A proteção de dados pessoais emergiu como uma necessidade premente na sociedade moderna, seja pela quebra do paradigma dos negócios e das relações humanas que passaram a se virtualizar, pela alta dependência dos indivíduos aos sistemas e dispositivos eletrônicos, pelo grande volume de informações que trafegam na rede, ou ainda, porque o tratamento de dados pessoais passou a ser de interesse público, mandatório em algumas atividades e até mesmo fonte de exploração econômica. Nesse contexto, em 14 de agosto de 2018, foi sancionada a Lei nº 13.709/2018 (LGPD), a qual contempla um estatuto uniforme para o tratamento de dados no país e expressa a responsabilidade do controlador e do operador pelos danos decorrentes do tratamento de dados pessoais. Contudo, salvo nas hipóteses de responsabilidade pela teoria do risco integral, que não é o caso da nova lei, é possível invocar, em matéria de defesa, as chamadas excludentes de responsabilidade civil, as quais, via de regra, têm o condão de afastar o dever de indenizar. Considerando a precariedade na sistematização legal do instituto, propôs-se classificá-lo em excludentes gerais, excludentes especiais e excludentes contratuais. As excludentes gerais são as previstas no macrossistema do Código Civil, abrangendo as (i) excludentes de antijuridicidade ou ilicitude (legítima defesa, estado de necessidade, exercício regular de direito e consentimento do lesado); e (ii) as excludentes de causalidade ou nexo causal (caso fortuito ou força maior, o fato exclusivo da vítima e o fato exclusivo de terceiro). As excludentes de responsabilidade civil especiais são as previstas em microssistemas, ou seja, leis especiais, como o CDC, o Marco Civil da Internet e, especialmente, para fins deste estudo, a LGPD, cujo texto prevê que os agentes de tratamento só não serão responsabilizados se provarem que (i) não realizaram o tratamento de dados pessoais que lhes é atribuído; (ii) não houve violação à legislação de proteção de dados; ou (iii) culpa exclusiva do titular dos dados ou de terceiro. As excludentes contratuais do dever de reparar, por sua vez, são decorrentes da autonomia de vontade das partes, porém são limitadas, especialmente pelas normas de ordem pública. Como a LGPD inaugura um novo olhar sobre o direito à proteção de dados, consolidado como direito fundamental, o debate sobre seu alcance e reflexos é extremamente relevante, visto que é permitido o tratamento de dados pessoais não apenas mediante consentimento do titular, mas também em outras hipóteses legais, desde que respeitados os princípios e direitos do titular, sob pena de responsabilidade civil e outras sanções administrativas. Nesse contexto, importante buscar a interface da LGPD com outras legislações, inclusive para que possa se consolidar com segurança jurídica, respeitando-se os direitos personalíssimos dos titulares, mas afastando-se a reparação em situações em que incidam as excludentes de responsabilidade civil. Em suma, se demonstrará que é preciso existir uma interpretação sistemática do instituto da responsabilidade civil no âmbito da LGPD, especialmente em relação às excludentes previstas no macrossistema do Código Civil, permitindo-se a aplicação no caso concreto de causas não previstas na nova lei, mediante interpretação extensiva do ordenamento jurídico, tal qual a doutrina e a jurisprudência têm admitido em relação ao CDC.

Personal data protection has emerged as an urgent need in modern society, whether due to the breaking of the paradigm of business and human relations that have become virtualized, the high dependence of individuals on electronic systems and devices, the large volume of information that flows on Internet, or even because of the processing of personal data has become of public interest, mandatory in some activities and even a source of economic exploitation. In this context, on August 14, 2018, Law. no 13.709/2018 (Brazilian General Data Protection Law) was enacted, which provides a uniform statute for the data processing in Brazil and expresses the responsibility of the controller and the operator for damages arising from the processing of personal data. However, except in the cases of responsibility for the theory of integral risk, which is not the case of the new law, it is possible to invoke defenses to intentional torts, which, as a rule, dismiss liability. Considering the precariousness of the legal systematization of the institute in Brazil, it was proposed to classify it into general, special and contractual defenses. The general defenses are those provided for in the Civil Code macrosystem, covering (i) defenses to intentional torts (defense of self, others and property, necessity, regular exercise of rights and consent); and (ii) causality (fortuitous event or force majeure, plaintiff or third parties conduct. Special civil defense are those provided by microsystems, that are special laws, such as Brazilian Consumer Defense Code, Civil Rights Framework for the Internet, specially, for the purposes of this study, Brazilian General Data Protection Law, which provides that the processing agents will not be liable only if they prove that (i) they did not carry out the personal data processing that is attributed to them; (ii) although they did carry out the processing of personal data that is attributed to them, there was no violation of the data protection legislation; or (iii) the damage arises from the exclusive fault of the data subject or a third party. The contractual defenses result from the parties freedom of choice, but they are limited, specially by imperative rules. As the Brazilian General Data Protection Law opens a new perspective on the right to data protection, consolidated as a fundamental right, the debate on its scope and consequences is extremely relevant, since personal data processing is allowed not only by data subject consent, but also in other legal hypotheses, as long as the legal principles and data subject rights are respected, under penalty of civil liability and other administrative sanctions. In this context, it is important to seek the Brazilian General Data Protection Law interface with other legislations, in a way it can be consolidated with legal certainty, respecting data subject personal rights, but avoiding compensation in situations where civil liability defenses are may be applied. In short, it will be shown that it is necessary a systematic interpretation of Brazilian General Data Protection Law liability, specially to cover defenses provided by Civil Code macrosystem, aiming to allow application of defenses that are not provided in new law, through extensive interpretation of the legal system, as the doctrine and jurisprudence have admitted in relation to the Consumer Defense Code.