A RESPONSABILIDADE DOS AGENTES NO TRATAMENTO DOS DADOS PESSOAIS
Recentemente entrou em vigor a Lei nº 13.709/2018, que regulamenta a proteção de dados pessoais no Brasil.
Tal legislação impõe uma nova cultura no tratamento e na proteção de dados, exigindo consciência da sociedade acerca da importância dos dados pessoais.
De acordo com a referida lei (artigo 5, inciso X), o tratamento de dados consiste em “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
A denominada Lei Geral de Proteção de Dados – LGPD estabeleceu regras sobre a responsabilidade dos agentes no tratamento dos dados pessoais.
Antes de tratarmos da responsabilidade, importante destacarmos quem são os agentes responsáveis pelo tratamento dos dados pessoais.
A lei prevê a figura do “controlador” (artigo 5, inciso VI) como sendo a pessoa física ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento dos dados pessoais.
Desta forma, o “controlador” ficará responsável por decidir a forma como os dados pessoais serão tratados.
A LGPD previu também a figura do “operador” (artigo 5, inciso VII) como sendo a pessoa física ou jurídica, de direito público ou privado, a quem compete realizar o tratamento dos dados pessoais em nome do controlador.
Portanto, caberá ao “operador” realizar o tratamento dos dados de acordo com a forma e a finalidade determinada pelo “controlador”.
Destacamos, ainda, a figura do “encarregado” (artigo 5, inciso VIII) que, apesar de não ser um agente responsável pelo tratamento de dados, consiste na pessoa física que irá atuar como um canal de comunicação entre os titulares dos dados, o controlador e a Autoridade Nacional de Proteção de Dados – ANPD.
A responsabilidade civil dos agentes de tratamentos de dados (controlador e operador) encontra-se prevista nos artigos 42 a 45 do referido diploma.
Da análise dos referidos artigos verifica-se que a responsabilidade civil do “controlador” e “operador” se dará de acordo com a falha no tratamento dos dados e pela extensão dos danos causados ao seu titular, podendo haver a responsabilidade solidária entre eles (artigo 43).
A Lei Geral de Proteção de Dados – LGPD contemplou também o direito a indenização por dano coletivo (artigo 42, §3), bem como a possibilidade de inversão do ônus da prova em favor do titular dos dados (artigo 42, § 2) quando preenchido os requisitos legalmente previstos, quais sejam, verossimilhança das alegações, hipossuficiência para fins de produção da prova em especial ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa.
Ainda sobre a responsabilidade dos agentes no tratamento de dados, a LGPD contemplou três hipóteses de excludente de responsabilidade (artigo 43), a quais deverão ser comprovadas pelos “controlador” e/ou “operador”.
Desta forma, o “controlador” e o “operador” não serão responsabilizados caso comprovem as excludentes previstas no artigo 43 da referida lei.
Ademais, a Lei Geral de Proteção de Dados – LGPD atribuiu ao “controlador” o ônus da prova no que diz respeito ao consentimento do titular dos dados tratados (artigo 8, §2), desde que não tenha tido vicio de vontade quanto a este último (consentimento).
Externadas tais razões, importante analisarmos alguns aspectos importantes referentes à obrigação de indenizar pelos agentes no tratamento dos dados pessoais.
Em que pese os debates existentes quanto à natureza da responsabilidade civil envolvida no tratamento dos dados pessoais, a LGPD impõe padrões de conduta a serem seguidos pelos agentes no tratamento dos dados (artigos 46 a 54), afastando a responsabilidade do agente nas hipóteses em que conduta praticada não viole a legislação de proteção de dados.
Além disso, a LGPD esclarece que “o tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar”.
Como se pode observar, a Lei Geral de Proteção de Dados prevê a responsabilidade dos controladores e operadores na reparação dos danos causados em decorrência do tratamento de dados pessoais.
A norma ainda prevê as hipóteses em que os agentes de tratamento não serão responsabilizados ou eventuais penalidades poderão ser reduzidas, especialmente quando demonstrado, pelo controlador e operador, a conformidade com a norma, incluindo a adoção de medidas técnicas e de governança aptas a fornecer a segurança que se espera de tais tratamentos.
Por esta razão, pode-se verificar a importância das empresas implementarem projetos de adequação à LGPD, no intuito de garantirem a adequação à norma e redução dos prejuízos financeiros e à sua imagem na eventualidade de estarem diante de um incidente de privacidade.
* Esse texto foi elaborado por Everton Andrade, sócio de Guimarães e Meireles Advogados Associados