As principais responsabilidades dos controladores conforme regras da LGPD
Inegável a complexidade dessas normas e os um desafio para sua interpretação por parte de operadores de direito, em função da sua complexidadade.
segunda-feira, 25 de julho de 2022
Atualizado em 26 de julho de 2022 09:53
A lei Geral de Proteção de Dados Pessoais (LGPD), lei 13.709/181, foi promulgada para proteger os direitos fundamentais de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo. A lei fala sobre o tratamento de dados pessoais, dispostos em meio físico ou digital, feito por pessoa física ou jurídica de direito público ou privado, englobando um amplo conjunto de operações que podem ocorrer em meios manuais ou digitais.
No âmbito da LGPD, o tratamento dos dados pessoais pode ser realizado por dois agentes de tratamento, o Controlador e o Operador. Além deles, há a figura do Encarregado, que é a pessoa indicada pelo Controlador para atuar como canal de comunicação entre o Controlador, o Operador, os(as) titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
A lei traz uma seção dedicada à responsabilização, que expõe os fatores que regulam a reparação de danos e a circunstâncias que possam caracterizar um tratamento irregular.
Porém, é importante destacar que não está presente na referida lei, com precisão o regime de responsabilidade civil, isto é, a lei não deixa claro se é necessário comprovar a culpa para haver indenização, motivo pelo qual advogados e especialistas entraram em um debate acalorado e ainda distante de um posicionamento pacífico a respeito.
Dentre alguns posicionamentos destacamos alguns juristas defendem que ao interpretar a lei, ela se mostra contraditória quanto a aplicação da responsabilidade civil objetiva, isto é, aquela que advém da prática de algum ato ilícito ou da violação do direito de terceiros e que, para ser comprovada, independe, por parte do prejudicado, da comprovação de culpa ou dolo do agente causador do dano, sendo que há uma série de dispositivos na LGPD regulando boas práticas e medidas de adequação.
Ora, se a responsabilização independe de culpa, qual o sentido de cumpri-las , a considerar o disposto no art. 45 da lei onde estabelece que, no âmbito consumerista, as hipóteses permanecem sujeitas ao CDC, e em vista disso, no restante da lei deveria ser aplicada a lógica da responsabilidade civil subjetiva, isto é, aquela em que há o dever de indenizar os danos causados diante de uma ação ou omissão, dolosa ou culposa.
Para Dra. Laura Schertel Mendes, professora de Direito Civil do IDP, a LGPD traz, em realidade, mais de um tipo de responsabilidade, mas sua aplicação na lei não dependeria dos debates doutrinários entre subjetivistas e objetivistas. Isso porque não caberia à vítima provar a ilicitude do tratamento, por força do texto literal dos art. 42 e 43. Antes, compete aos agentes a comprovação que a atividade não aconteceu ou que era lícita2.
"A responsabilidade civil na LGPD pressupõe o reconhecimento do risco no tratamento de dados pessoais. Dessa forma, pouco importa na prática se qualificarmos a responsabilidade da LGPD como objetiva ou como subjetiva com culpa presumida," explica Mendes. "Fato é que o dever de indenizar surge quando houver o dano, a violação à norma e o nexo causal, podendo os agentes de tratamento provarem que não houve violação à norma, que a atividade não se realizou ou que o dano decorre de culpa exclusiva de titular ou de terceiro."
Em sintonia com o argumento da Professora Laura Mendes, vale ressaltar, o art. 944 do Código Civil dispõe que "A indenização mede-se pela extensão do dano". E a extensão de um dano relativo à proteção de dados poderá levar em consideração os seguintes critérios:
- A quantidade de dados pessoais afetados;
- A natureza dos dados pessoais afetados: o vazamento de dados pessoais sensíveis3, por exemplo, determinará uma indenização maior, especialmente se se tratar de dados biométricos, que não podem ser substituídos;
- A reincidência da conduta; a omissão em tomar medidas de segurança e técnicas para minorar o dano ou em colaborar com a Autoridade Nacional de Proteção de Dados;
- A ausência de notificação dos usuários da ocorrência do incidente4;
- A comprovada utilização dos dados pessoais vazados de titulares por terceiros.
Enquanto ainda não está pacificado, quanto a responsabilidade civil, por outro lado podemos afirmar de forma assertiva que a LGPD, trouxe de forma taxativa as principais responsabilidades dos controladores quanto ao tratamento de dados pessoais, conforme destacamos a seguir:
- Definir a base legal (art. 7º)
- Manter registro das operações de tratamento (art. 88)
- Informar e prestar contas; garantir a portabilidade (art. 9º; art. 18; art. 20);
- Garantir a transparência no tratamento de dados baseado em legítimo interesse (art. 10, § 2º);
- Elaborar relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, com observância dos segredos comercial e industrial (art. 10; § 3º; art. 38);
- Verificar o consentimento, quando base legal e pelo responsável legal quando criança (art. 14 § 4º)
- Elimar os dados após o tratamento (art. 16)
- Estabelecer mecanismos e salvaguardas nas transferências de dados
- Indicar o encarregado pelo tratamento de dados (art. 41);
- Reparar danos patrimoniais, morais, individuais ou coletivos causados por violação à legislação de proteção de dados pessoais (art. 42);
- Comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares (art. 48);
- Salvaguardar os direitos dos titulares: responder as requisições, a adoção de providências, divulgação do fato em meios de comunicação; medidas para reverter ou mitigar os efeitos do incidente (art. 18, art. 48, § 2º);
- Observar as boas práticas e padrões de governança (art. 50).
Conclusão
Inegável a complexidade dessas normas e os um desafio para sua interpretação por parte de operadores de direito, em função da sua complexidadade, mas é necessária a sua compreensão, por parte de controladores e operadores de suas responsabilidades, adotando sempre as Boas práticas previstas na própria LGPD, na preservação dos direitos dos titulares, minimização dos riscos de eventuais ações judiciais.
Vale ressaltar, inclusive que o direito do titular, a proteção de dados, já figura como Direito Fundamental, conforme texto da EC 115, que foi acrescido um inciso LXXIX ao artigo 5º, CF, dispondo que "é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais".
----------------------------
1 BRASIL. Lei no 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei no 13.853, de 2019. Brasília, DF: Senado Federal, 2018.
2 Responsabilidade civil na LGPD: não há consenso entre especialistas.
3 Art. 5o: "II - dado pessoal sensi'vel: dado pessoal sobre origem racial ou e'tnica, convicc¸a~o religiosa, opinia~o poli'tica, filiac¸a~o a sindicato ou a organizac¸a~o de cara'ter religioso, filoso'fico ou poli'tico, dado referente a` sau'de ou a` vida sexual, dado gene'tico ou biome'trico, quando vinculado a uma pessoa natural".
4 "Art. 48. O controlador devera' comunicar a` autoridade nacional e ao titular a ocorre^ncia de incidente de seguranc¸a que possa acarretar risco ou dano relevante aos titulares".