Artigo 42: A Responsabilidade Civil e o Dever de Indenizar
Art. 42. O
controladorcontrolador ou ooperadoroperador que, em razão do exercício de atividade detratamentotratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.§ 1º A fim de assegurar a efetiva indenização ao
titulartitular dos dados: I - ooperadoroperador responde solidariamente pelos danos causados pelotratamentotratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas docontroladorcontrolador , hipótese em que ooperadoroperador equipara-se aocontroladorcontrolador , salvo nos casos de exclusão previstos no art. 43 desta Lei; II - os controladores que estiverem diretamente envolvidos notratamentotratamento do qual decorreram danos aotitulartitular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta Lei.§ 2º O juiz, no processo civil, poderá inverter o ônus da prova a favor do
titulartitular dos dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelotitulartitular resultar-lhe excessivamente onerosa.§ 3º As ações de reparação por danos coletivos que tenham por objeto a responsabilização nos termos do caput deste artigo podem ser exercidas coletivamente em juízo, observado o disposto na legislação pertinente.
§ 4º Aquele que reparar o dano ao
titulartitular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso.
O que isso significa na prática?
Seção intitulada “O que isso significa na prática?”Este artigo trata das consequências financeiras de uma violação de dados. A regra é clara: quem causar dano (seja ele material, moral, a um indivíduo ou a um grupo) por tratar dados de forma irregular, tem a obrigação de indenizar a vítima.
Os pontos mais importantes são:
- Responsabilidade Solidária: A LGPD adota um modelo de responsabilidade conjunta para proteger o
titulartitular . Isso significa que a vítima pode processar tanto ocontroladorcontrolador quanto ooperadoroperador . Quem pagar a indenização pode, depois, cobrar a parte dos outros envolvidos (o “direito de regresso”). - Inversão do Ônus da Prova: Em um processo judicial, o juiz pode inverter o ônus da prova. Na prática, isso significa que a empresa terá que provar que não causou o dano, em vez de o
titulartitular ter que provar a culpa da empresa.
Como se Aplica ao seu Negócio?
Seção intitulada “Como se Aplica ao seu Negócio?”Este artigo transforma a proteção de dados em uma questão de gestão de risco financeiro.
💰 Vazamentos Custam Caro: A principal aplicação é em caso de incidentes de segurança. Se dados de clientes vazam e isso lhes causa prejuízo, sua empresa pode ser obrigada a pagar uma indenização, além de eventuais multas da ANPD.
🤝 Escolha Bem Seus Parceiros: A responsabilidade solidária torna a escolha dos seus operadores (fornecedores) uma decisão estratégica. Se a falha for do seu fornecedor, sua empresa ainda pode ser processada. Por isso, contratos claros e a due diligence são essenciais.
📄 Documentar para se Defender: Com a inversão do ônus da prova, a melhor defesa da sua empresa é a documentação. Manter o Registro das Operações (ROPA) e as evidências das medidas de segurança é fundamental para provar que a empresa agiu corretamente.