De invoering van civiele aansprakelijkheid voor datalekken is zeer goed gereguleerd door de Algemene Verordening Gegevensbescherming (AVG). Echter, het onderwerp wordt ook behandeld in het Burgerlijk Wetboek, met de wijzigingen die daarin worden aangebracht en de creatie van het Digitale Recht.
Het behandelen van hetzelfde onderwerp in twee verschillende wetten of regelingen, zelfs op verschillende niveaus, kan leiden tot verwarring en interpretatieproblemen. Het is de taak van juristen – of het nu advocaten, rechters, procureurs of officieren van justitie zijn – om de twijfels weg te nemen, terwijl het aan de rechtbanken is om het begrip over de voorgelegde kwesties te uniformeren.
De gelijktijdigheid van wetten brengt meestal juridische onzekerheid en grotere complexiteit voor het leven van de burger en rechtspersonen met zich mee. Echter, er is nog veel te rijpen, zowel in Brazilië als in andere landen, wat betreft datalekken. Hoewel de gevallen die zich voordoen veel aandacht trekken, wordt het aantal ervan nog steeds als klein beschouwd in vergelijking met de hoeveelheid gegevens die wereldwijd bestaat.
De wijzigingen in het Burgerlijk Wetboek introduceren concepten en regels over de levering van digitale diensten (art. 609), digitale goederen van de overledene (art. 1791-A), legaten van digitale goederen (art. 1918-A) en enkele concepten, principes en regels van het Digitale Recht. Ze behandelen het onderwerp van gegevens op verschillende punten, zoals in art. 1791-A § 3°, dat bepaalt dat "alle contractuele bepalingen die gericht zijn op het beperken van de bevoegdheden van de persoon om over de eigen gegevens te beschikken, van rechtswege nietig zijn, behalve die welke, vanwege hun aard, structuur en functie, beperkingen hebben in gebruik, genot of beschikking".
Er worden ook criteria aangewezen om de rechtmatigheid en de regulariteit van de handelingen en activiteiten die in de digitale omgeving plaatsvinden, te bepalen. Dit wordt gekenmerkt als de "virtuele ruimte die via internet met elkaar verbonden is, inclusief wereldwijde computernetwerken, mobiele apparaten, digitale platforms, online communicatiesystemen en alle andere interactieve technologieën die het mogelijk maken om gegevens en informatie te creëren, op te slaan, te verzenden en te ontvangen."
Bij het opsommen van de grondslagen van de discipline genaamd Digitale Recht, geeft de gewijzigde Burgerlijke Wet een indicatie van "respect voor privacy, bescherming van persoonlijke en patrimoniale gegevens, evenals informatieve zelfbeschikking". De LGPD beperkt zich niet tot het reguleren van gegevens die op het internet circuleren, maar behandelt ook gegevens die binnen en buiten de omgevingen van de verwerkers en beheerders worden verwerkt, hetzij schriftelijk, fysiek of zelfs mondeling.
Het gewijzigde Burgerlijk Wetboek en de AVG bestaan naast elkaar. Ze zijn niet tegenstrijdig. Op deze manier zal het Burgerlijk Wetboek dienen als basis voor de interpretatie van eventuele hiaten in de LGPD. Bijvoorbeeld, daarin wordt de twijfel geanalyseerd over of de overleden persoon recht heeft op gegevensbescherming. Op dezelfde manier voor de erfelijke overdracht van gegevens. De LGPD behandelt deze specifieke kwestie niet, maar de wijzigingen in het Burgerlijk Wetboek maken duidelijk dat de overledene dit recht heeft.
Op een andere manier kan men de kwestie van datalekken analyseren. De LGPD is duidelijk in het vaststellen van straffen voor lekken. De wijzigingen in het Burgerlijk Wetboek bepalen op hun beurt conceptuele definities voor het onderwerp. Dit gebeurt bijvoorbeeld wanneer de beveiliging van de digitale omgeving wordt geïntroduceerd, onthuld door gegevensbeschermingssystemen, als fundamentele parameter voor de interpretatie van de gebeurtenissen in de digitale omgeving.
De wijzigingen in het Burgerlijk Wetboek herhalen zelfs enkele bepalingen van de LGPD, zoals die over de bescherming van gegevens als een recht van natuurlijke personen. Não se pode perder de vista que elas acrescentam à LGPD a proteção de dados para as pessoas jurídicas se os fatos ocorrerem no ambiente digital: “São direitos das pessoas, naturais ou jurídicas, no ambiente digital, além de outros previstos em lei ou em documentos e tratados internacionais de que o Brasil seja signatário: I – o reconhecimento de sua identidade, presença e liberdade no ambiente digital; II – a proteção de dados e informações pessoais, em consonância com a legislação de proteção de dados pessoais;”
De gewijzigde Burgerlijke Wetgeving voegt ook bepalingen toe met betrekking tot hersengegevens, zoals: „(…)VI – het recht op bescherming tegen discriminatoire praktijken gebaseerd op hersengegevens. § 3º Neuro-rechten en het gebruik of de toegang tot hersengegevens kunnen worden gereguleerd door specifieke normen, mits de bescherming en garanties die aan de persoonsrechten zijn toegekend, worden gewaarborgd.”
Specifiek met betrekking tot datalekken, heeft het nieuwe art. 609-E de bepaling dat "digitale dienstverleners maatregelen zullen nemen om de verwachte en noodzakelijke veiligheid voor de digitale omgeving en de aard van het contract te waarborgen, vooral tegen fraude, kwaadaardige computerprogramma's, datalekken of tegen het creëren van andere risico's op het gebied van cyberbeveiliging. Enkelvoudig lid. Digitale dienstverleners zijn civiel aansprakelijk, zoals voorzien in dit Wetboek en door de Consumentenbeschermingswet, voor het lekken van informatie en gegevens van gebruikers of derden."
Kortom, de wijzigingen in het Burgerlijk Wetboek herhalen of voegen bescherming toe ten opzichte van die van de AVG, maar altijd met betrekking tot gegevens die in de digitale omgeving bestaan. De Superior Tribunal de Justiça (STJ) is de beste maatstaf die men kan hebben bij het analyseren van jurisprudentie over datalekken, aangezien alle procedures met beroep door hetzelfde zullen worden beslist, in laatste instantie.
Momenteel heeft de STF beslist dat de houder van de gelekte gegevens moet aantonen dat er daadwerkelijk schade is opgelopen bij het zoeken naar vergoeding. Daarom wordt de schade niet als vermoed beschouwd. Aangezien er geen schade is, zal er geen vergoeding zijn, hoewel de verantwoordelijke mogelijk een boete kan krijgen van de ANPD (Nationale Autoriteit voor Gegevensbescherming).
Naarmate de jaren verstrijken, zal het mogelijk zijn om praktische gevallen te observeren zodat er efficiënter wetgeving kan worden gemaakt over het onderwerp, zonder de noodzakelijke vrijheid van handelen voor bedrijven op dit gebied te beperken. Er moet een evenwichtspunt worden bereikt tussen verboden, straffen en toestemmingen, zodat iedereen beter kan profiteren van de gegevensstroom. De inzichten over het onderwerp zullen zich uniformiseren naarmate het aantal juridische kwesties toeneemt en onder beoordeling worden gesteld.
