fé subjetiva, ou seja, da intenção e a crença no errôneo por
parte do terceiro de boa-fé”.
Vazamento de dados no setor privado brasileiro: a gestão
do risco como parâmetro para a responsabilidade
empresarial
Página 12