As Excludentes de Responsabilidade: Aspectos Práticos

As Excludentes de Responsabilidade: Aspectos Práticos

A análise das excludentes de responsabilidade civil ganha particular relevo quando confrontada com situações concretas que desafiam as categorias tradicionais do direito privado. Neste tópico, examinaremos aspectos práticos de aplicação dessas excludentes, com ênfase na excludente do fato exclusivo da vítima e nos problemas peculiares suscitados pelos sistemas de inteligência artificial, campo em que as distinções doutrinárias adquirem consequências de especial magnitude.

O Fato Exclusivo da Vítima como Excludente

Outra excludente essencial é o fato exclusivo da vítima. Sempre que a própria vítima, por sua conduta, instaurar a causa necessária do dano, rompendo-se o elo com o agente, não haverá responsabilidade para este último. Nesse quadro, não se discute culpa, mas a atribuição causal da lesão: se o fato do ofendido — mesmo que praticado por alguém juridicamente inimputável — for a fonte única e direta do resultado, há exclusão do nexo causal em desfavor do aparente ofensor.

Parece-nos fundamental sublinhar que a excludente em questão opera no plano do nexo causal, e não no plano da culpa. Daí por que, mesmo nos regimes de responsabilidade objetiva — como o consagrado para os fornecedores pelo art. 12 do Código de Defesa do Consumidor e para os exploradores de atividades de risco pelo parágrafo único do art. 927 do Código Civil —, o fato exclusivo da vítima é reconhecido como causa suficiente de afastamento do dever de indenizar.

O Paradigma do "Surf Ferroviário"

Em analogia ao clássico caso do "surf ferroviário" — em que a maneira indevida e arriscada de uso fez cessar a responsabilidade da concessionária, conforme decidiu o Superior Tribunal de Justiça no REsp 261.027/RJ —, situações similares podem emergir em contextos tecnológicos contemporâneos. Imagine-se, por exemplo, o caso em que um usuário viola deliberadamente as instruções de operação de um software médico dotado de IA, alterando parâmetros cruciais estabelecidos pelo fabricante para garantir a segurança do sistema. Se a vítima cria, por sua conta, o perigo que a lesiona, não há liame suficiente para responsabilizar o fabricante.

Verificou-se, nesse sentido, que o art. 28 do PL 2.338/2023 consagra expressamente o fato exclusivo da vítima como excludente de responsabilidade civil dos fornecedores e operadores de sistemas de IA. A previsão alinha-se à tradição do direito civil brasileiro e ao microssistema consumerista, conferindo-lhe, porém, especificidades decorrentes da natureza dos sistemas regulados, como a exigência de que o dano decorra "exclusivamente" da conduta da vítima, sem qualquer concorrência do sistema ou de seus responsáveis.

Culpa e Nexo Causal: Distinção Imprescindível

Vale sempre reafirmar, nesse ponto, que a ausência de culpa do ofensor não implica, por si só, força maior ou fato exclusivo da vítima. Como bem explicam Cristiano Chaves de Farias, Felipe Peixoto Braga Netto e Nelson Rosenvald, a culpa é aspecto do nexo de imputação — ou seja, da razão pela qual se atribui a obrigação de indenizar a determinada pessoa. Já o nexo causal diz respeito à verificação de quais danos efetivamente decorrem do comportamento do agente, seja este doloso, culposo ou simplesmente vinculado a uma responsabilidade objetiva.

Essa distinção tem consequências práticas relevantes. No ordenamento brasileiro, primeiro se apura o dano e a relação de causalidade com um fato, para só depois verificar se haverá atribuição subjetiva ou objetiva de responsabilidade. Confundir a ausência de culpa com a existência de uma excludente de nexo causal equivale a inverter a lógica do sistema, com resultados potencialmente injustos para as vítimas.

Fortuito Interno e Autoaprendizado Desviado

A distinção entre caso fortuito interno e externo torna-se especialmente delicada quando se examina o fenômeno do autoaprendizado desviado em sistemas de IA. Verificou-se que a questão central reside em saber se os comportamentos lesivos emergentes do processo de machine learning — que, por natureza, não são integralmente previsíveis pelos desenvolvedores — configuram fortuito interno, insusceptível de excluir a responsabilidade, ou fortuito externo, que poderia operar como excludente.

Parece-nos que a resposta mais coerente com os princípios do sistema é a de que o autoaprendizado desviado tende a qualificar-se como fortuito interno quando resultante da ausência de mecanismos adequados de controle e supervisão do processo de aprendizagem. O desenvolvedor que opta por não implementar "bloqueios" ao desenvolvimento de padrões lesivos assume os riscos inerentes a essa escolha, não podendo invocar a imprevisibilidade dos resultados como força maior. Nesse sentido, o AI Act europeu, em seu art. 9.º, impõe exatamente a obrigação de implementação de sistemas de gestão de riscos que incluam o monitoramento contínuo do comportamento dos sistemas durante seu ciclo de vida.

Ataques Cibernéticos e Força Maior

Um caso típico de aplicação prática das excludentes no domínio tecnológico é o do ataque cibernético. Um ataque de grandes proporções, se comprovada sua inevitabilidade e a adoção das melhores práticas de segurança disponíveis, poderia ser visto como força maior, exonerando o desenvolvedor de responsabilidade pelos danos causados a terceiros. Contudo, parte relevante da doutrina defende que, em atividades de alto risco informático, a invasão hacker é inerente à operação, qualificando-se como fortuito interno.

Verificou-se que o critério mais adequado para a qualificação do ataque cibernético como fortuito externo ou interno é o do estado da técnica: se o desenvolvedor adotou todas as medidas de segurança exigidas pelas normas técnicas vigentes e o ataque foi objetivamente irresistível com os recursos disponíveis, haverá força maior. Se, ao contrário, o ataque decorreu de vulnerabilidades conhecidas que não foram sanadas por negligência do agente, não há que se falar em excludente, mas em fato gerador de responsabilidade.

Implicações para a LGPD

No contexto da Lei Geral de Proteção de Dados (Lei n.º 13.709/2018 — LGPD), a discussão sobre excludentes assume relevância específica no campo dos incidentes de segurança envolvendo dados pessoais. O art. 43 da LGPD prevê que os agentes de tratamento — controladores e operadores — poderão ser exonerados de responsabilidade se demonstrarem que não realizaram o tratamento de dados que lhes é atribuído, que, embora tenham realizado, não houve violação à legislação de proteção de dados, ou que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.

Parece-nos que a estrutura das excludentes previstas no art. 43 da LGPD guarda estreita semelhança com as excludentes do CDC, refletindo a opção do legislador por um regime de responsabilidade objetiva mitigada, no qual a proteção da vítima é prioritária, mas não absoluta, cedendo espaço quando o dano não pode ser atribuído ao agente de tratamento.

---

Referências

• FARIAS, Cristiano Chaves de; BRAGA NETTO, Felipe Peixoto; ROSENVALD, Nelson. Novo Tratado de Responsabilidade Civil. 3. ed. São Paulo: Saraivajur, 2019.
• RUFFOLO, Ugo. Intelligenza Artificiale, Machine Learning e Responsabilità da Algoritmo. In: GABRIELLI, Enrico; RUFFOLO, Ugo (Coord.). Giurisprudenza Italiana, jul. 2019.
• BRASIL. Código Civil (Lei n.º 10.406/2002). Arts. 927 e 944.
• BRASIL. Código de Defesa do Consumidor (Lei n.º 8.078/1990). Art. 12.
• BRASIL. Lei Geral de Proteção de Dados (Lei n.º 13.709/2018). Art. 43.
• BRASIL. Projeto de Lei n.º 2.338/2023. Art. 28.
• UNIÃO EUROPEIA. Regulamento (UE) 2024/1689 — AI Act. Art. 9.º.
• BRASIL. Superior Tribunal de Justiça. REsp 261.027/RJ. 4.ª T., j. 19.04.2001, rel. Min. Barros Monteiro, DJ 13.08.2001.