L'inclusione della responsabilità civile per la perdita di dati è regolamentata molto bene dalla Legge Generale sulla Protezione dei Dati (LGPD). Tuttavia, l'argomento inizia anche ad essere trattato nel Codice Civile, con le modifiche che vi vengono apportate e la creazione del Diritto Digitale.
Trattare lo stesso tema in due leggi o regolamenti distinti, anche se di livelli diversi, può portare a confusioni e difficoltà interpretative. È compito dei giuristi – siano essi avvocati, giudici, procuratori o pubblici ministeri – chiarire i dubbi, spettando ai Tribunali uniformare l'interpretazione sulle questioni sottoposte all'esame.
La concomitanza delle leggi di solito porta a incertezza giuridica e a una maggiore complessità nella vita del cittadino e delle persone giuridiche. Tuttavia, c'è ancora molto da maturare, sia in Brasile che in altri paesi, per quanto riguarda la fuga di dati. Anche se i casi avvenuti attirano molta attenzione, la quantità di essi è ancora considerata piccola rispetto al flusso di dati esistente nel mondo.
Le modifiche al Codice Civile introducono concetti e regole sulla prestazione di servizi digitali (art. 609), beni digitali del defunto (art. 1791-A), legati di beni digitali (art. 1918-A) e alcuni concetti, principi e regole del Diritto Digitale. trattano il tema dei dati in vari punti, come nell'Art. 1791-A § 3°, che prevede che «sono nulle di diritto qualsiasi clausola contrattuale volta a restringere i poteri della persona di disporre dei propri dati, salvo quelli che, per loro natura, struttura e funzione, abbiano limiti di uso, di fruizione o di disposizione».
Vengono anche indicati criteri per definire la liceità e la regolarità degli atti e delle attività che si svolgono nell'ambiente digitale. Questo è caratterizzato come lo "spazio virtuale interconnesso tramite internet, comprendente reti mondiali di computer, dispositivi mobili, piattaforme digitali, sistemi di comunicazione online e qualsiasi altra tecnologia interattiva che consenta la creazione, l'archiviazione, la trasmissione e la ricezione di dati e informazioni."
Elencando os principi fondamentali della disciplina denominata Diritto Digitale, il Codice Civile modificato indica "il rispetto della privacy, della protezione dei dati personali e patrimoniali, nonché dell'autodeterminazione informativa". La LGPD non si limita a regolare i dati che circolano su internet, ma affronta anche i dati trattati all'interno e all'esterno degli ambienti dei controllori e degli operatori, sia in forma scritta, fisica o anche verbale.
Il Codice Civile modificato e il GDPR coesistono. Non sono contraddittori. In questo modo, il Codice Civile servirà come base per l'interpretazione di eventuali lacune della LGPD. Ad esempio, si analizza il dubbio sorto sul fatto se la persona deceduta abbia diritto alla protezione dei dati. Allo stesso modo per la trasmissione ereditaria dei dati. Il LGPD non affronta questa questione specifica, ma le modifiche al Codice Civile chiariscono che il defunto ha questo diritto.
In altro modo, si può analizzare la questione della perdita di dati. Il GDPR è chiaro nel stabilire sanzioni per la fuga. Le modifiche al Codice Civile, a loro volta, stabiliscono definizioni concettuali per il tema. Questo accade, ad esempio, quando si introduce la garanzia di sicurezza dell'ambiente digitale, rivelata dai sistemi di protezione dei dati, come parametro fondamentale per l'interpretazione dei fatti avvenuti nell'ambiente digitale.
Le modifiche al Codice Civile arrivano a ripetere alcune previsioni della LGPD, come ad esempio quella che riguarda la protezione dei dati come diritto delle persone fisiche. Non si può perdere di vista che esse aggiungono alla LGPD la protezione dei dati per le persone giuridiche se i fatti si verificano nell'ambiente digitale: "Sono diritti delle persone, naturali o giuridiche, nell'ambiente digitale, oltre ad altri previsti dalla legge o da documenti e trattati internazionali di cui il Brasile sia firmatario: I – il riconoscimento della loro identità, presenza e libertà nell'ambiente digitale; II – la protezione dei dati e delle informazioni personali, in conformità con la legislazione sulla protezione dei dati personali;"
Il Codice civile modificato aggiunge anche disposizioni relative ai dati cerebrali, come: “(…)VI – diritto alla protezione contro pratiche discriminatorie, basate su dati cerebrali. § 3 I diritti neurologici e l'uso o l'accesso ai dati cerebrali possono essere disciplinati da norme specifiche, purché siano preservate le tutele e le garanzie accordate ai diritti della personalità.”
Per quanto riguarda specificamente le fughe di dati, il nuovo art. 609-E ha introdotto la previsione che “i fornitori di servizi digitali adottano misure per salvaguardare la sicurezza prevista e necessaria del mezzo digitale e la natura del contratto, in particolare contro le frodi, contro programmi informatici dannosi, contro violazioni dei dati o contro la creazione di altri rischi per la sicurezza informatica. Paragrafo unico. I fornitori di servizi digitali sono civilmente responsabili, come previsto dal presente Codice e dal Codice della tutela del consumatore, per le fughe di informazioni e dati degli utenti o di terzi.”
In sintesi, le modifiche al Codice Civile ripetono o aggiungono protezioni rispetto a quelle stabilite dal GDPR, ma sempre in relazione ai dati esistenti nell'ambiente digitale. La Corte Suprema di Giustizia (CSJ) è il miglior parametro che si possa avere quando si analizza la giurisprudenza sulla fuga di dati, poiché tutti i processi con ricorso saranno decisi dalla stessa, in ultima istanza.
Attualmente, la Corte Suprema ha deciso che il titolare dei dati divulgati deve dimostrare il danno effettivo per ottenere un risarcimento. Pertanto, il danno non è considerato come presunto. Non ci sono danni, non ci sarà indennizzo, anche se il responsabile può essere multato dall'ANPD (Autorità Nazionale per la Protezione dei Dati).
Con il passare degli anni, sarà possibile osservare le occorrenze pratiche affinché si possa legiferare con maggiore efficacia sull'argomento, senza togliere la libertà necessaria di azione alle aziende in questo ambito. È necessario raggiungere un punto di equilibrio tra divieti, sanzioni e permessi, affinché tutti possano usufruire al meglio della circolazione dei dati. Le interpretazioni sul tema si stanno uniformando man mano che il volume di questioni giuridiche aumenta e viene sottoposto a valutazione.
