O vazamento de dados representa um incidente de segurança que pode acarretar graves prejuízos para os titulares dos dados e para o agente de tratamento que, de acordo com a Lei, tem a responsabilidade de adotar as medidas de segurança necessárias para proteger as informações sob sua guarda.
A LGPD traz disposições expressas sobre essa responsabilidade, estabelecendo que “O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.” (art. 42).
E ainda, que “Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano.” (Art. 44, § único).
O agente de tratamento que der causa ao dano suportado pelo titular, em decorrência de um vazamento de dados, responderá pelos prejuízos.
Mesmo que tenha tomado todas as medidas consideradas adequadas para a proteção dos dados, o agente de tratamento não está isento de sofrer incidentes, por situações internas ou externas.
Independente disso, a sua responsabilidade permanece perante o titular de dados, cabendo ao agente comprovar as medidas de segurança adotadas para, com isso, demonstrar sua boa-fé e os esforços adotados para evitar ou mitigar os riscos.
As hipóteses em que os agentes de tratamento não serão responsabilizados também estão previstos da LGPD, e dependem de comprovação de uma das seguintes situações: a) que não realizaram o tratamento de dados pessoais que lhes é atribuído; b) que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou, c) que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro (Art. 43).
Diante disso, eventuais questões envolvendo possíveis falhas de outras pessoas (prestadores de serviços terceirizados, por exemplo), não retiram o encargo do agente de tratamento de comprovar que suas condutas foram adequadas, em obediência à LGPD e que o incidente (e consequentes danos) decorreram de situações que não lhe incumbiam.
A responsabilização dependerá da análise detalhada do caso concreto, das circunstâncias do incidente e da gravidade dos danos.