440 segundos
Atualmente, para a prestação dos mais variados serviços, as pessoas, físicas e jurídicas, precisam compartilhar dados pessoais com seus parceiros comerciais, sejam eles contadores, advogados, desenvolvedores de softwares, dentre outros. Ocorre que, com a entrada em vigor da Lei Geral de Proteção de Dados Pessoais, o controlador e operador têm responsabilidade solidária, de forma que devem ser verificadas maneiras de melhor endereçar os prejuízos decorrentes de tratamento ilícito de dados por parte de um dos parceiros.
A responsabilidade de controladores e operadores prevista na LGPD:
A Lei nº 13.709, de 14 de agosto de 2019 (“Lei Geral de Proteção de Dados Pessoais” ou “LGPD”), regula o tratamento dos dados pessoais, estabelecendo normas e princípios gerais a serem observados neste tratamento, tendo como objetivo a proteção do direito à liberdade, à privacidade e ao livre desenvolvimento da personalidade da pessoa.
Como uma das maneiras de tornar tais regras e princípios executáveis, a LGPD prevê a responsabilidade dos controladores (pessoa física ou jurídica que toma as decisões referentes ao tratamento de dados pessoais) e dos operadores (pessoa física ou jurídica que realiza o tratamento de dados pessoais a mando do controlador) caso tratem os dados de forma contrária à lei ou se causarem dano a outrem.
O controlador será responsável por todo dano causado com o tratamento de dados e por todo incidente ocorrido, respondendo solidariamente com o operador. Justamente por ter uma responsabilidade ampla, o controlador deve fiscalizar o operador e os outros agentes da cadeia de tratamento de dados pessoais, para evitar tratamentos ilícitos ou a ocorrência de danos.
O operador, por sua vez, responderá solidariamente com o controlador pelos danos causados pelo descumprimento das leis de proteção de dados e quando não tiver seguido as instruções do controlador (nesta hipótese, o operador equiparar-se-á ao controlador). Para o tratamento de dados, o operador deverá verificar se as solicitações do controlador são lícitas, caso contrário, poderá ser responsabilizado solidariamente pelo tratamento ilícito, ainda que tal tratamento tenha sido efetuado por ordem do controlador.
Responsabilidade Objetiva X Responsabilidade Subjetiva:
A LGPD não estabelece se a responsabilidade dos controladores e operadores será objetiva (não precisa provar a culpa do agente, bastando a prova do dano e o nexo causal) ou subjetiva (é necessário provar a culpa do agente, além de nexo causal e prova do dano). Desta forma, é necessário analisar outros diplomas legais sobre o assunto para verificar tal questão.
Por exemplo, se estamos falando de relações consumeristas ou trabalhistas, a responsabilidade será objetiva. Nos demais casos, deverá ser analisado o risco da atividade, de forma que se a atividade do tratamento de dados for considerada de risco, a responsabilidade será objetiva.
Hipóteses de exclusão de responsabilidade:
É importante ressaltar que a LGPD prevê hipóteses de exclusão de responsabilidade, quais sejam: (i) o controlador e/ou operador não realizou o tratamento; (ii) o tratamento foi realizado, mas não houve violação à legislação de proteção de dados; ou (iii) o dano é decorrente de culpa exclusiva do titular de dados ou de terceiros.
Principalmente com relação ao item “ii” acima, verifica-se a importância de demonstrar a diligência do operador e do controlador. Devem ser tomadas todas as medidas necessárias para garantir a proteção dos dados pessoais e o cumprimento das leis de proteção de dados. Nestes casos, é possível afastar a responsabilidade, ao menos no caso do operador, pelos danos ocorridos em virtude do tratamento de dados.
Neste contexto, ressalta-se que o controlador e o operador devem sempre observar o princípio da prevenção e o princípio da responsabilidade e prestação de contas, dentre os outros princípios previstos na LGPD.
Pelo princípio da prevenção, há certeza científica sobre os riscos que podem advir de uma determinada atividade. Ciente desses riscos, aquele que exerce a atividade deve adotar todas as cautelas possíveis para evitá-los. Desta forma, o agente de tratamento de dados deve adotar as medidas necessárias para evitar que ocorram danos em virtude do tratamento de dados, conforme se verá a seguir.
Por meio do princípio da responsabilidade e prestação de contas, o agente deve comprovar a observância às normas de proteção de dados. Não basta cumprir a lei, o controlador e o operador devem demonstrar, por meio de relatórios e documentos, que adotou todas as medidas necessárias e legalmente previstas para realizar a atividade de tratamento dos dados.
Medidas para evitar ou amenizar eventuais consequências pelo tratamento inadequado dos dados:
A fim de evitar qualquer tratamento de dados inadequado pelo operador e/ou controlador, conforme o caso, ou terceiros com quem compartilha os dados, a empresa deve ter a política de contratar apenas parceiros que adotem os padrões de proteção de dados exigidos pela LGPD, solicitando, por exemplo, a apresentação de relatório de impacto à proteção de dados pessoais pelo parceiro.
Neste contexto, a empresa deverá auditar seus parceiros para verificar os procedimentos por eles adotados no tratamento de dados e as medidas de segurança implementadas. Note que essa auditoria não poderá ser apenas inicial, no momento da contratação, mas deverá ser realizada em determinada periodicidade que assegure que o parceiro continua adotando os padrões da LGPD. Tal periodicidade dependerá do tipo de tratamento realizado pelo parceiro, dos dados tratados, dentre outros fatores de riscos que devem ser levados em consideração pela empresa.
Objetivando amenizar eventuais consequências pelo tratamento inadequado dos dados, o agente deverá sempre observar o princípio da necessidade, pelo qual devem ser tratados apenas os dados necessários para atingir as finalidades do tratamento. Assim, em caso de compartilhamento de dados o agente deverá transferir para seus parceiros o mínimo de dados possível.
Outra maneira de mitigar os prejuízos eventualmente suportados é, sempre que possível, compartilhar os dados de forma anonimizada, desde que adotados critérios razoáveis para o processo de anonimização. Isso porque o dado anônimo perde o caráter pessoal e, desta forma, não é considerado dado pessoal nos termos da LGPD, salvo exceções legais.
Tendo em vista que o dado anonimizado pode sofrer processo de reversão, o ideal é estabelecer contratualmente que o dado é compartilhado de forma anonimizada, estando proibido o processo de reversão, ficando ressalvado o direito de regresso em favor da parte prejudicada pela conduta da parte infratora.
Com o intuito de melhor endereçar as perdas, nos contratos empresariais deverão ser estabelecidas cláusulas obrigatórias sempre que houver o compartilhamento ou transferência de dados, quais sejam: definição das obrigações e responsabilidades das partes com relação ao tratamento de dados; estabelecer o direito de auditoria; definição do controlador e do operador; estabelecer o direito de regresso caso uma das partes seja responsabilizada por danos causados pela outra parte.
As partes devem deixar claro no contrato as hipóteses de tratamento de dados, sua finalidade e forma de tratamento, com instruções claras e específicas. Note que, conforme previsto no artigo 42, §2º, inciso “i” da LGPD, o operador, caso não siga as instruções lícitas do controlador, irá se equiparar a este, sendo responsabilizado pelos danos ocorridos pelo tratamento de dados.
Por fim, a empresa deve manter um registro das atividades de tratamento de dados realizadas, não apenas para cumprir o princípio de prestação de contas, mas também observando o disposto no artigo 37 da LGPD. Tal registro, assim como a adoção de outras práticas de boa conduta, será considerado pela autoridade nacional no momento de aplicação da penalidade.
É possível minimizar, por meio de contratos, os prejuízos do controlador e operador nos casos de compartilhamento de dados pessoais?
Embora a responsabilidade do controlador e operador seja solidária perante o lesado e a autoridade nacional, entre ambos é possível que exista uma melhor distribuição dos riscos assumidos pelo negócio, pela previsão do direito regressivo de um contra o outro e a definição das obrigações assumidas por cada uma das partes em contrato. Ademais, a empresa deverá realizar auditoria do parceiro para demonstrar que tomou as medidas necessárias e razoáveis para garantir o compartilhamento de dados adequado.
Assim, ainda que a responsabilidade do controlador e operador não possa ser totalmente eliminada, ao menos eventuais prejuízos sofridos poderão ser mitigados consideravelmente caso adotem uma política de gestão de contratos e de análise dos seus parceiros.
Equipe de Consultoria do Molina Advogados
