Responsabilidade civil pela coleta, gestão e armazenamento de dados de outrem

Sumário – 1. Delimitação do Tema 2. Esclarecimento metodológico 3. Conceitos preliminares 4. Legislação correlata 5. Coleta, gestão e armazenamento de dados de outrem e os novos contornos da privacidade na sociedade da informação 6. Noções fundamentais de responsabilidade civil 7. Responsabilidade Objetiva e Teoria do Risco 8. As excludentes de responsabilidade civil 9. Responsabilidade civil pela coleta, gestão e armazenamento de dados de outrem 10. Conclusão 11. Referências.

1. Delimitação do Tema.

Este artigo aborda a responsabilidade civil pela coleta, gestão e armazenamento de dados de outrem, enfocando seus aspectos peculiares e os conceitos técnicos envolvidos na discussão, a fim de verificar se se trata de responsabilidade subjetiva ou objetiva, bem como se são aplicáveis as excludentes de caso fortuito e força maior. Nesta análise, são mencionadas normas nacionais e estrangeiras, bem como a jurisprudência afeta ao tema.

2. Esclarecimento metodológico.

O assunto escolhido relaciona-se tanto ao Direito Público quanto ao Direito Privado. Assim, por exemplo, as questões relativas ao regime constitucional de proteção à intimidade e às comunicações de dados, bem como a doutrina sobre a responsabilidade civil.

Contudo, não se pretende realizar uma análise exaustiva de tais temas, à luz da doutrina clássica, mas apenas situar o leitor em seus aspectos fundamentais, de modo sucinto, a fim de aplicar esse instrumental teórico à principal questão proposta, qual seja, a responsabilidade civil pela coleta, gestão e armazenamento de dados de outrem.

Pretende-se, com isso, construir um eixo teórico que permita embasar cientificamente as conclusões sem, contudo, tornar o texto demasiado extenso ou enfadonho, resguardando sua maior parte para a adaptação dos conceitos tradicionais ao novo paradigma[1] da sociedade da informação, notadamente o das comunicações via internet.

3. Conceitos preliminares.

A cada segundo, acontecem cerca de um milhão de clicks nas páginas da internet[2]. Esse montante ilustra a imensidão de dados continuamente transmitidos através da rede.

Dentre os vários significados constantes do dicionário, o que mais se relaciona à palavra dado, no sentido em que aqui empregada, é “informação relativa a um indivíduo, capaz de identificá-lo”[3].

Porém, o dicionário transmite a falsa impressão de que os termos dado e informação são sinônimos quando, na verdade, constituem conceitos tecnicamente distintos:

“Embora sejam ocasionalmente tratados como equivalentes, os ‘dados’ constituem a matéria-prima e ‘informação’, os dados processados, ou seja, o conjunto de dados relevantes a que se atribui um significado determinado.”[4]

No Direito positivo brasileiro, o Decreto nº 97.057/1988, que regulamentou[5] a Lei Geral de Telecomunicações (Lei nº 4.117/1962), traz a seguinte definição de dados:

“Art. 6° Para os efeitos deste Regulamento Geral, dos Regulamentos Específicos e das Normas complementares, os termos adiante enumerados têm os significados que se seguem:(…)

23°) Dado – informação sistematizada, codificada eletronicamente, especialmente destinada a processamento por computador e demais máquinas de tratamento racional e automático da informação.”[6]

Há que se destacar, também, a existência de várias espécies de dados, na medida em que o tratamento jurídico de cada uma delas é distinto[7].

A primeira grande classificação separa os dados referentes a pessoas dos demais.

Assim, são dados anônimos os que se relacionam a pessoas consideradas em abstrato, como ocorre com as estatísticas. Por não se referirem a sujeitos individualizados, essa espécie de dados não é susceptível, ao menos em tese[8], de causar dano a direitos subjetivos, razão pela qual não merece proteção jurídica[9].

Em seguida têm-se os dados pessoais[10] que, como o próprio nome sugere, são os que se relacionam a pessoas individualizadas ou individualizáveis, ainda que indiretamente. Merecem tutela jurídica na medida em que são capazes de causar dano a direitos da personalidade[11].

Por fim, há os dados sensíveis, uma espécie de dados pessoais que diz respeito aos principais aspectos da personalidade ou do comportamento de um indivíduo. Mesmo que coletados, eles não poderão sofrer tratamento, ou seja, serem organizados de forma sistematizada, por meio de cruzamentos com outros dados, a fim de expor os aspectos mais íntimos de um sujeito, como convicções sexuais, religiosas, políticas ou filosóficas[12].

O esquema abaixo ilustra a classificação proposta:

Note-se, ainda, que o sujeito ao qual se referem os dados é chamado de interessado, enquanto a pessoa física ou jurídica, pública ou privada, distinta do interessado, que promove a coleta, gestão e armazenamento de seus dados denomina-se terceiro[13].

Feitas essas considerações, passa-se, agora, a abordar a legislação referente ao tratamento de dados pessoais.

4. Legislação correlata.

No Direito estrangeiro, as primeiras preocupações com a regulamentação dos dados pessoais remontam à década de 70[14]. Todavia, foi somente na década seguinte que surgiu uma iniciativa transnacional sobre o tema, oriunda da Organização para a Cooperação e Desenvolvimento Econômico – OECD. Trata-se das Diretivas sobre a Proteção da Privacidade e o Fluxo Transfronteiriço de Dados Pessoais, de 23 de setembro de 1980[15].

No âmbito da Comunidade Européia, o tema é atualmente regulado pela Diretiva nº 95/46 do Parlamento Europeu, de 24 de outubro de 1995[16], enquanto nos Estados Unidos da América há apenas uma orientação do Departamento de Comércio, datada de 21 de julho de 2000, denominada Safe Harbour Privacy Principles[17], cujo intuito é compatibilizar a atuação das empresas norte-americanas com o regime de tratamento de dados adotado pela Comunidade Européia.

Em ambas se verificam, basicamente, sete princípios[18]:

1) O site que pretende coletar dados deve informar isso ao interessado;

2) A partir da informação mencionada acima, o interessado tem o direito de decidir se permite ou não a coleta;

3) É necessária a autorização expressa do interessado para que o site possa repassar os dados coletados a terceiros;

4) Deve haver uma clara política de segurança para que se evite a perda de dados;

5) Deve-se assegurar a integridade dos dados coletados, evitando sua adulteração;

6) É garantido o pleno acesso do interessado a seus dados, inclusive com a possibilidade de retificação;

7) Deve haver instrumentos que garantam a efetiva fiscalização e o cumprimento dos seis princípios mencionados acima.

Talvez fosse interessante, de lege ferenda, acrescentar outro princípio a essa lista. Trata-se da necessidade de garantir ao usuário pleno acesso a todas as funcionalidades de um site, mesmo se ele optar por não fornecer dados pessoais, desabilitando tal opção no seu navegador de internet[19]. Na prática, o que se verifica é que a navegação completa em grande número de páginas somente é possível mediante a coleta de dados pessoais. Proibida essa coleta, alguns recursos da página se tornam indisponíveis, cerceando seus usuários.

O leading case norte-americano acerca da privacidade em matéria de fluxo de dados via internet data de 1998. Trata-se de Federal Trade Commission v. GeoCities[20]. Neste caso, a agência norte-americana denominada Federal Trade Commission ajuizou uma ação contra a GeoCities, sociedade empresária que, na época, mantinha um dos mais populares web sites daquele país, com aproximadamente dois milhões de usuários.

Para usufruir dos serviços prestados pela GeoCities, os usuários deveriam preencher um formulário eletrônico com dados pessoais tais como nome, e-mail, endereço, sexo, estado civil e grau de escolaridade. Sua única opção era escolher se desejavam ou não receber ofertas e informações sobre produtos da GeoCities. Não havia qualquer detalhamento acerca da finalidade para a qual os dados seriam utilizados nem sobre a possibilidade de sua transmissão a terceiros.

Restou decidido que a GeoCities deveria colocar em seu web site um aviso em destaque, redigido de forma clara, alertando para o fato de que dados pessoais seriam coletados, bem como esclarecendo a forma como seriam utilizados.

A mesma questão se repetiu, uma década mais tarde, em relação aos dados pessoais coletados pelo web site Google[21].

No Brasil, a Constituição de 1988 foi a primeira a tratar expressamente do direito à intimidade e à vida privada[22]. Há na doutrina, tanto nacional quanto estrangeira, controvérsia acerca das expressões intimidade e vida privada. De um lado, há quem as considere sinônimas. Outra corrente sustenta que privacidade é gênero que compreende as espécies intimidade e vida privada, sendo esta mais ampla do que aquela. Gilmar Ferreira Mendes, Inocêncio Mártires Coelho e Paulo Gustavo Gonet Branco resumem bem a controvérsia:

“Embora a jurisprudência e vários autores não distingam, ordinariamente, entre ambas as postulações – de privacidade e de intimidade -, há os que dizem que o direito à intimidade faria parte do direito à privacidade, que seria mais amplo. O direito à privacidade teria por objeto os comportamentos e acontecimentos atinentes aos relacionamentos pessoais em geral, às relações comerciais e profissionais que o indivíduo não deseja que se espalhem ao conhecimento público. O objeto do direito à intimidade seriam as conversações e os episódios ainda mais íntimos, envolvendo relações familiares e amizades mais próximas.(…)

De modo geral, há consenso em que o direito à privacidade tem por característica básica a pretensão de estar separado de grupos, mantendo-se o indivíduo livre da observação de outras pessoas. Confunde-se com o direito de fruir o anonimato – que será respeitado quando o indivíduo estiver livre de identificação e de fiscalização.(…)

No Brasil, não parece necessária essa mesma extrapolação do sentido clássico do direito à privacidade, já que a proteção do indivíduo contra interferências que se estimem indevidas por parte do Estado podem ser atalhadas com a invocação do princípio da proporcionalidade, do princípio da liberdade em geral (que não tolera restrições à autonomia da vontade que não sejam necessárias para alguma finalidade de raiz constitucional) e mesmo pelo apelo ao princípio da proteção da dignidade da pessoa humana, que pressupõe o reconhecimento de uma margem de autonomia do indivíduo tão larga quanto possível no quadro dos diversos valores constitucionais.”[23]

A doutrina alemã sustenta, ainda, a existência de três esferas de privacidade. Na primeira estaria a vida íntima, compreendendo os fatos e gestos que devem ficar absolutamente afastados do conhecimento alheio. Em segundo lugar haveria a vida privada, que inclui os acontecimentos que o sujeito partilha com um número limitado de pessoas. Tem-se, por fim, a vida pública, na qual se situam os acontecimentos que podem ser conhecidos por qualquer um[24]. Para ilustrar, imagine-se a situação de uma pessoa obesa. Seu excesso de peso é óbvio e visível a qualquer um (3ª esfera); porém, esta mesma pessoa está fazendo dieta e academia, mas só gostaria de compartilhar tal informação com seu médico, esposa e amigos (2ª esfera). Por fim, esta pessoa utiliza substâncias químicas ilícitas e possui disfunção sexual, dados que não deseja compartilhar com ninguém (1ª esfera).

No plano infraconstitucional, o Brasil não possui uma lei destinada, especificamente, a regulamentar a coleta, gestão e armazenamento de dados de outrem. Não obstante, existem diversas normas esparsas de proteção à privacidade. O Código de Defesa do Consumidor, por exemplo, regulamenta os bancos de dados sobre consumidores, assegurando-lhes o direito de retificar dados inexatos ou inverídicos[25], em consonância com alguns dos princípios adotados pela legislação estrangeira, como mencionado anteriormente. Já o Código Civil considera a vida privada como direito da personalidade[26]. À luz dessas disposições, é nula a cláusula contratual – muito utilizada pelas empresas que atuam na internet – pela qual o interessado autoriza a empresa a coletar seus dados pessoais e a utilizá-los de modo amplo e irrestrito, inclusive alienando-os a terceiro[27].

Existem, ainda, projetos de lei em tramitação no Congresso Nacional que objetivam regulamentar a privacidade no trato de dados pessoais e os deveres daqueles que coletam, gerenciam e armazenam esses dados. Assim, por exemplo, o PL nº 3.494/2000, proposto pelo Senador Lúcio Alcântara (PSDB/CE), o PL nº 5.403/2001, de autoria do Senador Luiz Estevão (PMDB/DF), e o PL nº 4.424/2008, apresentado pelo Deputado Nelson Goetten (PR/SC).

Aspecto árduo e deveras relevante é aquele que diz respeito à delimitação do alcance do inciso XII do art. 5º da Constituição Federal:

“Art. 5º. (…)

XII – é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal;”

Como se percebe, o dispositivo consagra o sigilo das comunicações em geral, dentre as quais se insere a comunicação de dados. A questão controversa é: os dados são objeto de proteção autônoma, mesmo quando estaticamente considerados, ou apenas a sua comunicação – leia-se coleta, circulação, transferência – é abarcada pelo dispositivo em tela?

Poder-se-ia ponderar, inicialmente, que o texto constitucional somente faz exceção ao sigilo das comunicações telefônicas, em virtude da expressão “salvo, no último caso”. Assim, o sigilo das demais seria indevassável. Contudo, tal entendimento não prospera, uma vez que não existem direitos absolutos[28].

Na Comunidade Européia, por exemplo, encontram-se em curso estudos sobre a tecnologia VoIP[29], a fim de elaborar uma Diretiva especifica sobre o tema, que permita interceptar tais comunicações, principalmente porque os órgãos comunitários daquele bloco verificaram que a criminalidade está se valendo do VoIP para transmitir conteúdos ilícitos, justamente por ser mais difícil interceptá-lo[30].

Partindo, então, da premissa de que é possível a interceptação de comunicações, o Supremo Tribunal Federal enfrentou a questão do sigilo de dados no julgamento do Recurso Extraordinário nº 418.416/SC[31]. Trata-se de situação na qual fora determinada a busca e apreensão de equipamentos de informática na sede de uma sociedade empresária, a fim de que os dados deles constantes fossem periciados, objetivando apurar a prática de crimes contra a ordem tributária. Dentre outros argumentos, a referida sociedade alegou a ilicitude de tais provas, por suposta violação ao sigilo dos dados.

No voto condutor do acórdão, o Ministro Sepúlveda Pertence destacou que a garantia constante do art. 5º, XII da Constituição Federal abrange apenas a comunicação de dados, e não os dados em si mesmos, armazenados estaticamente. A norma visa a resguardar a privacidade dos interlocutores, seja qual for a espécie de comunicação (por correspondência, telegráfica, de dados ou telefônica). Eis um trecho do voto do Relator, citando Tércio Sampaio Ferraz Júnior:

“O sigilo, no inciso XII do art. 5º, está referido à comunicação, no interesse da defesa da privacidade. Isto é feito, no texto, em dois blocos: a Constituição fala em sigilo ‘da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas’. Note-se, para a caracterização dos blocos, que a conjunção e tem uma correspondência com telegrafia, segue-se uma vírgula e depois, a conjunção de dados com comunicações telefônicas. Há uma simetria nos dois blocos. Obviamente o que se regula é comunicação por correspondência e telegrafia, comunicação de dados e telefônica. O que fere a liberdade de omitir pensamento é, pois, entrar na comunicação alheia, fazendo com que o que devia ficar entre sujeitos que se comunicam privadamente passe ilegitimamente ao domínio de um terceiro. Se alguém elabora para si um cadastro sobre certas pessoas, com informações marcadas por avaliações negativas, e o torna público, poderá estar cometendo difamação, mas não quebra sigilo de dados. Se estes dados, armazenados eletronicamente, são transmitidos, privadamente, a um parceiro, em relações mercadológicas, para defesa do mercado, também não está havendo quebra de sigilo. Mas se alguém entra nessa transmissão como um terceiro que nada tem a ver com a relação comunicativa, ou por ato próprio ou porque uma das partes lhe cede o acesso indevidamente, estará violado o sigilo de dados.”[32]

De qualquer modo, a conclusão de que o artigo 5º, inciso XII, da Constituição Federal tem por objeto a comunicação – por correspondência, telegráfica, de dados ou telefônica – não significa que os dados em si sejam desprovidos de proteção jurídica. Apenas que o locus dessa proteção encontra-se em dispositivo diverso, qual seja, o inciso X do mesmo artigo, desde que inseridos na esfera da privacidade.

Importante notar, também, a existência de circunstâncias peculiares nas quais o âmbito da privacidade é restringido em prol de outros valores. Quanto aos atos da Administração Pública, por exemplo, a regra é a de que a privacidade seja substituída pela ampla publicidade, a fim de facilitar a fiscalização e o controle, como destaca o Ministro Celso de Mello:

“(…) os estatutos do poder, numa República fundada em bases democráticas, não podem privilegiar o mistério.(…)

A Assembléia Nacional Constituinte, em momento de feliz inspiração, repudiou o compromisso do Estado com o mistério e com o sigilo, que fora tão fortemente realçado sob a égide autoritária do regime político anterior.

Ao dessacralizar o segredo, a Assembléia Constituinte restaurou velho dogma republicano e expôs o Estado, em plenitude, ao princípio democrático da publicidade, convertido, em sua expressão concreta, em fator de legitimação das decisões e dos atos governamentais.(…)

O novo estatuto político brasileiro – que rejeita o poder que oculta e que não tolera o poder que se oculta – consagrou a publicidade dos atos e das atividades estatais como expressivo valor constitucional, incluindo-o, tal a magnitude desse postulado, no rol dos direitos, das garantias e das liberdades fundamentais, como o reconheceu, em julgamento plenário, o Supremo Tribunal Federal (RTJ 139/712-713, Rel. Min. CELSO DE MELLO).

Impende assinalar, ainda, que o direito de acesso às informações de interesse coletivo ou geral – a que fazem jus os cidadãos e, também, os meios de comunicação social – qualifica-se como instrumento viabilizador do exercício da fiscalização social a que estão sujeitos os atos do poder público.”[33]

elas mesmas razões, as pessoas que exercem função pública, como os detentores de mandato eletivo, também experimentam uma redução em sua esfera de privacidade[34]. Neste caso, deve-se observar um limite, denominado de “mínimo desnudamento”[35] por Gilberto Haddad Jabur.

Mesmo no âmbito privado, as pessoas podem experimentar restrições em sua privacidade, decorrentes do tipo de atividade que desempenham. Para ilustrar, veja-se o seguinte caso, julgado pelo Tribunal Superior do Trabalho[36]. O empregado de uma boate localizada no Estado do Espírito Santo foi fotografado durante o trabalho, em cima do balcão, quando dançava trajando fantasia de super-homem e usando um chapéu com chifres. Esta foto foi posteriormente publicada em jornal de grande circulação. Em virtude disto, o trabalhador sofreu punições na igreja que freqüentava, tendo sido proibido de participar dos trabalhos religiosos, de ler a Bíblia e de receber a Santa Ceia.

Não obstante, o Tribunal Superior do Trabalho entendeu não haver violação à intimidade do rapaz, uma vez o tipo de trabalho por ele desenvolvido, de maneira livre e consciente, implica, por suas próprias características, redução da esfera de privacidade.

É possível citar, ainda, inúmeras exceções à privacidade em matéria criminal. Contudo, para não se distanciar do escopo deste estudo, convém mencionar apenas uma: a gravação de conversa telefônica feita por um dos interlocutores sem o consentimento do outro e independentemente de ordem judicial, quando destinada à prova de um crime. Neste caso, há que se diferenciar dois contextos fáticos. Quando o crime é cometido contra o próprio interlocutor que grava a conversa, o Superior Tribunal de Justiça tem considerado lícita a gravação[37], pois a privacidade não pode se converter em escudo para a prática de delitos. De modo diverso, em se tratando de gravação na qual um dos interlocutores obtém prova de crime cometido pelo outro, não contra si, mas contra um terceiro, o entendimento jurisprudencial é no sentido de que tal prova é ilícita[38], por violação da privacidade.

Feitas essas considerações, passa-se a analisar o modo como os dados são comumente coletados via internet, bem como a atividade das pessoas jurídicas especializadas em geri-los e armazená-los.

5. Coleta, gestão e armazenamento de dados de outrem e os novos contornos da privacidade na sociedade da informação.

Ao se consolidar como importante ferramenta social e profissional, a internet ampliou o acesso ao conhecimento e impulsionou o desenvolvimento de outras tecnologias. Porém, como qualquer inovação, trouxe consigo problemas, como violações à privacidade por meio da utilização indevida de dados pessoais. Há quem sugira, como o filósofo francês Pierre Lévy, que a internet acabou por alterar a própria noção de público e privado[39].

Com efeito, o simples ato de efetuar uma busca no Google[40] colabora para a formação de um imenso banco de dados[41]. Ao procurar determinado site, a pessoa acaba revelando aspectos de sua personalidade, como preferências políticas, religiosas, desportivas, gastronômicas, etc. Devidamente sistematizadas, tais informações adquirem valor econômico:

“(…) na chamada new economy, cresce de forma exponencial a importância econômica do conhecimento de dados pessoais dos usuários porque essas informações permitem a empresas atuantes em determinados setores delinear o mercado de determinado produto ou serviço. De fato, as informações que permitem identificar o perfil de um consumidor-usuário viabilizam a criação de oferta de determinado produto ou serviço bastante próxima daquilo que ele está propenso a adquirir ou a fruir. Assim, essas informações assumem valor socioeconômico para as empresas interessadas, que utilizam a tecnologia telemática para o tratamento e a gestão desses dados, promovendo uma divulgação comercial ágil, eficaz e bem mais econômica do que qualquer campanha publicitária realizada nos moldes tradicionais.”[42]

Para se ter uma idéia da dimensão e confiabilidade desse banco de dados online, a equipe do Google descobriu que ao monitorar o número de buscas relacionadas ao assunto gripe na internet, é possível antecipar a chegada de epidemias dessa doença com até quinze dias de antecedência em relação às fontes oficiais[43]. Por essas e outras razões, diz-se que a sociedade contemporânea pode ser identificada como a sociedade da informação[44]. Neste novo ambiente social mostra-se ainda mais evidente a necessidade de ponderar valores, de modo a evitar que a tutela de um deles acabe por anular os outros, como destaca Stefano Rodotà:

“Internet, portanto, como sabemos todos, não é apenas um modelo, é também um espaço. É um espaço social, um espaço político, um espaço econômico, um espaço altamente simbólico, que permite novas formas de representação do ser, incide sobre a identidade, permite novas formas de expressão e de experiência artística. Não são espaços separados. Não se pode pensar a internet fracionando-a. (…).

Devemos encontrar, então, não somente normas específicas para cada um desses espaços, mas normas de compatibilidade, que impeçam, por exemplo, a dinâmica econômica de se fortalecer e se ocultar na rede. Isto não significa anular as potencialidades da internet como grande espaço público de confronto e de discussão.” [45]

Nesse ambiente pluralista, a coleta eletrônica de dados pessoais pode se dar sem o consentimento do interessado – o que é mais comum –, ou de forma consentida. No primeiro caso, sua obtenção é comumente realizada por meio de um arquivo de computador denominado cookie[46]. Pesquisa realizada por uma organização norte-americana, denominada Centro de Informações acerca da Privacidade Eletrônica, concluiu que dentre os 100 (cem) sites mais visitados do mundo cerca de 24% utilizavam-se de cookies para captar dados pessoais dos usuários, sem informá-los a respeito[47].

Além dos cookies, existem outros mecanismos subliminares de obtenção de dados pessoais. Um deles é a prática conhecida como phishing[48]. Esta palavra da língua inglesa significa pesca e consiste numa estratégia ardilosa por meio da qual um sujeito, denominado phisher (pescador), busca iludir sua vítima, fazendo com que ela lhe forneça dados pessoais, sobretudo senhas bancárias e números de cartão de crédito. Essa espécie de fraude é perpetrada, principalmente, pelo envio de um e-mail à vítima, contendo informação falsa, como, por exemplo, a de que a pessoa está sendo processada, sua declaração de imposto de renda foi retida na “malha fina” ou seu nome foi inscrito em cadastro de inadimplentes. Em seguida, o e-mail solicita que a vítima clique em determinado link para saber mais detalhes. Ao fazer isto, ou instala-se um programa em seu computador capaz de captar dados pessoais (worm), ou ela é direcionada a um site falso, no qual deve preencher um formulário com tais dados. Com isso, o phisher obtém as informações que deseja.

Existem vários outros mecanismos para coleta ilícita de dados pessoais. Porém, nos limites deste estudo, bastam as referências feitas acima. O importante é destacar que, seja em virtude dos cookies, seja por meio de phishing, o titular dos dados não tem ciência de sua coleta nem, tampouco, da maneira como serão utilizados. Esta utilização pode ir desde a formação de um simples cadastro até a comercialização dos dados, ou mesmo sua utilização para a prática de fraudes bancárias, acarretando a subtração de valores[49].

Ao lado da obtenção clandestina, existem também hipóteses nas quais é o próprio interessado quem fornece dados pessoais a um terceiro. Algumas sociedades empresárias, inclusive, têm por objeto precipuamente coletar, gerir e armazenar esses dados. É o caso, por exemplo, da Recall, sociedade que atua no Brasil e em mais de 20 países, com cerca de 80.000 clientes. Sua atividade empresarial consiste em gerenciar os dados de seus clientes durante todo o processo, desde o armazenamento e recuperação de documentos, até a conversão digital, proteção e destruição segura[50].

No Brasil, a Recall atua, por exemplo, gerenciando o arquivo processual dos Tribunais de Justiça dos Estados de São Paulo, Minas Gerais, Rio de Janeiro e Porto Alegre, tanto em relação aos processos em papel quanto àqueles mantidos integralmente em meio eletrônico.

Estando devidamente contextualizada a coleta, gestão e armazenamento de dados, os tópicos seguintes dedicam-se ao objeto central deste estudo, a responsabilidade civil inerente a essas atividades.

6. Noções fundamentais de responsabilidade civil.

A responsabilidade constitui um dos mais complexos e relevantes temas da convivência humana, não se restringido à esfera jurídica. Nesse sentido, destaca José de Aguiar Dias:

“Toda manifestação da atividade humana traz em si o problema da responsabilidade. Isto talvez dificulte o problema de fixar o seu conceito, que varia tanto como os aspectos que pode abranger, conforme as teorias filosófico-jurídicas.(…)

Digamos, então, que responsável, responsabilidade, assim como, enfim, todos os vocábulos cognatos, exprimem idéia de equivalência de contraprestação, de correspondência. É possível, diante disso, fixar uma noção, sem dúvida ainda imperfeita, de responsabilidade, no sentido de repercussão obrigacional (não interessa investigar a repercussão inócua) da atividade do homem. Como esta varia até o infinito, é lógico concluir que são também inúmeras as espécies de responsabilidade, conforme o campo em que se apresenta o problema: na moral, nas relações jurídicas, de direito público ou privado.

A responsabilidade não é fenômeno exclusivo da vida jurídica, antes se liga a todos os domínios da vida social.”[51]

Ao presente estudo interessam apenas as feições jurídicas da responsabilidade, sobretudo em Direito Privado, ainda que se aborde, acessoriamente, a teoria do risco no Direito Público[52], como fundamento da responsabilidade objetiva.

Nesse contexto exclusivamente jurídico, Ronaldo Brêtas traz uma definição bastante didática de responsabilidade civil:

“Em sentido amplo, responsabilidade civil é a obrigação imposta a qualquer pessoa de reparar o dano causado a outrem em decorrência de seus atos, ou pela atividade de pessoas ou coisas dela dependentes.”[53]

Ainda que não se pretenda percorrer as diversas classificações e meandros da responsabilidade civil, faz-se necessário, ao menos, mencionar alguns aspectos fundamentais.

Primeiro, a importante evolução ocorrida nesse instituto a partir de Lex Aquilia[54], que o aproximou da feição atual, pois a execução deixou de recair sobre o corpo do devedor[55], passando a alcançar apenas o seu patrimônio[56].

Em seguida, deve-se fazer referência à regra básica, segundo a qual cada indivíduo responde apenas pelos danos que causar (responsabilidade própria, pessoal ou direta). Excepcionalmente, no entanto, há casos em que um sujeito pode ser responsabilizado pelos danos causados por outra pessoa, ou por objetos e animais. Esta exceção, denominada de responsabilidade civil pelo fato de outrem, foi magistralmente tratada por Alvino Lima, ex-professor catedrático de Direito Civil da USP[57]. São exemplos de responsabilidade civil pelo fato de outrem: a dos pais em relação aos filhos menores, que estejam sob seu pátrio poder e em sua companhia, e a do empresário em relação aos atos cometidos por seus prepostos[58].

Sobre a responsabilidade pelo fato de outrem, no Direito italiano, leciona Alberto Trabucchi:

“Ao lado da situação normal na qual o dano é diretamente um produto do sujeito, são particularmente reguladas algumas hipóteses nas quais o evento danoso é obra direta ou de outras pessoas, ou de coisas, ou de animais. Nestes casos, como resultará do quanto temos exposto em todo o parágrafo, a doutrina moderna tende a afirmar com decisão que a obrigação de ressarcimento prescinde da consideração dos normais pressupostos de um ilícito.”[59]

Conquanto encontre divergências na doutrina, outra classificação relevante é a que distingue a responsabilidade civil de origem contratual daquela extracontratual:

“Não constitui opinião pacífica a sustentação da doutrina clássica da existência de duas responsabilidades distintas – a contratual e a extracontratual.(…)

A teoria clássica da distinção entre a responsabilidade contratual e a extracontratual sustenta a existência de uma verdadeira diferença de natureza, separando-as.(…)

A responsabilidade contratual é, conseqüentemente, um efeito do contrato não executado, o qual não desaparece, mas toma forma distinta de uma obrigação de reparação dos danos decorrentes do inadimplemento.

Daí a razão por que certos autores estudam a responsabilidade contratual como um dos efeitos da obrigação, ao passo que a responsabilidade extracontratual é estudada como uma das fontes das obrigações.(…)

Em sentido oposto, a teoria da unidade das responsabilidades nega a existência de duas responsabilidades distintas: uma contratual e outra extracontratual. Para essa doutrina, ambas as responsabilidades decorrem da culpa, existindo absoluta similitude entre as mesmas. Tanto na responsabilidade contratual como na delitual, o devedor responde pelos danos decorrentes de sua culpa, não se distinguindo a culpa contratual da culpa delitual, visto não existir diferença entre as naturezas dessas culpas. O ato pelo qual o devedor não executa sua obrigação contratual constitui uma culpa, sendo anormal sua conduta, tal como a inexecução de uma obrigação extracontratual.(…)

Afastando-se do extremismo das duas teorias, autores existem que sustentam que, na sua essência, as duas responsabilidades se confundem, não se justificando, substancialmente, a dualidade de responsabilidades.

Não existe diferença fundamental entre as referidas responsabilidades, mas apenas diferenças acessórias, de sorte que não há uma similitude perfeita entre elas.

Examinando os elementos constitutivos da responsabilidade, verificamos, quer no domínio contratual, como no delitual, que as soluções são idênticas.

Três condições são necessárias em ambos os casos: um dano, uma culpa, e o laço de causalidade entre a culpa e o dano.

Verifica-se, portanto, que as duas responsabilidades são institutos da mesma natureza com destinos paralelos.

Todavia, essa similitude não importa em concluir que não existam diferenças acessórias incontestáveis, que nos levam à obrigação de aplicar regras particulares nos casos de responsabilidade contratual, diferentes das que regem a responsabilidade delitual.”[60]

Uma das conseqüências práticas da distinção entre responsabilidade contratual e extracontratual é que, nesta, o ônus da prova quanto aos elementos caracterizadores do dever de ressarcir incumbe ao autor da ação, enquanto naquela cumpre ao réu demonstrar o adimplemento do contrato.

Feitas essas considerações, resta tratar de um derradeiro aspecto: ato ilícito não é sinônimo de responsabilidade civil[61]. Ainda que a regra, na esmagadora maioria dos casos, seja que o ato ilícito cause um dano, incidindo a responsabilidade civil, não se pode desprezar o fato de que existem certos atos ilícitos que não causam dano indenizável. Ou o inverso: atos que, não obstante lícitos, acarretam a responsabilidade civil[62]. Explique-se.

Há certas espécies de ato ilícito cujo resultado não é a produção de um dano indenizável. Seu efeito pode se restringir, por exemplo, à perda de um direito. Assim ocorre com o herdeiro que sonegar bens, omitindo-os da colação, pois perde o direito que sobre eles poderia ter[63]. Outros ilícitos, ainda, têm como conseqüência uma autorização para que determinado sujeito pratique um ato. É o que se verifica quanto à ingratidão do donatário, cujo efeito é a faculdade, conferida ao doador, de revogar a doação[64].

De outra sorte, até mesmo um ato lícito, em circunstâncias excepcionais, pode acarretar a responsabilidade civil. É o que se passa com os atos praticados em estado de necessidade[65] que, de algum modo, causem danos a outrem[66]. Exemplificando, o indivíduo que colide seu veículo com automóvel alheio, a fim de se livrar de um seqüestro, não comete ato ilícito, em virtude do estado de necessidade. Porém, ainda assim é obrigado a ressarcir os prejuízos que causou ao proprietário do veículo danificado.

Percebendo essas sutilezas, Felipe Peixoto Braga Netto, valendo-se das lições de Pontes de Miranda, formulou uma classificação dos ilícitos civis, na qual apenas uma de suas espécies, denominada ilícito indenizante, acarreta a incidência da responsabilidade civil. Nas demais, a conseqüência do ato não é a obrigação de reparar um dano[67].

7. Responsabilidade Objetiva e Teoria do Risco.

Dentre os sistemas configuradores da responsabilidade civil, destacam-se os da responsabilidade subjetiva e objetiva. O primeiro caracteriza-se pela presença concomitante de três requisitos: conduta antijurídica, dano e nexo de causalidade entre os dois primeiros:

“Em princípio, a responsabilidade civil pode ser definida como a obrigação de reparar o dano, imposta a todo aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito ou causar dano a outrem (Código Civil art. 159) [equivalente ao art. 927 do Código Civil de 2002]. Deste conceito extraem-se os seus requisitos essenciais: a) em primeiro lugar, a verificação de uma conduta antijurídica, que abrange comportamento contrário a direito, seja por comissão ou omissão, sem necessidade de indagar se houve ou não o propósito de malfazer; b) em segundo lugar, a existência de um dano, tomada a expressão no sentido de lesão a bem jurídico, seja este de ordem material ou imaterial, de natureza patrimonial ou não-patrimonial; c) e, em terceiro lugar, o estabelecimento de um nexo de causalidade entre uma e outro, de forma a precisar-se que o dano decorre da conduta antijurídica (…)”[68]

Já a responsabilidade civil objetiva recebe esta denominação pelo fato de que a ela não interessa o elemento subjetivo, ou seja, a ação ou omissão voluntária, negligência, imperícia ou imprudência. Bastam a demonstração do dano e o nexo de causalidade entre ele e o sujeito causador, desde que inexista qualquer causa excludente, como a culpa exclusiva da vítima:

“A obrigação de indenizar é imposta em lei a algumas pessoas, independentemente da prática de ato ilícito. Pressupõe este uma ação, ou omissão, voluntária, negligência ou imprudência. Por isso, quando o dano à integridade física ou patrimonial de alguém é causado sem culpa do agente, não se pode afirmar que cometeu delito civil. Se, nesses casos, a obrigação de reparar civilmente o dano não tem sua causa geradora no ato ilícito, não se deveria falar em responsabilidade, que é uma idéia moral, inseparável da imputabilidade. Contudo, usa-se o vocábulo para significar a obrigação de ressarcimento do dano causado sem culpa, acrescentando-se que é objetiva, para distingui-la da responsabilidade própria, que é necessariamente subjetiva. Na verdade, porém, o dever de indenizar o dano produzido sem culpa é antes uma garantia do que propriamente responsabilidade.”[69]

Como destacado por Orlando Gomes, na passagem anterior, a responsabilidade civil objetiva tem uma função garantista, pois visa a evitar que um dano deixe de ser ressarcido em virtude da dificuldade de se provar o dolo ou a culpa de quem o causou. Em regra, o fundamento dessa garantia é o fato de que algumas atividades, por sua própria natureza, geram um risco de lesão aos direitos de outrem. Assim, quem exerce tais atividades deve assumir os danos dela decorrentes, ainda que não atue com dolo ou culpa. A isto se denomina teoria do risco[70].

No âmbito do Direito Público[71], o Supremo Tribunal Federal já se pronunciou reiteradas vezes, afirmando que o artigo 37, §6º da Constituição Federal[72] consagra a responsabilidade objetiva do Estado, baseada na teoria do risco administrativo. Para ilustrar, destaca-se a seguinte decisão monocrática do Ministro Celso de Mello:

“Como se sabe, a teoria do risco administrativo, consagrada em sucessivos documentos constitucionais brasileiros, desde a Carta Política de 1946, revela-se fundamento de ordem doutrinária subjacente à norma de direito positivo que instituiu, em nosso sistema jurídico, a responsabilidade civil objetiva do Poder Público, pelos danos que seus agentes, nessa qualidade, causarem a terceiros (CF, art. 37, § 6º).

Essa concepção teórica, que informa o princípio constitucional da responsabilidade civil objetiva do Poder Público, faz emergir, da mera ocorrência de ato lesivo causado à vítima pelo Estado, o dever de indenizá-la pelos danos sofridos, independentemente de caracterização de culpa dos agentes estatais (…).

É certo, no entanto, que o princípio da responsabilidade objetiva não se reveste de caráter absoluto, eis que admite o abrandamento e, até mesmo, a exclusão da própria responsabilidade civil do Estado, nas hipóteses excepcionais configuradoras de situações liberatórias – como o caso fortuito e a força maior – ou evidenciadoras de ocorrência de culpa atribuível à própria vítima (RDA 137/233 – RTJ 55/50 – RTJ 163/1107-1109, v.g.).

Impõe-se destacar, neste ponto, na linha da jurisprudência prevalecente no Supremo Tribunal Federal (RTJ 163/1107-1109, Rel. Min. CELSO DE MELLO), que os elementos que compõem a estrutura e delineiam o perfil da responsabilidade civil objetiva do Poder Público compreendem (a) a alteridade do dano, (b) a causalidade material entre o ‘eventus damni’ e o comportamento positivo (ação) ou negativo (omissão) do agente público, (c) a oficialidade da atividade causal e lesiva imputável a agente do Poder Público, que, nessa condição funcional, tenha incidido, como na espécie, em conduta comissiva, independentemente da licitude, ou não, do seu comportamento funcional (RTJ 140/636) e (d) a ausência de causa excludente da responsabilidade estatal (…).”[73]

A doutrina diverge acerca do tipo de comportamento suscetível de caracterizar a responsabilidade objetiva no âmbito do Direito Público. Há quem sustente que ela decorre de qualquer ato dos agentes públicos, de sorte que a responsabilidade do Estado seria sempre objetiva[74]. Outros, por sua vez, consideram que somente as condutas comissivas acarretam a responsabilidade objetiva, de sorte que nas omissões do Poder Público faz-se necessário considerar também a culpa[75].

Na jurisprudência do Supremo Tribunal Federal predomina este segundo entendimento, conforme se verifica da seguinte ementa:

“Tratando-se de ato omissivo do poder público, a responsabilidade civil por tal ato é subjetiva, pelo que exige dolo ou culpa, esta numa de suas três vertentes, a negligência, a imperícia ou a imprudência, não sendo, entretanto, necessário individualizá-la, dado que pode ser atribuída ao serviço público, de forma genérica, a falta do serviço.

A falta do serviço – faute du service dos franceses – não dispensa o requisito da causalidade, vale dizer, do nexo de causalidade entre a ação omissiva atribuída ao poder público e o dano causado a terceiro.”[76]

Em matéria criminal, por exemplo, considera-se que o Poder Público responde pelos danos causados por criminosos que se evadiram de estabelecimento prisional, quando evidente a deficiência em sua fiscalização[77]. A contrario sensu, não havendo prova cabal dessa falha inexiste o dever de indenizar[78].

Encerra-se essa breve incursão no Direito Público mencionando a decisão do Conselho de Estado da França, que reconheceu a responsabilidade desse Estado por ato omissivo, determinando que indenizasse os trabalhadores que desenvolveram moléstias em decorrência da exposição ao amianto. Referido órgão baseou-se no fato de que diversos estudos científicos já demonstravam o potencial lesivo do amianto. Não obstante, foi somente em 1977 que a França adotou a primeira medida concreta visando a proteger a saúde das pessoas que laboravam em contato com essa substância[79].

No âmbito do Direito Privado brasileiro, assim dispõe o artigo 927 do Código Civil:

“Art. 927. Aquele que, por ato ilícito (arts. 186 e 187), causar dano a outrem, fica obrigado a repará-lo.

Parágrafo único. Haverá obrigação de reparar o dano, independentemente de culpa, nos casos especificados em lei, ou quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem.”

Enquanto o caput consagra, como regra geral, a responsabilidade subjetiva, o parágrafo único do mencionado artigo prevê hipóteses excepcionais em que a responsabilização independe de culpa.

Quanto ao parágrafo único, perceba-se que a responsabilidade objetiva ali prevista apresenta fundamentos diversos. Em primeiro lugar, tem-se a responsabilidade decorrente de previsão legal, que poderá incidir sobre qualquer atividade, independentemente de sua natureza, pois guiada por argumentos de política legislativa[80]. Já a parte final do dispositivo, valendo-se de conceito jurídico indeterminado[81], trata da responsabilidade objetiva baseada na teoria do risco[82].

Note-se que o citado artigo 927 não é o único dispositivo do Código Civil que trata da responsabilidade objetiva. Existem outros, como os artigos 931 e 932, que assim dispõem:

“Art. 931. Ressalvados outros casos previstos em lei especial, os empresários individuais e as empresas respondem independentemente de culpa pelos danos causados pelos produtos postos em circulação.”

“Art. 932. São também responsáveis pela reparação civil:(…)

III – o empregador ou comitente, por seus empregados, serviçais e prepostos, no exercício do trabalho que lhes competir, ou em razão dele;”

Mesmo fora do Código Civil são muitos os regimes jurídicos específicos nos quais se aplica a responsabilidade objetiva. As relações de consumo são um bom exemplo[83]. Porém, não é o escopo deste estudo detalhar tais regimes, sendo suficientes as linhas gerais delineadas até aqui. Por isso, passa-se, agora, a enfocar resumidamente as causas suscetíveis de afastar a responsabilidade civil.

8. As excludentes de responsabilidade civil.

Como já dito, a responsabilidade civil objetiva caracteriza-se pela presença concomitante de três requisitos: um dano indenizável, uma conduta comissiva ou omissiva e o nexo de causalidade entre eles, dispensada a prova do elemento subjetivo (dolo ou culpa), uma vez que o dever de ressarcir decorre de disposição legal expressa ou do risco inerente à própria atividade. Presentes esses requisitos, apenas em hipóteses excepcionais pode ser afastada a responsabilização, como adverte Alvino Lima:

“Se a responsabilidade é determinada ‘independentemente de culpa’, é óbvio que não se tem em conta a culpabilidade do autor do ato danoso, e, conseqüentemente, estamos em face de uma responsabilidade objetiva. Pouco importa que o autor do dano tenha ou não empregado ‘medidas preventivas tecnicamente adequadas’ para evitar o dano, ou seja, pouco importa que ele tenha sido rigorosamente diligente, extremamente cauteloso. A lei impondo-lhe objetivamente a responsabilidade, não lhe permite a prova em contrário de sua diligência ou mesmo ultradiligência. Só a força maior, o caso fortuito, a culpa da própria vítima ou de terceiro poderão eximi-lo da responsabilidade.”[84]

No trecho citado estão elencadas as chamadas causas excludentes da responsabilidade civil: caso fortuito, força maior, culpa exclusiva da vítima e culpa exclusiva de terceiro.

Caso fortuito e força maior consubstanciam tema que está longe de ser pacífico na doutrina. Ainda que a generalidade dos autores esteja de acordo quanto à distinção entre esses conceitos, há forte divergência acerca da definição de cada um[85]. Ora eles são extremados pelo fato de que o caso fortuito relaciona-se a comportamentos humanos, como a guerra ou a greve, enquanto a força maior decorreria de acontecimentos da natureza, como terremoto, enchente, etc., ora se entende que a distinção residiria na imprevisibilidade do caso fortuito, ao passo que a força maior, ainda que previsível, seria inevitável.

Felizmente, não é preciso ater-se à bizantina discussão doutrinária, uma vez que o Código Civil[86] lhes atribui a mesma conseqüência prática: exclusão da responsabilidade civil quando o dano decorrer, exclusivamente, de caso fortuito ou força maior[87]. O Superior Tribunal de Justiça também não costuma fazer distinção entre esses conceitos[88].

Prosseguindo, a segunda causa excludente da responsabilidade civil é a culpa exclusiva da vítima, que, como o próprio nome sugere, consiste na circunstância de o dano ter sido causado, unicamente, por uma conduta comissiva ou omissiva da vítima. Neste caso, também não há que se falar em responsabilidade civil, pois exigir a reparação de um dano causado por si mesmo constituiria comportamento contraditório[89], além de violar a boa-fé[90].

Por fim, a última causa excludente é a culpa exclusiva de terceiro. Logicamente, quando se busca a reparação de um dano contra pessoa que em nada contribuiu para que ele ocorresse, não se afigura presente o nexo de causalidade, pressuposto da responsabilidade civil.

Perceba-se, então, que as excludentes arroladas acima afastam o próprio nexo de causalidade. Tal conclusão é partilhada pela generalidade dos autores[91], mesmo por aqueles que pretendem conferir máxima extensão à responsabilidade objetiva[92].

O que se discute, portanto, não é a existência de tais excludentes, mas sim os limites de sua aplicação, sobretudo em face da responsabilidade objetiva que, como já alertado, constitui mais uma garantia da vítima do que propriamente uma responsabilidade. Sua função, repita-se, é evitar que um dano deixe de ser ressarcido em virtude da dificuldade de se provar o dolo ou a culpa de quem o causou.

Assim, em relação à responsabilidade objetiva, as excludentes devem ser aplicadas com parcimônia, sob pena de subverterem a própria finalidade desse regime especial[93].

Na prática, entretanto, não é isto o que se verifica. Quando se trata de responsabilizar o Estado ou suas concessionárias de serviço público, a jurisprudência é pródiga na aplicação das excludentes. Dentre os muitos exemplos, mencione-se o reconhecimento de caso fortuito ou força maior, exonerando as concessionárias de transporte público quando passageiros de ônibus[94] ou usuários do metrô[95] são assaltados nesses locais. O argumento é que a incidência da responsabilidade objetiva nessas situações converteria o Estado e suas concessionárias em seguradores universais, já que não foram os causadores imediatos do dano[96].

Prova inequívoca dessa tendência foi dada pelo leading case que restringiu a aplicação da responsabilidade objetiva dos prestadores de serviço público apenas aos danos sofridos pelos usuários desse serviço, de sorte que às demais vítimas competiria provar a falha (faute du service), sob pena de não serem ressarcidas. Nas palavras do Relator, Ministro Carlos Velloso:

“Não se discute, no caso, a responsabilidade objetiva da concessionária de serviço público — serviço de transporte coletivo. O que se discute é se a responsabilidade objetiva dos concessionários se estende aos não-usuários do serviço.(…)

A responsabilidade objetiva das pessoas privadas prestadoras de serviço público ocorre em relação ao usuário do serviço e não relativamente a pessoas não integrantes dessa relação.(…)

Essa me parece, na verdade, a melhor interpretação do dispositivo constitucional, no concernente às pessoas privadas prestadoras de serviço público: o usuário do serviço público que sofreu um dano, causado pelo prestador do serviço, não precisa comprovar a culpa deste. Ao prestador do serviço é que compete, para o fim de mitigar ou elidir a sua responsabilidade, provar que o usuário procedeu com culpa, culpa em sentido largo. É que, conforme lição de Romeu Bacellar, ‘é o usuário detentor do direito subjetivo de receber um serviço público ideal’. A ratio do dispositivo constitucional que estamos interpretando parece-me mesmo esta: porque o ‘usuário é detentor do direito subjetivo de receber um serviço público ideal’, não se deve exigir que, tendo sofrido dano em razão do serviço, tivesse de provar a culpa do prestador desse serviço.

Fora daí, vale dizer, estender a não-usuários do serviço público prestado pela concessionária ou permissionária a responsabilidade objetiva — CF, art. 37, § 6º — seria ir além da ratio legis.”[97]

No âmbito privado, porém, as excludentes de responsabilidade civil têm alcance mais restrito. A jurisprudência consolidou-se no sentido de que algumas atividades, por sua própria natureza, são suscetíveis de causar dano aos direitos de outrem. Por isso, nessas atividades, a responsabilização faz parte do risco natural do negócio, sendo até previsível, razão pela qual a incidência das excludentes se restringe a casos absolutamente excepcionais.

As atividades bancárias são um bom exemplo. A ocorrência de furtos e roubos no interior das agências[98] ou do estacionamento do banco[99], a entrega indevida de cartões[100], bem como a vulnerabilidade de seus sistemas eletrônicos[101], acarretam a responsabilidade objetiva da instituição financeira, sendo inaplicáveis as excludentes de caso fortuito e força maior, porque essas situações são previsíveis e constituem risco inerente à própria atividade, também chamado de risco interno do negócio.

Diversamente, a culpa exclusiva da vítima é motivo idôneo para afastar a responsabilidade civil, porque a utilização indevida do produto ou serviço, por quem foi devidamente informado a respeito de suas características, não se insere no risco natural do negócio (risco interno). Ao contrário, consubstancia fator externo e absolutamente imponderável, pelo qual o empresário não pode ser responsabilizado, por não haver nexo de causalidade entre sua conduta e o dano. Do contrário, haveria enriquecimento ilícito da vítima, em decorrência de um comportamento contraditório[102] (pleitear de outrem o ressarcimento de um dano causado por si mesmo).

Por fim, a culpa exclusiva de terceiro insere-se numa posição intermediária. Não é peremptoriamente afastada – como o caso fortuito ou a força maior – nem, tampouco, elimina automaticamente o nexo de causalidade – tal como ocorre com a culpa exclusiva da vítima.

A questão deve ser analisada caso a caso, pois a culpa exclusiva de terceiro somente é idônea para afastar a responsabilidade civil objetiva quando decorrer de evento absolutamente imprevisível e inevitável, corporificando um risco externo ao negócio. Atendo-se ao exemplo dos serviços bancários, a ocorrência de furto ou roubo de talões de cheque, durante o transporte por empresa terceirizada, não afasta a responsabilidade da instituição financeira, visto que se trata de risco previsível e inerente a essa atividade. Ou seja, a culpa exclusiva de terceiro, nas hipóteses de responsabilidade objetiva, pressupõe a perfeita execução das atividades a cargo do devedor, aplicando-se apenas quando decorrente de ato absolutamente imprevisível e inevitável de um terceiro[103].

Em suma, nas “atividades de risco”, segundo o conceito jurídico indeterminado do artigo 927, parágrafo único, do Código Civil, não se aplicam as excludentes de responsabilidade, salvo a culpa exclusiva da vítima e a culpa exclusiva de terceiro (esta última apenas em caso de risco externo ao negócio).

Note-se, por derradeiro, que as excludentes de responsabilidade civil, ora examinadas, não se confundem com as excludentes de ilicitude do ato jurídico, com esclarece Felipe Peixoto Braga Netto:

“Não se deve confundir excludentes de ilicitude (estado de necessidade, legítima defesa, e exercício regular de direito) com as excludentes de responsabilidade civil (caso fortuito, força maior e culpa exclusiva da vítima).

As excludentes de ilicitude retiram a contrariedade ao direito da conduta, mas não isentam, de modo absoluto, o responsável pela reparação dos danos (no estado de necessidade o ato, apesar de lícito, é indenizável; na legítima defesa com erro na execução, embora lícita, gera o dever de indenizar os terceiros atingidos). Já as excludentes de responsabilidade civil, por romperem o nexo de causalidade, afastam o próprio dever de reparar os danos.”[104]

Situadas as balizas fundamentais do tema, antecedente necessário das considerações específicas, passa-se, agora, à análise da responsabilidade civil pela coleta, gestão e armazenamento de dados de terceiro.

9. Responsabilidade civil pela coleta, gestão e armazenamento de dados de outrem.

É possível que o leitor esteja se perguntando por qual razão não se cuidou, desde o início, da responsabilidade civil pela coleta, gestão e armazenamento de dados de outrem, tendo-se optado por percorrer diversos assuntos.

A resposta reside no fato de que os conceitos abordados anteriormente são conexos ao tema central e absolutamente indispensáveis a sua fundamentação técnica. Não se poderia expor uma conclusão válida sem, antes, contextualizar o tema e demonstrar sua importância prática. Por isso a adoção de tópicos preliminares.

Com efeito, é justamente a fundamentação preliminar que permite imprimir a este tópico um caráter conciso e opinativo, sem que tais opiniões possam ser acoimadas de mero devaneio.

Feita essa necessária ressalva, passa-se, agora, a cuidar especificamente da responsabilidade civil pela coleta, gestão e armazenamento de dados de outrem.

De início, convém diferenciar a circunstância na qual os dados são voluntariamente transferidos pelo titular a um terceiro, daquela em que eles são subliminarmente coletados, sem o consentimento do titular.

Como já afirmado, a transferência voluntária de dados é comum no ambiente eletrônico, havendo, inclusive, sociedades empresárias que se dedicam especificamente a essa atividade, como a já mencionada Recall. Neste caso, o mais comum é que as partes celebrem um contrato de adesão disciplinando a coleta, gestão e armazenamento dos dados. Conseqüentemente, apenas a conduta em desconformidade com o pactuado poderia ser apenada, incidindo a responsabilidade contratual, caso em que compete à sociedade contratada o ônus de provar a inexistência do dano[105], excetuada a hipótese de nulidade de alguma cláusula do contrato ou mesmo do negócio jurídico como um todo.

Diversamente, a coleta subliminar de dados, sem o consentimento de seu titular, configura ato ilícito, atraindo a responsabilidade extracontratual. Nesta hipótese, o dano seria presumido, por ofensa à privacidade, mormente no caso de dados pessoais sensíveis, os quais se referem à esfera mais íntima do indivíduo[106]. Nesse sentido, o sólido posicionamento jurisprudencial:

“Quando uma pessoa celebra contrato especificamente com uma empresa e fornece dados cadastrais, a idade, o salário, endereço. É evidente que o faz a fim de atender às exigências do contratante. Contrata-se voluntariamente. Ninguém é compelido, é obrigado a ter aparelho telefônico tradicional ou celular. Entretanto, aquelas informações são reservadas, e aquilo que parece ou aparentemente é algo meramente formal pode ter conseqüências seríssimas; digamos, uma pessoa, um homem, resolva presentear uma moça com linha telefônica que esteja no seu nome. Não deseja, principalmente se for casado, que isto venha a público. Daí, é o próprio sistema da telefonia tradicional, quando a pessoa celebra contrato, estabelece, como regra, que o seu nome, seu endereço e o número constarão no catálogo; entretanto, se disser que não o deseja, a companhia não pode, de modo algum, fornecer tais dados. Da mesma maneira, temos cadastro nos bancos, entretanto, de uso confidencial para aquela instituição, e não para ser levado a conhecimento de terceiros.”[107]

“No sistema jurídico atual, não se cogita da prova acerca da existência de dano decorrente da violação aos direitos da personalidade, dentre eles a intimidade, imagem, honra e reputação, já que, na espécie, o dano é presumido pela simples violação ao bem jurídico tutelado.”[108]

Ademais, a coleta, gestão e armazenamento de dados sujeitam-se à responsabilidade objetiva, variando, conforme a situação concreta, apenas o dispositivo legal em que deve se fundamentar a pretensão.

Nesse sentido, caso se esteja diante de uma relação de consumo entre o titular e o terceiro que capta os dados, a responsabilidade objetiva desponta nítida, por força do Código de Defesa do Consumidor, eis que há prestação de serviço[109]. Não importa que se trate de transferência contratual ou clandestina de dados.

Nas demais relações privadas (empresariais ou civis stricto sensu), a responsabilidade objetiva encontra fundamento na teoria do risco. A atividade de coleta, gestão e armazenamento de dados de outrem, por sua própria natureza, é suscetível de gerar risco para direitos alheios, o chamado risco interno do negócio, que consistiria, justamente, na perda, adulteração ou divulgação não autorizada desses dados, por parte de quem tem o dever de preservá-los. Aplica-se, assim, a segunda parte do artigo 927, parágrafo único, do Código Civil[110].

Percebe-se, então, que a vítima é dispensada de provar o elemento subjetivo – é dizer, dolo ou culpa – do causador do dano. Conseqüentemente, na hipótese de responsabilidade decorrente de vínculo contratual, incumbe à contratada provar a inexistência do dano, enquanto que na responsabilidade extracontratual este é presumido, conforme já se demonstrou.

A fim de eliminar dúvidas, seria de bom alvitre que fosse editada lei específica sobre o assunto, da qual constasse, de modo claro, a responsabilidade objetiva inerente à atividade de coleta, gerenciamento e armazenamento dados de outrem.

Feitas essas considerações, há ainda um aspecto que merece enfoque crítico. Imagine-se a situação em que uma sociedade empresária é contratada para gerenciar os dados de determinado Tribunal de Justiça, incluindo seu arquivo de processos eletrônicos. Caso um dos funcionários dessa sociedade, por conta própria, forneça dados sigilosos a terceiro, de forma não consentida, a pessoa jurídica pode ser responsabilizada?

No mesmo contexto, imagine-se que os processos eletrônicos sejam mantidos numa mídia principal e também em backup, situado em local e mídia diversos. Caso o referido funcionário destrua tanto a mídia principal quanto o backup, a sociedade será responsabilizada? Ou poderá se escusar alegando que tomou todos os cuidados razoáveis para preservar os dados, tendo sua destruição sido conseqüência de uma conduta isolada, imprevisível e sabotadora[111]?

Por fim, se a destruição dos arquivos não decorrer de sabotagem, mas de um incêndio, ainda assim a sociedade poderá ser responsabilizada?

Todas essas indagações dizem respeito à possibilidade de se aplicar as excludentes de responsabilidade civil à atividade de coleta, gestão e armazenamento de dados de terceiro.

Como já se disse, com espeque em Orlando Gomes[112], a responsabilidade objetiva é mais uma garantia da vítima do que propriamente um regime de responsabilização. É sob essa ótica que o instituto deve ser sempre analisado.

Sendo assim, desponta nítido que a aplicação das excludentes de responsabilidade civil ao regime objetivo deve ser feita com muita parcimônia e em casos absolutamente restritos, sob pena de subverter a finalidade desse regime. Evidentemente, sendo a coleta, gestão e armazenamento de dados de outrem submetida à responsabilidade objetiva, tal raciocínio se lhe aplica plenamente.

Com efeito, nos exemplos citados, a possibilidade de perda, adulteração ou divulgação não autorizada de dados faz parte do risco interno do negócio. É justamente para gerenciar esse risco que a sociedade foi contratada. Por isso, em nada lhe acude alegar que o dano foi fruto de desígnio autônomo de um funcionário, pois o Código Civil não admite tal espécie de escusa[113]. Tampouco lhe socorre afirmar que adotou toda a diligência possível para evitá-lo, tendo inclusive mantido backup, sendo a perda decorrente de caso fortuito ou força maior. Ao celebrar o contrato, o titular dos dados transferiu um risco para a sociedade, mediante remuneração proporcional, de modo que ela responde por esse risco, independentemente de culpa.

Ou seja, as excludentes de caso fortuito e força maior não se aplicam à atividade de coleta, gestão e armazenamento de dados de outrem, por se inserirem no risco natural do negócio, sua própria razão de ser.

Já a culpa exclusiva da vítima ou de terceiro devem ser analisadas com as ressalvas do tópico anterior[114].

Ou seja, a culpa exclusiva da vítima é suficiente para afastar a responsabilidade civil uma vez que não se concebe possa ela ser ressarcida por dano do qual foi a única causadora. Admitir o contrário seria privilegiar um comportamento contraditório, propiciando o enriquecimento ilícito da vítima. Assim, prosseguindo no exemplo anterior, se um Tribunal de Justiça determinar à sociedade empresária por ele contratada para gerenciar seu arquivo processual – por meio da pessoa competente e de acordo com contrato – que elimine completamente determinado processo, não poderá a sociedade ser responsabilizada, ainda que se verifique, posteriormente, que a ordem foi dada por engano.

Por fim, a exclusão da responsabilidade civil objetiva com base na culpa exclusiva de terceiro tem lugar apenas quando o dano decorre de conduta absolutamente inevitável e imprevisível, corporificando risco externo ao negócio. Sua aplicação à atividade de coleta, gestão e armazenamento de dados de outrem é bastante improvável, pois, como deveras frisado, a possibilidade de perda, adulteração ou divulgação não autorizada de dados faz parte do risco interno desse negócio, sua própria razão de ser.

Essas, em suma, as principais considerações acerca da responsabilidade civil pela coleta, gestão e armazenamento de dados de outrem.

10. Conclusão.

Com a consolidação das novas tecnologias, intensificaram-se os debates acerca de sua utilização e dos problemas daí advindos. No plano jurídico, uma das facetas dessa discussão diz respeito à privacidade na internet e, mais especificamente, à responsabilidade pela utilização de dados alheios. Com efeito, é cada vez maior o número de dados que trafegam diariamente na internet e nas redes privadas, além dos sistemas de transmissão de arquivos ponto a ponto. Devidamente organizadas, tais informações adquirem relevante valor econômico. Por isso, são cada vez maiores e mais elaborados os expedientes clandestinos que visam a captar dados alheios, como endereços de correio eletrônico, senhas bancárias, perfil de consumo, etc.

Ao lado dessas práticas ilegais, a valorização econômica das informações que circulam no meio eletrônico fez surgir também um novo segmento de mercado, composto justamente por sociedades empresárias que se dedicam, de forma lícita, a prover a necessária segurança na coleta, transmissão e armazenamento desses dados.

Não obstante a importância da matéria, ainda são escassos os estudos científicos que se debruçam sobre ela. Os que foram consultados focavam-se, em sua maioria, na captação ilícita de dados, negligenciando o fato de que também a atividade lícita, desempenhada por empresas especializadas, merece criteriosa análise.

Nesse contexto, o presente estudo pretendeu tecer considerações fundamentadas sobre o tema, tendo como ponto de partida as noções clássicas de responsabilidade civil, notadamente a responsabilidade objetiva. A conclusão a que se chegou foi a de que a ordenação[115] jurídica brasileira, ainda que não apresente lei específica regulamentando o assunto – tal como sucede nos Estados Unidos e na Comunidade Européia – está munido de instrumentos capazes de conferir proteção jurídica a quem se sentir lesado ou ameaçado de sofrer lesão em virtude do uso indevido de seus dados.

Informações Sobre o Autor

Leonardo Netto Parentoni

Mestre em Direito Empresarial pela UFMG.
Professor Licenciado do Centro Universitário UNA
e da Faculdade de Direito Pitágoras.
Procurador Federal.
Representante da Advocacia-Geral da União no Grupo de Trabalho do Conselho Nacional de Justiça encarregado de elaborar a regulamentação da Lei n 11.419/2006, que trata da informatização do processo judicial.