Agentes de Tratamento, Encarregados e Responsabilidade
Agentes de Tratamento
Os agentes de tratamento são os indivíduos que irão manipular os dados pessoais de outrem. Essa manipulação pode ser exercida de diversas maneiras, como já vimos na aula passada. A LGPD classifica como agentes de tratamento o controlador e o operador de dados.
Art. 5º. IX - agentes de tratamento: o controlador e o operador;
É importante destacar que a lei exclui da definição de "agentes de tratamento" a figura do encarregado. Essa informação será importante mais adiante, quando formos estudar a responsabilidade civil, pois o encarregado responde de maneira diferenciada dos agentes de tratamento.
Quem é o Controlador?
A LGPD esclarece esse aspecto. Vejamos:
Art. 5º. VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
O controlador pode ser uma pessoa física ou jurídica, de direito público ou privado. A ele competem as decisões sobre o tratamento de dados. Logo, ele deverá definir a finalidade e os motivos para o tratamento de dados pessoais.
Quanto ao papel do controlador, o artigo 38 da LGPD determina que a autoridade nacional poderá requerer um relatório de impacto à proteção de dados. Observe:
Art. 38. A autoridade nacional de proteção de dados poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.
Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
Esse relatório poderá ser requerido quando envolverem: dados pessoais sensíveis, tratamento de dados justificado no legítimo interesse do controlador ou de terceiro.
Quanto ao conteúdo, o relatório deverá abordar a descrição de processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de riscos. Nesse ínterim, nota-se a importância do estabelecimento de um contrato entre o controlador e terceiros, principalmente o operador de dados.
Quem é o Operador?
Observe também essa definição no artigo 5º da LGPD:
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
Assim, o operador também pode ser uma pessoa natural ou jurídica, de direito público ou privado. Sua função é realizar o tratamento de dados pessoais em nome do controlador conforme as suas instruções.
Assim, a título de exemplo, suponhamos que um banco contrate uma agência de marketing para se comunicar com os clientes. Nesse caso, o banco será o controlador e a agência de marketing será o operador dos dados pessoais dos clientes do banco.
Quem é o Encarregado?
Observe a definição dada pelo artigo 5º da LGPD:
VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
O encarregado poderá ser uma pessoa física ou jurídica, deverá ser obrigatoriamente indicado pelo controlador. A principal função do encarregado é atuar como um canal de comunicação entre o controlador, os titulares de dados e a Autoridade Nacional de Proteção de Dados. Quer dizer, ele deverá receber as queixas dos titulares, auxiliar o controlador a agir em conformidade com a lei e responder à autoridade. É interessante destacar que não é obrigatória nenhuma formação específica para que uma pessoa possa ser designada como encarregado. Porém, ela deverá ter um razoável entendimento das leis, de segurança de informação, de gestão e de fluxo de dados.
Responsabilidade Civil dos Agentes de Tratamento
A responsabilidade civil dos agentes de tratamento está descrita no artigo 42 LGPD. Observe:
Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
§ 1º A fim de assegurar a efetiva indenização ao titular dos dados:
I - o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;
II - os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta Lei.
§ 2º O juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa.
§ 3º As ações de reparação por danos coletivos que tenham por objeto a responsabilização nos termos do caput deste artigo podem ser exercidas coletivamente em juízo, observado o disposto na legislação pertinente.
§ 4º Aquele que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso.
De acordo com a regra geral do Código Civil de 2002 (artigos 186, 187 e 927), os agentes de tratamento serão responsáveis apenas pelos atos praticados e pelos danos causados, sejam estes materiais, morais, individuais ou coletivos pela violação da LGPD. Por exemplo, se o controlador deixar de adotar medidas de segurança previstas na LGPD, ele será responsabilizado. Se o operador deixar de adotar medidas de segurança estipuladas pelo coordenador, ele também será responsabilizado.
Responsabilidade Solidária
O operador poderá responder solidariamente com o controlador quando ele cumprir instruções contrárias a LGPD fornecidas pelo controlador ou quando ele não seguir as instruções lícitas fornecidas pelo controlador. Contudo, há casos nos quais o operador não será punido, conforme previsto no artigo 43 da lei.
Reparação
A reparação dos titulares pode ser individual ou coletiva. A comprovação do ato ilícito deverá ser feita, por sua vez, pela parte que tem mais condições de produzi-la. Para isso, segundo o artigo 6º, inciso VIII, do Código de Defesa do Consumidor, poderá ser realizada a inversão do ônus da prova em favor do consumidor. Quer dizer, em vez de o titular dos dados ter que comprovar suas alegações, essa comprovação poderá ficar a cargo dos agentes de tratamento, a fim de facilitar a defesa dos direitos do titular. Essa posição também é defendida pelo Código de Processo Civil, no artigo 373, parágrafo 1º:
Art. 373. § 1º Nos casos previstos em lei ou diante de peculiaridades da causa relacionadas à impossibilidade ou à excessiva dificuldade de cumprir o encargo nos termos do caput ou à maior facilidade de obtenção da prova do fato contrário, poderá o juiz atribuir o ônus da prova de modo diverso, desde que o faça por decisão fundamentada, caso em que deverá dar à parte a oportunidade de se desincumbir do ônus que lhe foi atribuído.
Exclusão de Responsabilidade
Nas hipóteses previstas pelo artigo 43 da LGPD, os agentes de tratamento poderão ser isentos de responsabilização. Vejamos:
Art. 43. Os agentes de tratamento só não serão responsabilizados quando provarem:
I - que não realizaram o tratamento de dados pessoais que lhes é atribuído;
II - que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou
III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.