Já não há mais dúvidas de que a Lei Geral de Proteção de Dados (LGPD) afetará grandes, médias e pequenas empresas, de qualquer ramo de negócio, e de forma profunda, vez que exigirá de todas elas uma nova forma de lidar com os dados pessoais tratados.
O tratamento, como indica o conceito trazido pela própria lei 13.709/18, em seu artigo 5º, X envolve absolutamente toda operação realizada com dados pessoais, como coleta, armazenamento, processamento e compartilhamento. A definição já indica, portanto, que aquela empresa que recebe dados de uma outra, ainda que não os tenha coletado diretamente do titular, também deve se atentar aos preceitos da nova lei.
O legislador, ciente de que a parceria entre empresas é praticamente inevitável no mundo corporativo, atribuiu a todos os agentes de tratamento a responsabilidade de observar os preceitos da nova lei. Assim, podem ser responsáveis pelos mesmos dados o restaurante que transmite informações de seus clientes a uma empresa de marketing, a loja de varejo que utiliza uma empresa terceirizada de RH e até mesmo esta última, ao contratar uma gráfica para a elaboração de crachás.
Para delimitar a responsabilidade de cada agente de tratamento, a LGPD instituiu a figura do Controlador e Operador dos dados, sendo o primeiro aquele que tem o poder de decidir como se dará o tratamento e o segundo aquele que o realiza em nome do controlador. Ou seja, o Controlador é aquele que definirá a atividade de tratamento, enquanto que o Operador realizará tal atividade.
É importante consignar que tais figuras não são estáticas, não há empresas que são apenas Controladoras e outras Operadoras. Tudo dependerá do contexto em que são utilizados os dados. Como exemplo, uma empresa de telemarketing pode ser caracterizada como Operadora com relação aos dados que lhe são transmitidos por um Curso de Idiomas, e simultaneamente atuar como Controladora dos dados de seus próprios funcionários.
Estabelecidos tais conceitos, é possível agora analisar as responsabilidades atribuídas pela lei a cada agente de tratamento, o que é essencial para que se perceba a importância da delimitação cuidadosa das obrigações de cada parte nos contratos firmados entre as empresas.
O artigo 42 da lei 13.709/18 estabelece que o Controlador e Operador são responsáveis por qualquer dano causado em razão da violação de referida lei. Ou seja, não apenas no caso de vazamento de dados incide a responsabilidade dos agentes de tratamento. A inobservância dos direitos dos titulares, princípios elencados pela LGPD ou qualquer outro regramento da lei é capaz de gerar o dever de indenizar pela parte infratora.
Merece destaque também o artigo 46 da LGPD, que estabelece que os agentes de tratamento deverão adotar medidas de segurança, técnicas e administrativas visando a proteção de dados pessoais.
Como bem observado por Walter Capanema1 "é possível identificar duas situações de responsabilidade civil na LGPD: a) violação de normas jurídicas, do microssistema de proteção de dados; b) violação de normas técnicas, voltadas à segurança e proteção de dados pessoais."
O Controlador pode ser responsabilizado, ainda, quando fornecer instruções ilícitas ao Operador. Este último, por sua vez, pode ser responsabilizado de forma solidária caso não observe as ordens do Controlador.
Diante deste contexto, em uma relação contratual em que uma empresa se encontre na posição de Controladora de dados, é importante que as obrigações impostas à Operadora sejam todas lícitas. Não se poderia exigir da Operadora, por exemplo, o armazenamento dos dados a ela transmitidos por tempo indeterminado, o que consubstanciaria afronta aos princípios da LGPD.
É interessante registrar que a Operadora se comprometa a realizar o tratamento dos dados em consonância com as disposições da lei 13.709/18, cláusula mais "aberta" e que norteia o espírito da contratação.
De forma mais específica, é recomendável que se consigne expressamente no instrumento contratual quais tipos de dados serão transmitidos à Operadora e para qual finalidade devem ser tais informações utilizadas. Isto evitará que a Operadora peça dados desnecessários aos titulares sob o pretexto de o fazer em razão do contrato firmado com a Controladora, ou que aquela utilize para outros fins os dados em seu poder.
Sugere-se, ainda, a menção à duração do tratamento dos dados, os tipos de dados que serão tratados, bem como sua categoria.
Pode ser útil a existência de previsão que exija que a Operadora adote as medidas necessárias para responder às solicitações dos titulares de dados, e que informe à Controladora sobre eventual vazamento de dados ou qualquer incidente de segurança.
Não se recomenda, por outro lado, que sejam delimitadas no instrumento contratual de forma taxativa as medidas de segurança a serem adotadas pela Operadora, já que o rápido avanço da tecnologia poderia torná-las obsoletas e colocar a empresa numa posição de vulnerabilidade.
É de grande importância consignar a possibilidade ou não de compartilhamento dos dados com terceiros, como empresas subcontratadas pelas Operadoras, e estabelecer que, caso isto ocorra, deverá se dar com ciência e autorização da Controladora.
Outra disposição de grande relevância é a possibilidade da realização de auditorias pela Controladora junto à parceira Operadora, medida que certamente conferirá àquela a segurança de que os dados transmitidos à Operadora estão sendo tratados de forma adequada.
Já a empresa que estiver na posição de Operadora deve se certificar de que o contrato firmado com a Controladora assegure que a coleta dos dados foi realizada com observância aos termos da LGPD. Deve também a Operadora analisar com rigor a contratação para apurar se nela é aventada alguma exigência ilícita.
Por fim, mas não menos importante, não somente os instrumentos de contratação firmados pelas empresas devem estar adequados à Lei Geral de Proteção de Dados, mas também a organização como um todo, a fim de se garantir o efetivo cumprimento dos direitos dos titulares.
_________
1 Cadernos Jurídicos, São Paulo, ano 21, 53, p. 163-170, Janeiro-Março/20
_________
*Mariana Borges Carneiro de Siqueira é advogada do escritório Vieira de Castro, Mansur e Faver, especialista em Proteção de Dados pela FGV e co-fundadora da start-up jurídica Codices.