Artigo 43: As Exceções – Quando a Empresa Não é Responsável pelo Dano
Art. 43. Os
agentes de tratamento só não serão responsabilizados quando provarem: I - que não realizaram otratamento de dados pessoais que lhes é atribuído; II - que, embora tenham realizado otratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou III - que o dano é decorrente de culpa exclusiva dotitular dos dados ou de terceiro.
O que isso significa na prática?
Seção intitulada “O que isso significa na prática?”Enquanto o Artigo 42 estabelece a regra geral da obrigação de indenizar, o Artigo 43 apresenta as únicas três defesas possíveis para um
Para não ser responsabilizada por um dano, a empresa precisa provar uma destas três coisas:
-
“Não fui eu”: A empresa demonstra que não realizou a operação de
tratamento de dados que causou o dano. -
“Eu fiz, mas fiz tudo certo”: A empresa admite que realizou o
tratamento , mas consegue comprovar que seguiu rigorosamente todas as regras da LGPD. -
“A culpa foi de outra pessoa”: A empresa prova que o dano foi causado 100% por uma ação do próprio
titular dos dados ou por um terceiro que não tem relação com a cadeia detratamento .
Com a inversão do ônus da prova (Art. 42), é a empresa quem tem o trabalho de provar sua inocência usando uma dessas três “cláusulas de exclusão”.
Como se Aplica ao seu Negócio?
Seção intitulada “Como se Aplica ao seu Negócio?”Este artigo é o pilar da defesa jurídica de uma empresa em caso de um incidente de dados.
📄 Defesa 1 - O ROPA como Álibi: A melhor forma de provar que “não foi você” é ter um Registro das Operações de
✅ Defesa 2 - A Prova da Conformidade: Provar que “fez tudo certo” é a defesa mais robusta. Ela depende de todo o seu programa de governança: ter políticas de segurança, realizar treinamentos, aplicar medidas técnicas como criptografia e ter tudo isso documentado.
🛡️ Defesa 3 - A Culpa Exclusiva: Provar a culpa do