Parte 3

Dos danos, da responsabilidade e do ressarcimento

Tanto o controlador como o operador que causarem dados aos titulares de dados pessoais respondem por danos materiais, morais, individuais e coletivos. Esta responsabilidade independe de comprovação de dolo ou culpa por parte dos seus causadores, uma vez que se trata de responsabilidade decorrente do risco que pode causar ao direito do titular dos dados pessoais, em razão do exercício da atividade de tratamento de dados pessoais, como previsto no artigo 42 da Lei Geral de Proteção de Dados Pessoais e no artigo 924, parágrafo único, do Código Civil.

Além disso, o operador de dados pessoais contratado pelo controlador responderá solidariamente com este quando descumprir as obrigações da legislação ou não seguir as orientações do controlado, equiparando-se a este.

Para fins de ressarcimento civil, considera-se tratamento de dado pessoais irregular aquele que deixar de observar a legislação ou não for empregado com a necessária segurança que o titular dos dados espera, tendo em conta o modo de realização do tratamento, o resultado e os riscos esperados e as técnicas empregadas à época.

Sendo a relação de natureza do consumidor, prevalecerão as regras do Código de Defesa do Consumidor para fins de responsabilidade.

Exclusão de responsabilidade civil

A exclusão de responsabilidade civil ocorrerá quando comprovado que:

a) não foi realizado pelo agente o tratamento de dados pessoais a ele atribuído;

b) não ocorreu violação à legislação de proteção de dados; ou

c) o dano apontado é decorrente de culpa exclusiva do titular dos dados ou de terceiros.  

Medidas de proteção dos dados

Quanto à segurança dos dados pessoais, os agentes de tratamento são obrigados a adotar medidas de proteção e segurança, técnicas e administrativas, para impedir acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alterações, comunicações ou qualquer forma de tratamento inadequado ou ilícito.

Em caso de incidente de segurança e na eventualidade de ocorrência de risco ou dano, o controlador local deverá comunicar ao controlador nacional e ao titular.  A Autoridade Nacional de Proteção de Dados deverá determinar que o controlador realize a ampla divulgação do fato nos meios de comunicação e que sejam tomadas medidas para reverter o incidente, bem como outras medidas que entender necessárias.

Política de boa governança dos dados pessoais

Está autorizado aos controladores de dados e operadores estabelecerem normas e regras de boas práticas para utilização e manuseio dos dados pessoais, inclusive com a introdução de políticas e programas de governança em que fique demonstrado o comprometimento do controlador em proteger os dados pessoais e realizar o que for necessário à sua segurança; essas normas e regras, a serem estabelecidas, deverão ser publicadas e atualizadas com frequência.

Em síntese, a Lei Geral de Proteção de Dados Pessoais é um importante estatuto em defesa do cidadão, pois tem o objetivo de evitar os abusos praticados através da indevida utilização dos dados pessoais, a partir do uso cada vez mais frequente das diversas ferramentas disponíveis na Rede Mundial de Computadores.