La coesistenza di leggi sulla violazione dei dati può creare insicurezza giuridica per le aziende e i cittadini.

L'inclusione della responsabilità civile per la violazione dei dati è qualcosa di molto ben regolato dalla Legge Generale sulla Protezione dei Dati (LGPD, nel testo originale). Tuttavia, l'argomento inizia ad essere trattato anche nel Codice Civile, con le modifiche che vi stanno venendo apportate e la creazione del Diritto Digitale.

Trattare lo stesso tema in due leggi o regolamenti distinti, anche di livello diverso, può generare confusione e difficoltà interpretative. È compito dei giuristi – siano essi avvocati, giudici, procuratori o pm – di chiarire i dubbi, spettando ai Tribunali uniformare l'interpretazione delle questioni sottoposte al loro esame.

La concomitanza di leggi di solito porta insicurezza giuridica e maggiore complessità nella vita dei cittadini e delle persone giuridiche. Tuttavia, c'è ancora molto da maturare, sia in Brasile che in altri paesi, per quanto riguarda la violazione dei dati. Sebbene i casi verificatisi abbiano attirato molta attenzione, la loro quantità è ancora considerata piccola se paragonata al flusso di dati esistente nel mondo.

Le modifiche al Codice Civile introducono concetti e norme sulla prestazione di servizi digitali (art. 609), beni digitali del defunto (art. 1791-A), lasciti di beni digitali (art. 1918-A) e alcuni concetti, principi e norme del Diritto Digitale. Trattano il tema dei dati in diversi punti, come nell'art. 1791-A § 3°, che prevede che “sono nulle di pieno diritto qualsiasi clausola contrattuale volta a restringere i poteri della persona di disporre dei propri dati, salvo quelli che, per loro natura, struttura e funzione abbiano limiti di uso, di godimento o di disposizione”.

Vengono inoltre indicati criteri per definire la liceità e la regolarità degli atti e delle attività che si svolgono nell'ambiente digitale. Quest'ultimo è caratterizzato come “spazio virtuale interconnesso tramite internet, comprendente reti mondiali di computer, dispositivi mobili, piattaforme digitali, sistemi di comunicazione online e qualsiasi altra tecnologia interattiva che permetta la creazione, l'archiviazione, la trasmissione e la ricezione di dati e informazioni”.

Nell'elencare i fondamenti della disciplina denominata Diritto Digitale, il Codice Civile modificato indica “il rispetto della privacy, della protezione dei dati personali e patrimoniali, nonché dell'autodeterminazione informativa”. La LGPD, invece, non si limita a regolamentare i dati circolanti su internet, ma tratta anche i dati elaborati in ambienti interni ed esterni dei titolari e responsabili del trattamento, sia in forma scritta, fisica o anche verbale.

Il Codice Civile modificato e il LGPD coesistono. Non sono contraddittori. In questo modo, il Codice Civile servirà da base per l'interpretazione di eventuali lacune del LGPD. Ad esempio, in esso si analizza il dubbio sorto se la persona deceduta abbia diritto alla protezione dei dati. Allo stesso modo per la trasmissione ereditaria dei dati. Il LGPD non tratta questa questione specifica, ma le modifiche del Codice Civile chiariscono che il defunto ha questo diritto.

In alternativa, si può analizzare la questione della violazione dei dati. Il GDPR è chiaro nel stabilire le sanzioni per la violazione. Le modifiche al Codice Civile, a loro volta, stabiliscono definizioni concettuali per l'argomento. Ciò accade, ad esempio, quando introduce la garanzia di sicurezza dell'ambiente digitale, rivelata dai sistemi di protezione dei dati, come parametro fondamentale per l'interpretazione dei fatti accaduti nell'ambiente digitale.

Le modifiche al Codice Civile giungono a ripetere alcune previsioni del GDPR, come ad esempio quella che parla della protezione dei dati come diritto delle persone fisiche. Non si può perdere di vista che esse aggiungono al GDPR la protezione dei dati per le persone giuridiche se i fatti si verificano nell'ambiente digitale: “Sono diritti delle persone, fisiche o giuridiche, nell'ambiente digitale, oltre ad altri previsti dalla legge o in documenti e trattati internazionali di cui il Brasile sia firmatario: I – il riconoscimento della propria identità, presenza e libertà nell'ambiente digitale; II – la protezione di dati e informazioni personali, in conformità con la legislazione sulla protezione dei dati personali;”

 Il Codice Civile modificato aggiunge inoltre disposizioni relative ai dati cerebrali, quali: “(…)VI – diritto alla protezione contro pratiche discriminatorie, basate su dati cerebrali. § 3º I neurodiritti e l'uso o l'accesso ai dati cerebrali potranno essere regolati da norme specifiche, purché siano preservate le tutele e le garanzie conferite ai diritti della personalità.”

Specificatamente in merito alla violazione dei dati, il nuovo Art. 609-E prevede che “i prestatori di servizi digitali adotteranno misure per salvaguardare la sicurezza attesa e necessaria per l'ambiente digitale e la natura del contratto, in particolare contro frodi, contro programmi informatici dannosi, contro violazioni di dati o contro la creazione di altri rischi in materia di cybersicurezza. Comma unico. I prestatori di servizi digitali sono civilmente responsabili, secondo quanto previsto dal presente Codice e dal Codice del Consumo, per le violazioni di informazioni e dati degli utenti o di terzi.”

In sintesi, le modifiche al Codice Civile ripetono o aggiungono tutele rispetto a quelle previste dal GDPR, ma sempre per quanto riguarda i dati presenti nell'ambiente digitale. La Corte Suprema di Giustizia (si presume si intenda la Corte Suprema di Giustizia, STJ, e non la Suprema Corte Federale, STF, che è di competenza federale e non nazionale) è il miglior parametro di riferimento per l'analisi della giurisprudenza in materia di violazione dei dati, poiché tutti i ricorsi saranno decisi da essa in ultima istanza.

Attualmente, la Corte Suprema Federale (STF) ha deciso che il titolare dei dati violati deve provare il danno effettivo per ottenere un risarcimento. Pertanto, il danno non è considerato presunto. In assenza di danno, non ci sarà risarcimento, sebbene il responsabile possa essere multato dall'ANPD (Autorità Nazionale per la Protezione dei Dati).

Con il passare degli anni, sarà possibile osservare le occorrenze pratiche per poter legislare in modo più efficiente sull'argomento, senza togliere la necessaria libertà di azione delle imprese in questo ambito. Si deve arrivare a un punto di equilibrio tra divieti, sanzioni e permessi, affinché tutti possano meglio usufruire della circolazione dei dati. Le interpretazioni sull'argomento si uniformeranno man mano che il volume di questioni giuridiche aumenterà e verrà sottoposto ad esame.