Com a vigência da LGPD passou a ser de grande importância a definição das responsabilidades dos agentes nas operações de tratamentos de dados pessoais decorrentes das relações contratuais.
Diferente da GDPR, a LGPD não regula expressamente o teor mínimo das cláusulas
contratuais entre os agentes de tratamento de dados. Se de um lado o cenário
nacional proporciona maior atuação particular, de outro aumenta a responsabilidade
dos profissionais que irão redigir tais cláusulas.
Mesmo sem qualquer regulamentação expressa acerca do teor das cláusulas
contratuais, a análise de forma sistemática da LGPD permite a extração do
conteúdo mínimo das cláusulas contratuais capazes de os riscos dos contratantes
e proporcionar maior proteção aos dados pessoais.
O primeiro passo é definir as atribuições de cada agente no tratamento dos
dados pessoais. Tal medida deve ser realizada com grande cautela, pois além de
impactar diretamente na responsabilidade de cada agente, também irá determinar
a posição de controlador (art. 5º, inciso VI) ou de operador (art. 5º, VII) no
tratamento.
A LGPD estabelece que será considerado como controlador “a pessoa natural ou
jurídica, de direito público ou privado, a quem competem as decisões referentes
aos tratamentos de dados pessoais” e ocupará a posição de operador a “a pessoa
natural ou jurídica, de direito público ou privado, que realiza o tratamento de
dados pessoais em nome do controlador”.
Em síntese, a parte contratante será considerada como controladora se couber a
ela a decisão de realizar o tratamento, quando é ela quem define a finalidade e
os propósitos do tratamento, bem como os seus elementos essenciais (ex: quais
dados serão tratados, por qual período de tempo etc).
Por sua vez, será considerado como operador aquele que age para atender os
propósitos e finalidades de outrem (no caso, controlador), podendo, contudo,
determinar as medidas técnicas e organizacionais mais adequadas para o
tratamento, desde que não essenciais.
Nem sempre será a simples definir a posição dos agentes, principalmente nos
casos envolvendo complexos arranjos de tratamento de dados pessoais. No cenário
Europeu há guidelines que orientam as partes contratuais nesta definição. A
nossa ANPD – Autoridade Nacional de Proteção de dados também poderá se
posicionar sobre tal ponto.
Somente a análise acurada do caso concreto é capaz de verificar qual a posição
assumida por cada uma das partes contratuais. Definida a posição, passa-se para
o segundo ponto, que é a definição da responsabilidade dos agentes em todas as
etapas do tratamento.
Assim, a empresa que ocupa a posição de operadora deve ter atenção nas
cláusulas que definem as orientações do controlador. Tal medida é importante,
pois configurada a inobservância do operador, este assume a posição de
controlador e responde solidariamente pelos danos decorrentes do tratamento
(art. 42, §1º, inciso I, LGPD).
O operador também deve se preocupar com a licitude da fonte dos dados fornecida
pelo controlador, bem como informá-lo caso haja a necessidade de
compartilhamento.
Por outro lado, se a empresa assume a função de controladora é de grande
importância que ajuste expressamente a comprovação das medidas técnicas de
segurança adotadas pelo operador, tais como criptografias, anonimização ou
pseudonimização, testes de vulnerabilidades, treinamento de funcionários,
certificações etc.
Considerando que compete aos controladores a responsabilidade de garantir a proteção
dos dados pessoais perante os titulares, é importante que opte por
empresas/operadoras que forneçam garantias suficientes sobre suas medidas de
segurança. Esse ponto demonstra que tal comprovação será um diferencial no
mercado.
A definição das responsabilidades dos agentes é de grande importância em razão
da redação geral e bastante ampla dos arts 42 e 46 da LGPD, que preveem a
responsabilidade dos agentes pelos danos decorrentes da violação à legislação
de proteção de dados, bem como o fato de ser considerado como irregular não só
o tratamento que contraria os preceitos da LGPD, como também aquele que não
fornece a segurança que o titular pode esperar.
Portanto, deve ser previsto nos contratos os meios capazes de atestar que as
partes estão cumprindo os termos da lei e adotando medidas técnicas e
administrativas suficientes para garantir o tratamento seguro dos dados
pessoais. É dizer, não basta a mera previsão contratual, a proteção deve ser
provada e auditada.
O acima exposto é reforçado pelo princípio da responsabilização e da prestação
de contas previsto no art. 6º, X, da LGPD que prevê a necessidade de
“demonstração, pelo agente, da adoção de medidas eficazes e capazes de
comprovar a observância e o cumprimento das normas de proteção de dados pessoais
e, inclusive, da eficácia dessas medidas”.
Por fim, é claro que todas as observações acima devem estar alinhadas com o
objeto do contrato e com a atividade empresarial das partes, sob pena de
aumentar de forma desnecessária a responsabilidade das partes.
Portanto, já é possível concluir que cláusulas genéricas expondo a simples
obrigação de tratar os dados pessoais conforme as regras da LGPD, nem de longe
são suficientes para definir responsabilidades, mitigar penalizações e
contribuir para o sistema de proteção dos dados pessoais.
Juliana Callado Gonçales - sócia do Silveira Advogados e especialista em
Direito Tributário e em Proteção de Dados
Nenhum comentário:
Postar um comentário