Mídia
A Lei Geral de Proteção de Dados (LGPD) é norteada por princípios (artigo 6º) que coincidem com aqueles aplicáveis às relações de consumo, tais como transparência, livre acesso, prevenção e responsabilização, e a defesa do consumidor é mencionada expressamente (artigo 2º, VI) como um dos fundamentos que regem essa lei. E, considerando que grande parte dos dados a serem tratados pelas empresas decorrem da relação de consumo, é importante entender, sob o ponto de vista dessa lei especial, como se dará a responsabilização daqueles envolvidos no tratamento dos dados e assim tomar as devidas cautelas com o objetivo de evitar um aumento desse tipo de contingência.
Inicialmente, para melhor compreensão do tema, cabe esclarecer os personagens envolvidos no tratamento de dados de acordo com a nomenclatura definida pela própria LGPD: os agentes de tratamento são o controlador e o operador, sendo que este é quem efetivamente realiza o tratamento e processamento dos dados e o controlador é o responsável pela sua coleta. O titular é a pessoa natural cujos dados serão tratados.
O artigo 42 da LGPD estabelece que o controlador ou operador que causar dano material ou moral, individual ou coletivo, decorrente da violação das suas normas, será obrigado a repará-lo. Assim, a regra geral é a responsabilização individual de cada agente, na medida e proporção em que os atos praticados em contrariedade à lei tenham nexo com o dano efetivamente causado ao titular.
Mas o legislador também estabeleceu duas hipóteses para a responsabilização solidária dos agentes pelos danos causados ao titular: I) responsabilidade solidária do operador quando ele não tiver seguido as instruções lícitas do controlador; e II) solidariedade entre os controladores que estiverem diretamente envolvidos no tratamento. A implicação da solidariedade é que qualquer um desses agentes, isolada ou conjuntamente, poderá ser acionado para reparar o dano.
Além disso, muito embora todo ato praticado em desacordo com a LGDP seja considerado como irregular e seja passível de indenização, a segurança dos dados é tratada pela norma com destaque (artigo 44). Portanto, é essencial a adoção de medidas de segurança tais como implementação de parâmetros técnicos e administrativos aptos a proteger acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
A exclusão da responsabilidade indenizatória dos agentes de tratamento só ocorrerá se provarem (ônus da prova integralmente destes) que: I) não realizaram o tratamento de dados que lhes é atribuído; II) embora tenham realizado o tratamento, não houve violação à LGPD; ou III) que o dano decorre de culpa exclusiva do titular ou de terceiros.
A LGPD estabeleceu regras específicas e o mais completas possível para balizar a responsabilização. Todavia, ao prever (no artigo 45) que a violação do direito do titular dos dados decorrente de uma relação de consumo estará sujeita às regras do CDC, os conceitos e hipóteses mencionados acima não mais prevalecerão e o titular consumidor será visto pelo Poder Judiciário necessariamente como parte hipossuficiente, o que lhe traz algumas vantagens.
E, ao se aplicar regras previstas no CDC, a reparação civil torna-se objetiva: exclui-se a necessidade de comprovação de culpa pelo fornecedor, bastando a simples comprovação do dano e nexo decorrentes da falha na prestação dos serviços/produto. A inversão do ônus da prova e solidariedade entre os fornecedores são também regras de aplicação automática nessa esfera.
Considerando que as figuras do controlador e do operador poderão ou não estar concentradas em uma mesma pessoa, e diante da complexidade estrutural e técnica necessárias à efetiva e segura proteção dos dados, é muito provável que as empresas não tenham condições técnicas ou financeiras de realizar internamente esse tratamento de dados. Portanto, vislumbra-se um cenário no qual a contratação de um operador será recorrente, assim como a responsabilidade solidária entre eles por eventuais danos.
Portanto, essa contratação deverá ser muito bem estruturada para garantir ao controlador auditar os trabalhos realizados pelo operador e que o operador tenha a exata e clara compreensão das instruções repassadas pelo controlador, não presumindo que o trabalho realizado esteja de acordo com a LGPD.
Tendo em vista que cabe ao controlador estabelecer quais são os dados mínimos e adequados à sua atividade, bem como suas especificidades de tratamento, ele não poderá contratar um operador de forma automática, sem lhe repassar de forma detalhada tais informações, sem ter o mínimo de compreensão sobre as técnicas que serão aplicadas e sem assegurar-se de que essas serão aptas a garantir a eficácia e segurança estabelecidas pela lei.
Caberá então ao controlador definir em contrato de forma clara e detalhada os deveres de cada uma das partes, garantindo que o operador demonstre a adequação e a segurança das técnicas que serão aplicadas, bem como o seu direito de, no curso da relação, ter acesso e/ou auditar o operador e solicitar adequações e atualizações das suas práticas.
A possibilidade de atualização dos procedimentos para o tratamento de dados deve estar prevista, uma vez que, as técnicas disponíveis à época em que o dado foi tratado serão levadas em consideração para fins de averiguar a regularidade ou não do tratamento.
Muito embora a LGPD já preveja (artigo 42, §4º) o direito de regresso entre os agentes, a delimitação dessa responsabilidade poderá ser de difícil comprovação. Portanto, o ideal é estabelecer no contrato exemplos concretos de eventuais falhas e definição do responsável. Alternativamente, quando não for possível individualizar dessa forma, recomenda-se estabelecer o percentual para responsabilização de cada um, evitando que apenas um arque com o prejuízo ou que fique à mercê do julgador estabelecer a extensão dessa responsabilidade.
Além dos benefícios que as práticas acima destacadas podem trazer à relação a ser pactuada entre os agentes e respectivas obrigações, também poderá ser útil para comprovar que todas as cautelas necessárias para cumprimento das normas da LGPD foram tomadas.
Portanto, a mitigação dos danos ocorrerá se houver sinergia entre o controlador e o operador para garantir o correto e seguro tratamento dos dados, uma vez que a chance de responsabilização solidária entre os agentes é muito grande nas relações gerais e certa nas de consumo.
*Artigo originalmente postado no Conjur.