A importância dos contratos na definição das responsabilidades dos agentes de tratamento de tratamento de dados pessoais
Com a vigência da LGPD passou a ser de grande importância a definição das responsabilidades dos agentes nas operações de tratamentos de dados pessoais decorrentes das relações contratuais.
Diferente da GDPR, a LGPD não regula expressamente o teor mínimo das cláusulas contratuais entre os agentes de tratamento de dados. Se de um lado o cenário nacional proporciona maior atuação particular, de outro aumenta a responsabilidade dos profissionais que irão redigir tais cláusulas.
Mesmo sem qualquer regulamentação expressa acerca do teor das cláusulas contratuais, a análise de forma sistemática da LGPD permite a extração do conteúdo mínimo das cláusulas contratuais capazes de os riscos dos contratantes e proporcionar maior proteção aos dados pessoais.
O primeiro passo é definir as atribuições de cada agente no tratamento dos dados pessoais. Tal medida deve ser realizada com grande cautela, pois além de impactar diretamente na responsabilidade de cada agente, também irá determinar a posição de controlador (art. 5º, inciso VI) ou de operador (art. 5º, VII) no tratamento.
A LGPD estabelece que será considerado como controlador “a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes aos tratamentos de dados pessoais” e ocupará a posição de operador a “a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”.
Em síntese, a parte contratante será considerada como controladora se couber a ela a decisão de realizar o tratamento, quando é ela quem define a finalidade e os propósitos do tratamento, bem como os seus elementos essenciais (ex: quais dados serão tratados, por qual período de tempo etc).
Por sua vez, será considerado como operador aquele que age para atender os propósitos e finalidades de outrem (no caso, controlador), podendo, contudo, determinar as medidas técnicas e organizacionais mais adequadas para o tratamento, desde que não essenciais.
Nem sempre será a simples definir a posição dos agentes, principalmente nos casos envolvendo complexos arranjos de tratamento de dados pessoais. No cenário Europeu há guidelines que orientam as partes contratuais nesta definição. A nossa ANPD – Autoridade Nacional de Proteção de dados também poderá se posicionar sobre tal ponto.
Somente a análise acurada do caso concreto é capaz de verificar qual a posição assumida por cada uma das partes contratuais. Definida a posição, passa-se para o segundo ponto, que é a definição da responsabilidade dos agentes em todas as etapas do tratamento.
Assim, a empresa que ocupa a posição de operadora deve ter atenção nas cláusulas que definem as orientações do controlador. Tal medida é importante, pois configurada a inobservância do operador, este assume a posição de controlador e responde solidariamente pelos danos decorrentes do tratamento (art. 42, §1º, inciso I, LGPD).
O operador também deve se preocupar com a licitude da fonte dos dados fornecida pelo controlador, bem como informá-lo caso haja a necessidade de compartilhamento.
Por outro lado, se a empresa assume a função de controladora é de grande importância que ajuste expressamente a comprovação das medidas técnicas de segurança adotadas pelo operador, tais como criptografias, anonimização ou pseudonimização, testes de vulnerabilidades, treinamento de funcionários, certificações etc.
Considerando que compete aos controladores a responsabilidade de garantir a proteção dos dados pessoais perante os titulares, é importante que opte por empresas/operadoras que forneçam garantias suficientes sobre suas medidas de segurança. Esse ponto demonstra que tal comprovação será um diferencial no mercado.
A definição das responsabilidades dos agentes é de grande importância em razão da redação geral e bastante ampla dos arts 42 e 46 da LGPD, que preveem a responsabilidade dos agentes pelos danos decorrentes da violação à legislação de proteção de dados, bem como o fato de ser considerado como irregular não só o tratamento que contraria os preceitos da LGPD, como também aquele que não fornece a segurança que o titular pode esperar.
Portanto, deve ser previsto nos contratos os meios capazes de atestar que as partes estão cumprindo os termos da lei e adotando medidas técnicas e administrativas suficientes para garantir o tratamento seguro dos dados pessoais. É dizer, não basta a mera previsão contratual, a proteção deve ser provada e auditada.
O acima exposto é reforçado pelo princípio da responsabilização e da prestação de contas previsto no art. 6º, X, da LGPD que prevê a necessidade de “demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas”.
Por fim, é claro que todas as observações acima devem estar alinhadas com o objeto do contrato e com a atividade empresarial das partes, sob pena de aumentar de forma desnecessária a responsabilidade das partes.
Portanto, já é possível concluir que cláusulas genéricas expondo a simples obrigação de tratar os dados pessoais conforme as regras da LGPD, nem de longe são suficientes para definir responsabilidades, mitigar penalizações e contribuir para o sistema de proteção dos dados pessoais.
*Juliana Callado Gonçales é sócia do Silveira Advogados e especialista em Direito Tributário e em Proteção de Dados