A LGPD traz, em seus artigos 42 a 45, os critérios para reparação dos danos causados aos titulares de dados em decorrência de incidentes de segurança.

Entretanto, não restou explicitado na lei qual o regime de responsabilidade que será adotado, ou seja, se será responsabilidade objetiva (aquela em que o agente é responsabilizado independentemente de dolo ou culpa, bastando que haja nexo causal e prova do dano) ou subjetiva (aquela em que há nexo causal entre a conduta do agente e o dano e este agiu com dolo ou culpa), segundo os critérios estabelecidos pelo Direito Civil.

Primeiramente, é preciso salientar que a lei, em nenhum momento, afastou a possibilidade de reconhecer a culpabilidade do controlador ou do operador de dados, o que, portanto, permitiria que a responsabilidade fosse subjetiva.

Em contrapartida, se fosse o caso de responsabilizar o agente objetivamente, ou seja, independentemente de dolo ou culpa, não haveria porque a norma trazer diversas condutas específicas sobre o tratamento de dados, vez que, independente de cumprimento das disposições legais, os agentes poderiam ser responsabilizados.

Em análise aos artigos 42 a 45, é possível verificar que não basta que o agente realize o tratamento de dados pessoais para que seja responsabilizado. É necessário que este viole alguma disposição legal ou deixe de tomar as medidas de segurança adequadas, o que poderia ser entendido como aplicação da responsabilidade subjetiva.

Entretanto, outra corrente entende que, uma vez que a relação entre os titulares de dados e os controladores/operadores seja uma relação de consumo, inclusive com previsão legal no Código de Defesa do Consumidor (artigos 12 e 14), a responsabilidade do agente seria objetiva.

No âmbito judicial já existem diversas decisões que entendem pela responsabilidade objetiva ou subjetiva, conforme o caso concreto. Entretanto, a doutrina criou um novo regime de responsabilidade denominado responsabilidade ativa ou proativa.

Tal regime compreenderia o cumprimento das disposições legais pelo agente, a necessidade de comprovação de sua conformidade com a legislação e que as medidas de segurança aplicadas ao tratamento de dados pessoais são eficazes para que este não seja responsabilizado.

Este entendimento traduz-se na compreensão de que não há ambiente digital intransponível e, então, seria forçoso responsabilizar o controlador ou o operador que aplicou medidas de segurança com a tecnologia disponível e, ainda assim, sofreu um ataque.

Fato é que a ausência de determinação do regime de responsabilidade dá abertura para diversas interpretações da lei, o que fatalmente culmina na provocação do Poder Judiciário para pacificar o tema.

Neste sentido, ganha ainda mais importância a necessidade de uma boa governança em segurança e proteção de dados dentro das organizações, com a criação de políticas e controles internos, bem como mecanismos de prevenção ou mitigação dos riscos.