Artigo 42: A Responsabilidade Civil e o Dever de Indenizar

Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

§ 1º A fim de assegurar a efetiva indenização ao titular dos dados: I - o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei; II - os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta Lei.

§ 2º O juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa.

§ 3º As ações de reparação por danos coletivos que tenham por objeto a responsabilização nos termos do caput deste artigo podem ser exercidas coletivamente em juízo, observado o disposto na legislação pertinente.

§ 4º Aquele que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso.

O que isso significa na prática?

Este artigo trata das consequências financeiras de uma violação de dados. A regra é clara: quem causar dano (seja ele material, moral, a um indivíduo ou a um grupo) por tratar dados de forma irregular, tem a obrigação de indenizar a vítima.

Os pontos mais importantes são:

1. Responsabilidade Solidária: A LGPD adota um modelo de responsabilidade conjunta para proteger o titular. Isso significa que a vítima pode processar tanto o controlador quanto o operador. Quem pagar a indenização pode, depois, cobrar a parte dos outros envolvidos (o “direito de regresso”).

2. Inversão do Ônus da Prova: Em um processo judicial, o juiz pode inverter o ônus da prova. Na prática, isso significa que a empresa terá que provar que não causou o dano, em vez de o titular ter que provar a culpa da empresa.

Como se Aplica ao seu Negócio?

Este artigo transforma a proteção de dados em uma questão de gestão de risco financeiro.

💰 Vazamentos Custam Caro: A principal aplicação é em caso de incidentes de segurança. Se dados de clientes vazam e isso lhes causa prejuízo, sua empresa pode ser obrigada a pagar uma indenização, além de eventuais multas da ANPD.

🤝 Escolha Bem Seus Parceiros: A responsabilidade solidária torna a escolha dos seus operadores (fornecedores) uma decisão estratégica. Se a falha for do seu fornecedor, sua empresa ainda pode ser processada. Por isso, contratos claros e a due diligence são essenciais.

📄 Documentar para se Defender: Com a inversão do ônus da prova, a melhor defesa da sua empresa é a documentação. Manter o Registro das Operações (ROPA) e as evidências das medidas de segurança é fundamental para provar que a empresa agiu corretamente.

Transforme a Teoria em Prática.

Evitar o dano é a melhor forma de evitar a indenização. Mapear riscos e implementar controles robustos são passos essenciais para proteger os dados e o caixa da sua empresa. A Consultoria da MSPA ajuda a realizar essa análise de risco de forma estruturada, preparando sua empresa para prevenir incidentes e, se necessário, para se defender de forma eficaz.

Conheça nossa Consultoria