Os dilemas sobre a responsabilidade dos agentes de tratamento de dados pessoais
Após um longo período de indefinição e alguma discussão legislativa sobre o tema, a Lei n. 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (“LGPD”) entrou parcialmente [1] em vigor no dia 18 de setembro de 2020, sendo aplicável às pessoas físicas e jurídicas que realizam o tratamento de dados pessoais no país ou que forneçam produtos e serviços a pessoas localizadas no território nacional.
No processo de adaptação à nova legislação, é inevitável o surgimento de dúvidas quanto à aplicação jurídica da norma, que traz seu próprio microssistema de atuação no ordenamento jurídico pátrio. Nesse ponto, um dos maiores questionamentos sobre a LGPD envolve a responsabilidade civil dos agentes de tratamento, em especial da figura do operador de dados.
A LGPD traz, basicamente, 4 figuras importantes no tratamento de dados pessoais:
A primeira delas é o titular de dados, que é a “pessoa natural a quem se referem os dados pessoais que são objeto de tratamento”. Trata-se da “pessoa de interesse” a quem o tratamento se refere e em relação a quem devem ser observados os direitos e obrigações estabelecidas na LGPD;
A segunda é o controlador. Segundo a LGPD, o controlador é a “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”. Trata-se da figura responsável pelo tratamento, a quem aquele tratamento específico interessa para alguma finalidade. É ele quem utiliza a informação tratada para alguma finalidade;
A terceira figura é o operador. O operador é a “pessoal natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”. Trata-se de uma figura semelhante ao mandatário, alguém que não possui interesse no tratamento daquele dado em si, mas que o realiza a mando do controlador.; e
A quarta e última figura é a do encarregado, que é a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”. O encarregado tem funções específicas definidas na LGPD que atua como uma espécie de interlocutor entre controladores/operadores, os titulares de dados e a ANPD. Ele ainda é fundamental na adequação à LGPD, na medida em que exerce uma função de gestor de privacidade e proteção de dados.
No que diz respeito à responsabilidade civil, as duas figuras mais relevantes e sobre as quais recaem as dúvidas existentes são o controlador e operador de dados pessoais. Isso porque, além de estarem diretamente ligados ao tratamento de dados pessoais, são eles que estão sujeitos às regras de responsabilização, conforme os artigos 42 a 45 da LGPD.
O primeiro dos dilemas enfrentados sobre tema é a existência – ou não – de responsabilidade solidária entre esses agentes de tratamento na hipótese de ocorrência de um dano a um titular de dados. O caput do artigo 42, que trata da responsabilidade dos agentes de tratamento, prevê que:
Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
Apesar de pouco esclarecedor, para muitos especialistas na matéria, a utilização da conjunção “ou” na redação do artigo sinaliza a inexistência de solidariedade entre as partes, que estaria restrita às hipóteses previstas no §1º do mesmo dispositivo legal:
§1º A fim de assegurar a efetiva indenização ao titular dos dados:
I - o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;
II - os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta Lei.
Esses incisos tratam de duas hipóteses diferentes de solidariedade. A primeira delas regula a solidariedade entre operador e controlador, e a segunda entre diferentes controladores entre si.
Em relação à segunda hipótese, não nos parece haver maiores dificuldades. Havendo mais de um controlador envolvido no tratamento, a responsabilidade sobre os danos será solidária entre eles, podendo o titular de dados acioná-los individual ou coletivamente.
A questão, contudo, é um pouco mais complexa quando analisamos o inciso I, acima citado, que trata da solidariedade entre o operador e o controlador. Isso porque a atividade do operador, como já tratado, se realiza em favor e a mando do controlador, sendo certo que, na maioria dos casos, não possui qualquer ingerência sobre o tratamento de dados realizado.
Nesse ponto, parece-nos acertada a decisão do legislador ao delimitar a hipótese de solidariedade aos casos em que o operador (i) descumpra as obrigações da legislação de proteção de dados; ou (ii) não obedeça ou siga instruções lícitas do controlador quanto ao tratamento realizado.
Interpretação em sentido contrário, que aponte para a extensão da responsabilidade aos operadores de forma indiscriminada, colocando-os em posição de equivalência, pode inviabilizar a prestação dos serviços por parte dos operadores.
A título exemplificativo, imagine uma empresa que atua no ramo de armazenamento de dados em nuvem e que adotada todas as medidas de conformidade (técnica, legal e administrativa) à LGPD, cuja atividade seja limitada ao armazenamento de um banco de dados do controlador, ao qual sequer tem acesso.
Na hipótese de inexistir a limitação acerca da responsabilidade entre ela (operadora) e o controlador em questão, essa empresa poderia ser responsabilizada perante o titular em um eventual incidente de dados causado única e exclusivamente pelo controlador. O risco envolvido seria tão grande, que inviabilizaria o seu próprio negócio.
Nesse sentido, é importante que operadores estejam atentos às obrigações constantes na LGPD, adequem os seus processos e projetos e, principalmente, tenham documentadas as adoções dessas medidas internamente e em relação ao controlador. A criação e revisão de políticas e contratos é fundamental para demonstrar a observância à legislação e mitigar o risco de eventual responsabilização.
Além disso, a delimitação das obrigações em relação ao tratamento realizado é fundamental para que se demonstre o escopo dos serviços, de modo a evitar eventual alegação de desobediência ou inobservância às instruções lícitas do controlador.
Outra discussão gira em torna da espécie de responsabilidade atribuída pela LGPD, se objetiva, para a qual basta a demonstração do dano e do nexo causal entre esse e o agente, ou subjetiva, para a qual se faz necessária, além da comprovação do dano e do nexo causal, a aferição da culpa ou dolo do agente. A doutrina especializada diverge sobre o tema, com bons argumentos para ambos os lados.
Os defensores da teoria subjetiva indicam que seria necessária a conduta culposa do agente de tratamento para a caracterização da responsabilidade e que essa avaliação envolveria, por exemplo, a análise quanto à adoção, pelo agente, de medidas de segurança para o tratamento adequado dos dados. Por outro lado, aqueles que defendem a aplicação da teoria objetiva se apegam às características do tratamento de dados pessoais e ao caráter protecionista da norma para defender que o elemento subjetivo (dolo/culpa) seria dispensável para efeitos de responsabilização.
Certamente essa discussão será objeto de muita discussão doutrinária e jurisprudencial. Não obstante, na hipótese de tratamento de dados pessoais no contexto de uma relação de consumo, todas as regras protetivas existentes no Código de Defesa do Consumidor são aplicáveis [2], o que inclui a responsabilidade objetiva e solidária de todos os agentes de tratamento.
Como se vê, a LGPD traz relevantes modificações nas relações civis cotidianas, sendo fundamental que os agentes de tratamento estejam atentos às obrigações existentes na novel legislação, promovendo a adequação de seus processos, políticas e contratos às novas regras, de modo a mitigar a sua exposição aos riscos acima apontados.
Marco Aurélio Faro Melo
Especializando em Direito Digital
Advogado da área de Direito Digital e Proteção de Dados de ZMBS Advogados
[1] Os artigos 52, 53 e 54 da LGPD, que tratam das sanções administrativas aplicáveis, tiveram sua vigência prorrogada para o 1º de agosto de 2021, pela Lei n. 14.010/2020. [2] LGPD. Art. 45. As hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente.