Die Einbeziehung der zivilrechtlichen Haftung bei Datenlecks ist durch das Allgemeine Datenschutzgesetz (LGPD) sehr gut geregelt. Allerdings wird das Thema auch im Bürgerlichen Gesetzbuch behandelt, mit den darin vorgenommenen Änderungen und der Schaffung des Digitalen Rechts.
Die Behandlung desselben Themas in zwei verschiedenen Gesetzen oder Verordnungen, auch wenn sie unterschiedliche Ebenen haben, kann zu Verwirrungen und interpretativen Schwierigkeiten führen. Es liegt in der Verantwortung der Juristen – seien es Anwälte, Richter, Staatsanwälte oder Ermittler – die Zweifel zu klären, wobei die Gerichte die einheitliche Auslegung der vorgelegten Fragen sicherstellen.
Das gleichzeitige Bestehen von Gesetzen führt in der Regel zu rechtlicher Unsicherheit und erhöht die Komplexität im Leben der Bürger und juristischen Personen. Dennoch gibt es noch viel Reife zu erlangen, sowohl in Brasilien als auch in anderen Ländern, was den Datenleck betrifft. Obwohl die vorgekommenen Fälle viel Aufmerksamkeit erregen, wird ihre Anzahl immer noch als gering im Vergleich zum weltweiten Datenfluss angesehen.
Die Änderungen des Bürgerlichen Gesetzbuches führen Konzepte und Regeln zur Erbringung digitaler Dienstleistungen (Art. 609), digitalen Nachlässen des Verstorbenen (Art. 1791-A), Vermächtnissen digitaler Güter (Art. 1918-A) sowie einige Konzepte, Prinzipien und Regeln des Digitalrechts ein. Sie behandeln das Thema der Daten an verschiedenen Stellen, wie in Art. 1791-A § 3°, der vorsieht, dass „jegliche vertragliche Klauseln, die darauf abzielen, die Befugnisse der Person zur Verfügung über die eigenen Daten einzuschränken, von Rechts wegen nichtig sind, außer solche, die aufgrund ihrer Natur, Struktur und Funktion Nutzung, Genuss oder Verfügung beschränken.“
Es werden auch Kriterien genannt, um die Rechtmäßigkeit und Ordnungsmäßigkeit der im digitalen Umfeld durchgeführten Handlungen und Aktivitäten zu bestimmen. Dies wird als der „virtuelle Raum definiert, der durch das Internet verbunden ist und weltweite Computernetzwerke, mobile Geräte, digitale Plattformen, Online-Kommunikationssysteme und alle anderen interaktiven Technologien umfasst, die die Erstellung, Speicherung, Übertragung und den Empfang von Daten und Informationen ermöglichen.“
Bei der Aufzählung der Grundlagen der Disziplin namens Digitales Recht weist das geänderte Bürgerliche Gesetzbuch darauf hin: „der Respekt vor der Privatsphäre, dem Schutz personenbezogener und vermögensrechtlicher Daten sowie der informationellen Selbstbestimmung“. Die LGPD beschränkt sich nicht nur auf die Regulierung der im Internet zirkulierenden Daten, sondern befasst sich auch mit Daten, die in internen und externen Umgebungen der Verantwortlichen und Betreiber verarbeitet werden, sei es schriftlich, physisch oder sogar mündlich.
Der geänderte Bürgerliche Gesetzbuch und die LGPD koexistieren. Sie sind nicht widersprüchlich. Auf diese Weise dient das Bürgerliche Gesetzbuch als Grundlage für die Auslegung etwaiger Lücken im LGPD. Zum Beispiel wird darin die Frage analysiert, ob die verstorbene Person Anspruch auf Datenschutz hat. Ebenso für die erblich bedingte Übertragung von Daten. Die LGPD behandelt diese spezielle Frage nicht, aber die Änderungen im Bürgerlichen Gesetzbuch machen deutlich, dass der Verstorbene dieses Recht hat.
Andernfalls kann die Frage des Datenlecks analysiert werden. Das LGPD ist klar darin, Sanktionen bei Datenlecks festzulegen. Die Änderungen des Bürgerlichen Gesetzbuches legen wiederum konzeptuelle Definitionen für das Thema fest. Dies geschieht zum Beispiel, wenn die Sicherheit des digitalen Umfelds eingeführt wird, die durch Datenschutzsysteme offenbart wird, als grundlegender Parameter für die Interpretation der im digitalen Umfeld eingetretenen Ereignisse.
Die Änderungen im Bürgerlichen Gesetzbuch wiederholen teilweise Bestimmungen des LGPD, wie zum Beispiel die Regelung, dass der Datenschutz ein Recht natürlicher Personen ist. Es darf nicht aus den Augen verloren werden, dass sie der LGPD den Schutz personenbezogener Daten für juristische Personen hinzufügen, wenn die Tatsachen im digitalen Umfeld auftreten: „Es sind Rechte der natürlichen oder juristischen Personen im digitalen Umfeld, neben anderen, die in Gesetzen oder in internationalen Dokumenten und Verträgen, an denen Brasilien beteiligt ist, vorgesehen sind: I – die Anerkennung ihrer Identität, Präsenz und Freiheit im digitalen Umfeld; II – der Schutz personenbezogener Daten und Informationen, im Einklang mit dem Datenschutzgesetz;“
Das geänderte Bürgerliche Gesetzbuch enthält außerdem Bestimmungen zu Gehirndaten, etwa: „(…)VI – Recht auf Schutz vor diskriminierenden Praktiken, die auf Gehirndaten beruhen. § 3 Neurorechte und die Nutzung von bzw. der Zugang zu Gehirndaten können durch besondere Vorschriften geregelt werden, vorausgesetzt, dass der Schutz und die Garantien der Persönlichkeitsrechte gewahrt bleiben.“
Speziell im Hinblick auf Datenlecks enthält der neue Artikel 609-E die Vorhersage, dass „Anbieter digitaler Dienste Maßnahmen ergreifen müssen, um die erwartete und notwendige Sicherheit des digitalen Mediums und der Art des Vertrags zu gewährleisten, insbesondere gegen Betrug, bösartige Computerprogramme, Datenschutzverletzungen oder die Entstehung anderer Cybersicherheitsrisiken.“ Einziger Absatz. Anbieter digitaler Dienste haften gemäß diesem Kodex und dem Verbraucherschutzkodex zivilrechtlich für das Durchsickern von Informationen und Daten von Benutzern oder Dritten.“
Zusammenfassend wiederholen oder ergänzen die Änderungen des Bürgerlichen Gesetzbuches den Schutz im Vergleich zu den Bestimmungen des LGPD, jedoch stets in Bezug auf die im digitalen Umfeld vorhandenen Daten. Der Oberste Gerichtshof (STF) ist der beste Maßstab, den man bei der Analyse der Rechtsprechung zum Datenleck haben kann, da alle Verfahren mit Berufung letztlich von ihm entschieden werden.
Derzeit entscheidet der STF dahingehend, dass der Dateninhaber den tatsächlichen Schaden nachweisen muss, um Schadensersatz zu fordern. Daher wird der Schaden nicht als vermutet angesehen. Da kein Schaden entsteht, wird keine Entschädigung gezahlt, obwohl die Verantwortlichen von der ANPD (Nationale Datenschutzbehörde) mit einer Geldstrafe belegt werden können.
Im Laufe der Jahre wird es möglich sein, praktische Vorkommnisse zu beobachten, um effizienter Gesetzgebung zu diesem Thema zu ermöglichen, ohne die notwendige Handlungsfreiheit der Unternehmen in diesem Bereich zu beeinträchtigen. Es sollte ein Gleichgewichtspunkt zwischen Verbots, Sanktionen und Erlaubnissen erreicht werden, damit alle die Datenzirkulation besser nutzen können. Das Verständnis über das Thema wird sich angleichen, je mehr rechtliche Fragen auftreten und zur Prüfung gestellt werden.
