Você já deve ter ouvido falar da Lei nº 13.709, de 14 de agosto de 2018, também conhecida como Lei Geral de Proteção de Dados (LGPD), certo? Desde quando foi promulgada com o objetivo de proteger os direitos fundamentais de liberdade, bem como de privacidade das pessoas a partir dos seus dados pessoais, a LGPD tem despertado diferentes reações pelas partes que compõem a dinâmica.
Por um lado, nas pessoas naturais, essa garantia despertou um sentimento de proteção, haja vista a série de incômodos que sofrem diariamente com abordagens de terceiros que tiveram acesso aos seus dados pessoais de forma não autorizada.
Por outro, nas empresas, a sensação despertada ainda é o desconforto em função da alteração cultural que ela implica, assim como um mar de incertezas (como exemplo, a demora na conversão em lei da Medida Provisória nº869/18, que prorrogou a vigência da LGPD para agosto/2020). Isso suscita perguntas como “será que a lei vai pegar?”, que se tornam mais comum a cada dia.
Mas a grande questão é que, independentemente das inseguranças, fato é que o respeito à proteção dos dados não é passageiro. É mais do que tendência. É um fenômeno global que nasceu com bastante força e que veio para ficar.
No próprio Brasil, no final de 2018, um caso emblemático chamou atenção. Um banco digital que figura dentre os líderes do País acordou o pagamento de uma multa de R$1,5 milhão ao Ministério Público do Distrito Federal em função da perda de dados de clientes em um episódio que veio à tona em maio do mesmo ano.
Ou seja, estamos diante de um prazo desafiador para se adequar à uma realidade que propõe uma mudança sensível que passa por toda a operação de qualquer empresa, desde as internas (que abrange, por exemplo, não apenas os gestores, mas sim todos os colaboradores), até as terceirizadas e realizadas em parcerias em geral.
Uma organização que falha nas medidas de segurança adequadas pode ser responsabilizada por negligência, independente da esfera e do nível em que o problema ocorrer.
Em relação aos parceiros, destaca-se a figura do operador, que pode ser pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador (a quem competem as decisões referentes a tal tratamento).
Conforme disposição da LGPD, o operador responde solidariamente pelos danos causados quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador se equipara ao controlador. Ou seja, o titular dos dados pode acionar judicialmente um ou outro, conjunta ou isoladamente, para buscar responsabilização e o ressarcimento do que lhe foi causado em descumprimento à LGPD.
Ainda, o controlador que estiver diretamente envolvido no tratamento do qual decorram danos ao titular dos dados também responde de forma solidária junto com o operador pelo que for causado por esse último.
Temos aí um ponto sensível: a escolha e contratação da figura do operador, sendo recomendável que o controlador exija daquele comprovações de cumprimento à LGPD. Ou seja, aqueles que mais cedo estiverem em compliance com a legislação, mais oportunidades de negócios terão, pois poderão se destacar no mercado e trazer segurança aos potenciais parceiros na possível contratação.
Importante dizer que o tratamento de dados pessoais será irregular quando não atender as disposições da legislação ou quando não fornecer a segurança que o titular de dados pode esperar do referido tratamento, considerando o modo de realização do tratamento, o resultado e os riscos razoavelmente esperados, bem como as técnicas de tratamento de dados pessoais disponíveis à época de sua realização.Daí nascem dúvidas como seria necessário comprovar culpa ou dolo do controlador ou operador (responsabilidade subjetiva), ou bastaria ao titular de dados demonstrar uma ação ou omissão pelo controlador/operador que acarretou um dano ao titular dos dados (responsabilidade objetiva)?
Conforme o texto da LGPD, o controlador ou o operador apenas não serão responsabilizados se demonstrarem que: (a) não realizaram o tratamento de dados pessoais que lhes é atribuído; (b) embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou (c) o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro. A partir da análise das excludentes de responsabilidade do controlador e do operador, é possível concluir que essas acabariam por afastar,por completo,o nexo de causalidade entre a ação/omissão e o dano causado ao titular de dados, fato característico de quando está se tratando da responsabilidade objetiva.
Ainda assim, não há como negar que a excludente de responsabilidade de culpa exclusiva de terceiroacaba por alargar o rol de defesa do controlador e do operador em detrimento do titular de dados, ao permitir a discussão e prova quanto à configuração da culpa de terceiros estranhos à atividade.
Contudo, não parece de acordo com espírito trazido pela LGPDque a jurisprudência se incline no sentido de admitir qualquer responsabilidade de terceiro, sendo mais coerente que tal discussão apenas seja cabível em relação a riscos externos ao negócio, ou seja, quando não seria razoável esperarque o controlador ou o operador assumissem o referido risco, sendo tal ação/omissão de terceiro totalmente estranha, inevitável e imprevisível para o negócio.
A infração à LGPD pode acarretar penalidades de até R$50 milhões por infração, assim como a obrigação da empresa publicizar a ocorrência, trazendo inevitáveis problemasde reputação. Todo esse cenário ilumina então um aspecto fundamental no processo de adaptação: não basta conhecer os seus riscos, mas sim agir para mitigá-los, sendo tal mitigaçãotão importante quanto escolher o parceiro comercial que tenha em evidência a mesma preocupação e o mesmo propósito.
*Talita Orsini de Castro Garcia é advogada da área Contratual, Infra-Estrutura, Arbitragem e Imobiliária do escritório Finocchio & Ustra Sociedade de Advogados
