L'inclusion de la responsabilité civile en cas de fuite de données est quelque chose de très bien régulé par la Loi Générale sur la Protection des Données (LGPD). Cependant, le sujet est également abordé dans le Code civil, avec les modifications qui sont en cours et la création du Droit Numérique
Traiter du même sujet dans deux lois ou règlements distincts, même si de niveaux divers, peut entraîner des confusions et des difficultés d'interprétation. C'est le rôle des juristes – qu'ils soient avocats, juges, procureurs ou promoteurs – apaiser les doutes, il appartient aux tribunaux d'uniformiser l'interprétation des questions soumises à leur appréciation
La concomitance des lois tend à créer une insécurité juridique et une plus grande complexité dans la vie des citoyens et des personnes morales. Cependant, il y a encore beaucoup à mûrir, tant au Brésil que dans d'autres pays, en ce qui concerne la fuite de données. Bien que les cas survenus attirent beaucoup l'attention, la quantité de ceux-ci est encore considérée comme petite par rapport au flux de données existant dans le monde
Les modifications du Code civil introduisent des concepts et des règles concernant la prestation de services numériques. 609), biens numériques du défunt (art. 1791-A), legs de biens numériques (art. 1918-A) et quelques concepts, principes et règles du Droit Numérique. Ils traitent du thème des données à plusieurs points, comme dans l'Art. 1791-A § 3°, qui prévoit que "sont nulles de plein droit toutes clauses contractuelles visant à restreindre les pouvoirs de la personne de disposer de ses propres données, sauf ceux qui, par sa nature, la structure et la fonction avaient des limites d'utilisation, de jouissance ou de disposition
Des critères sont également indiqués pour définir la licéité et la régularité des actes et des activités qui se déroulent dans l'environnement numérique. Ceci est caractérisé comme l'« espace virtuel interconnecté par le biais d'internet, comprendre les réseaux mondiaux d'ordinateurs, appareils mobiles, plateformes numériques, systèmes de communication en ligne et toute autre technologie interactive permettant la création, le stockage, la transmission et la réception de données et d'informations.”
En énumérant les fondements de la discipline appelée Droit Numérique, le Code civil modifié indique "le respect de la vie privée, à protection des données personnelles et patrimoniales, ainsi qu'à l'autodétermination informationnelle. La LGPD ne se limite pas à réguler les données circulant sur Internet, abordant également des données traitées dans des environnements internes et externes des contrôleurs et des opérateurs, soit sous forme écrite, physique ou même verbale
Le Code civil modifié et la LGPD coexistent. Ils ne sont pas contradictoires. De cette manière, Le Code civil servira de base pour l'interprétation des éventuelles lacunes de la LGPD. Par exemple, il s'agit d'analyser le doute sur le fait de savoir si la personne décédée a droit à la protection des données. De la même manière pour la transmission héréditaire de données. La LGPD ne traite pas de cette question spécifique, mais les modifications du Code civil clarifient que le défunt a ce droit
D'une autre manière, on peut analyser la question de la fuite de données. La LGPD est claire en établissant des sanctions pour la fuite. Les modifications du Code civil, à son tour, établissent des définitions conceptuelles pour le thème. Cela arrive, par exemple, lorsqu'il introduit la garantie de sécurité de l'environnement numérique, révélée par les systèmes de protection des données, comme paramètre fondamental pour l'interprétation des faits survenus dans l'environnement numérique
Les modifications du Code civil en viennent à répéter certaines prévisions de la LGPD, comme par exemple celle qui parle de la protection des données étant un droit des personnes physiques. Il ne faut pas perdre de vue qu'elles ajoutent à la LGPD la protection des données pour les personnes morales si les faits se produisent dans l'environnement numérique : "Ce sont des droits des personnes, naturelles ou juridiques, dans l'environnement numérique, en plus d'autres prévus par la loi ou dans des documents et traités internationaux auxquels le Brésil est signataire : I – la reconnaissance de votre identité, présence et liberté dans l'environnement numérique; II – la protection des données et des informations personnelles, en conformité avec la législation sur la protection des données personnelles;”
Le Code civil modifié ajoute également des dispositions relatives aux données cérébrales, comme : “(…)VI – droit à la protection contre les pratiques discriminatoires, envoyées à partir de données cérébrales. § 3º Les neurodroits et l'utilisation ou l'accès aux données cérébrales pourront être régulés par des normes spécifiques, tant que les protections et les garanties accordées aux droits de la personnalité sont préservées.”
Spécifiquement sur la fuite de données, le nouvel Art. 609-E a apporté la prévision que « les prestataires de services numériques prendront des mesures pour sauvegarder la sécurité attendue et nécessaire pour le milieu numérique et la nature du contrat, en particulier contre les fraudes, contre les logiciels malveillants, contre les violations de données ou contre la création d'autres risques en matière de cybersécurité. Paragraphe unique. Les prestataires de services numériques sont civilement responsables, dans la forme prévue par ce Code et par le Code de la Protection du Consommateur, pour les fuites d'informations et de données des utilisateurs ou de tiers.”
En résumé, les modifications du Code civil répètent ou ajoutent des protections par rapport à celles établies par la LGPD, mais toujours en ce qui concerne les données existantes dans l'environnement numérique. La Cour Suprême de Justice (STF) est le meilleur paramètre que l'on puisse avoir lorsqu'on analyse la jurisprudence sur la fuite de données, puisque tous les processus ayant un recours seront décidés par le même, en dernière instance
Actuellement, la Cour suprême a décidé que le titulaire des données divulguées doit prouver le préjudice réel pour demander une indemnisation. Donc, le dommage n'est pas considéré comme présumé. Sans dommage, il n'y aura pas d'indemnisation, bien que le responsable puisse être sanctionné par l'ANPD (Autorité Nationale de Protection des Données)
Avec le passage des années, il sera possible d'observer les occurrences pratiques afin de légiférer plus efficacement sur le sujet, sans retirer la liberté nécessaire d'action des entreprises dans ce domaine. Il faut parvenir à un point d'équilibre entre les interdictions, sanctions et permissions, afin que tous puissent mieux profiter de la circulation des données. Les compréhensions sur le sujet vont se uniformiser à mesure que le volume de questions juridiques augmentera et sera soumis à appréciation
