No atual cenário, a movimentação de empresas que realizam atividades de tratamento de dados pessoais ("Agentes de Tratamento") na busca por adequação à Lei Geral de Proteção de Dados Pessoais ("LGPD") é evidente.
No entanto, nem tão evidente assim, é o regime de responsabilização desses Agentes de Tratamento adotado pela LGPD.
Contudo, podemos tentar sanar parte dessa incerteza analisando alguns aspectos básicos referentes às hipóteses de responsabilização previstas pela LGPD. Vejamos:
Regime de responsabilidade civil adotado pela LGPD
"Regime de responsabilidade civil" é o termo utilizado para se referir ao modelo adotado por determinado regramento para determinar os requisitos necessários para que uma pessoa seja responsabilizada pela reparação de um dano causado a outrem. Existem dois tipos de regimes de responsabilidade civil: (i) o da responsabilidade objetiva, no qual, para que haja obrigação de reparação de danos, é necessário comprovar apenas a existência de relação entre a conduta de uma pessoa e os danos causados a outra (nexo causal), e (ii) o da responsabilidade subjetiva, no qual, para que haja obrigação de reparação de danos, é necessário comprovar, além do nexo causal, a existência de culpa da pessoa que causou os danos.
A definição de qual seria o regime de responsabilidade civil adotado pela LGPD é um ponto controverso que tem causado bastante discussão. No entanto, levando em consideração que as hipóteses de responsabilização previstas na LGPD se estruturam em torno da existência de culpa na conduta do Agente de Tratamento, pode-se afirmar que o regime adotado é o de responsabilidade civil subjetiva.
Hipóteses de responsabilização e de exclusão de culpa
No que diz respeito às hipóteses de responsabilização, a LGPD estabelece que o Agente de Tratamento tem o dever de reparar o dano causado ao sujeito que tem seus dados pessoais tratados ("Titular") de forma irregular. Nesse sentido, mostra-se oportuno caracterizar o que seria uma atividade de tratamento de dados irregular, que conforme disposição da LGPD, é aquela em que o Agente de Tratamento deixa de observar a legislação de proteção de dados pessoais ou não fornece ao Titular a segurança que este possa dele esperar.
Contudo, a LGPD também prevê hipóteses de exclusão de culpa do Agente de Tratamento, casos em que este não poderá ser responsabilizado pelo dano causado ao Titular. Aqui, podemos citar as seguintes hipóteses: (i) o Agente de Tratamento não tenha realizado o tratamento de dados que lhe é atribuído, (ii) embora tenha realizado o tratamento de dados que lhe é atribuído, este tenha sido feito em conformidade com a LGPD, e (iii) o dano tenha sido causado por culpa exclusiva do próprio Titular ou de um terceiro.
Responsabilização quanto ao tipo de Agente de Tratamento
Conforme anteriormente mencionado, "Agente de Tratamento" é a nomenclatura utilizada pela LGPD para se referir ao sujeito que realiza a atividade de tratamento de dados pessoais. No entanto, cumpre ressaltar que o Agente de Tratamento pode se apresentar de duas formas, sendo elas: (i) controlador, que é a pessoa (física ou jurídica), de direito público ou privado, que decide sobre a forma como será realizada a atividade de tratamento de dados, e (ii) operador, que é a pessoa (física ou jurídica), de direito público ou privado, que realiza a atividade de tratamento de dados propriamente dita em nome do controlador.
Imaginemos, por exemplo, o caso de uma agência bancária que, visando aumentar seu faturamento, decide contratar uma empresa de telemarketing para oferecer diferentes planos a seus clientes. Nesse caso, evidencia-se que a agência bancária, por ser a responsável pela tomada de decisões referentes à atividade de tratamento de dados em si, caracteriza-se como controlador, enquanto a empresa de telemarketing, que segue as instruções da agência bancária, caracteriza-se como mero operador. No entanto, em alguns casos, um Agente de Tratamento pode exercer, simultaneamente, os papéis de controlador e de operador de uma mesma atividade de tratamento. Um exemplo clássico seria, no caso da empresa de telemarketing, o tratamento de dados obtido de seus clientes (quando esta seria mera operadora) e o tratamento de dados de seus funcionários (quando seria a controladora).
Contudo, as diferenças entre os Agentes de Tratamento não acabam em suas funções, estendendo-se ao campo da responsabilização. O controlador, por se tratar do sujeito responsável pela tomada de decisões e, consequentemente, pela definição dos principais aspectos da atividade de tratamento, normalmente deverá ser responsabilizado, salvo naquelas hipóteses de exclusão de culpa anteriormente indicadas. Já o operador, poderá ser responsabilizado de forma solidaria, apenas nos casos em que tiver realizado a atividade de tratamento que lhe é atribuída em desconformidade com a LGPD ou em desacordo com as instruções lícitas recebidas do controlador.
Conclusão
Em síntese, evidencia-se que o legislador da LGPD teve mérito ao estabelecer o regime de responsabilização dos Agentes de Tratamento. Assim, a empresa que pretende se adequar ao novo cenário de proteção de dados de nosso país não pode deixar de observar as peculiaridades desse regime de responsabilização adotado pela LGPD que, a despeito de ser de natureza subjetiva, ou seja, que depende da aferição de culpa, contém parâmetros objetivos que tornam muito difícil afastá-la.
Renata Ciampi / Ítalo Lima
Equipe de Tecnologia, Propriedade Intelectual e Direito Digital - Motta Fernandes
Comments