Por Juliana Callado Gonçales – advogada
Com a vigência da LGPD passou a ser de grande importância a definição das responsabilidades dos agentes nas operações de tratamentos de dados pessoais decorrentes das relações contratuais.
Diferente da GDPR, a LGPD não regula expressamente o teor mínimo das cláusulas contratuais entre os agentes de tratamento de dados. Se de um lado o cenário nacional proporciona maior atuação particular, de outro aumenta a responsabilidade dos profissionais que irão redigir tais cláusulas.
Mesmo sem qualquer regulamentação expressa acerca do teor das cláusulas contratuais, a análise de forma sistemática da LGPD permite a extração do conteúdo mínimo capaz de mitigar os riscos dos contratantes e proporcionar maior proteção aos dados pessoais.
O primeiro passo é definir as atribuições de cada agente no tratamento dos dados pessoais. Tal medida deve ser realizada com grande cautela, pois além de impactar diretamente na responsabilidade de cada agente, também irá determinar a posição de controlador (art. 5º, inciso VI) ou de operador (art. 5º, VII) no tratamento.
A LGPD estabelece que será considerado como controlador “a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes aos tratamentos de dados pessoais” e ocupará a posição de operador a “a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”.
Em síntese, a parte contratante será considerada controladora se couber a ela a decisão de realizar o tratamento, quando define a finalidade, os propósitos do tratamento e elementos essenciais do tratamento (ex: quais dados serão tratados, por qual período de tempo etc).
Por sua vez, será considerado operador aquele que age para atender os propósitos e finalidades de outrem (no caso, controlador), podendo, contudo, determinar as medidas técnicas e organizacionais mais adequadas para o tratamento, desde que não essenciais.
Nem sempre será a simples definir a posição dos agentes, principalmente nos casos envolvendo complexos arranjos de tratamento de dados pessoais. No cenário Europeu há guidelines que orientam as partes contratuais nesta definição. A nossa ANPD – Autoridade Nacional de Proteção de dados também poderá se posicionar sobre tal ponto.
Somente a análise acurada do caso concreto é capaz de verificar qual a posição assumida por cada uma das partes contratuais. Verificada a posição do agente no tratamento, passa-se para o segundo ponto, que é a definição da responsabilidade dos agentes em todas as etapas do tratamento.
Assim, a empresa que ocupa a posição de operadora deve ter atenção nas cláusulas que definem as orientações do controlador. Tal medida é importante, pois configurada a inobservância do operador, este assume a posição de controlador e responde solidariamente pelos danos decorrentes do tratamento (art. 42, §1º, inciso I, LGPD).
O operador também deve se preocupar com a licitude da fonte dos dados fornecidos pelo controlador, bem como informá-lo caso haja a necessidade de compartilhamento.
Por outro lado, se a empresa assume a função de controladora é de grande importância que ajuste expressamente a comprovação das medidas técnicas de segurança adotadas pelo operador, tais como criptografias, anonimização ou pseudonimização, testes de vulnerabilidades, treinamento de funcionários, certificações etc.
Considerando que compete aos controladores a responsabilidade de garantir a proteção dos dados pessoais perante os titulares, é importante que opte por empresas/operadoras que forneçam garantias suficientes sobre suas medidas de segurança. Esse ponto demonstra que tal comprovação será um diferencial no mercado.
A definição das responsabilidades dos agentes é de grande importância em razão da redação geral e bastante ampla dos arts 42 e 46 da LGPD, que preveem a responsabilidade dos agentes pelos danos decorrentes da violação à legislação de proteção de dados, bem como o fato de ser considerado como irregular não só o tratamento que contraria os preceitos da LGPD, como também aquele que não fornece a segurança que o titular pode esperar.
Portanto, deve ser previsto nos contratos os meios capazes de atestar o cumprimento da LGPD e a eficácia das medidas técnicas e administrativas adotadas para garantir o tratamento seguro dos dados pessoais. É dizer, não basta a mera previsão contratual, a proteção deve ser provada e auditada.
O acima exposto é reforçado pelo princípio da responsabilização e da prestação de contas previsto no art. 6º, X, da LGPD que prevê a necessidade de “demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas”.
Por fim, é claro que todas as observações acima devem estar alinhadas com o objeto do contrato e com a atividade empresarial das partes, sob pena de aumentar de forma desnecessária a responsabilidade dos contratantes.
Portanto, já é possível concluir que cláusulas genéricas expondo a simples obrigação de tratar os dados pessoais conforme as regras da LGPD nem de longe são suficientes para definir responsabilidades, mitigar penalizações e contribuir para o sistema de proteção dos dados pessoais.
Sobre a autora
Juliana Callado Gonçales é sócia do Silveira Advogados e especialista em Direito Tributário e em Proteção de Dados (www.silveiralaw.com.br)
Comuniquese 1