Como Lei Geral de Proteção de Dados Pessoais diferencia os agentes e dispõe sobre a responsabilização e o papel de cada um no ressarcimento de danos decorrentes do tratamento de dados pessoais.
Com a aprovação da Lei nº 13.709/18, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), a tutela pelo ordenamento jurídico aos dados pessoais, anteriormente feita de modo incidental e esparso, recebe unificação em uma só norma legal.
A Lei nº 13.709/18 regulamenta qualquer operação de tratamento, como a coleta, o armazenamento e o compartilhamento de dados pessoais no Brasil, seja no setor privado ou público. Além disso, estabelece quem são os envolvidos no processamento de dados, bem como suas responsabilidades e penalidades, conforme o grau de participação.
De acordo com o artigo 5º, IX, da LGPD, os agentes de tratamento são o controlador e o operador. A diferença que há entre ambos é que o controlador recepciona os dados pessoais dos titulares de dados por meio do consentimento ou por hipóteses de exceção, e a ele compete as decisões quanto ao processamento de dados. Por sua vez, o operador fará o tratamento em nome do controlador, isto é, vai realizar tratamento em virtude de contrato, segundo as instruções fornecidas pelo controlador, por exemplo, ou de obrigação legal.
Consequentemente, a figura do responsável pelo tratamento de dados pessoais pode não ser representada por um único agente, já que ambos podem estar envolvidos no processamento, em conjunto. Considera-se que, desse modo, a Lei Geral de Proteção de Dados Pessoais adotou conceitos amplos para a designação do agente de tratamento, ao mesmo tempo que impõe o maior peso jurídico ao controlador.
Isso porque é competência do controlador elaborar o relatório de impacto à proteção de dados pessoais, e manter a documentação que descreve os processos de tratamento e os mecanismos de mitigação de riscos, por exemplo. Dentre suas obrigações, está ainda a de informar o titular se houver alteração na finalidade, na forma ou na duração do tratamento. Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com a LGPD.
Embora possuam características e obrigações distintas decorrente do papel de cada um no tratamento de dados, a Lei Geral de Proteção de Dados Pessoais prevê, quando dispõe sobre a responsabilidade dos agentes e do ressarcimento de danos decorrentes da atividade, a possibilidade de responsabilidade solidária para assegurar a efetiva indenização do titular de dados prejudicado. Eles só não serão responsabilizados nas três hipóteses trazidas pelo seu artigo 43.
Ainda, os agentes são passíveis de responder pelos danos decorrentes da violação da segurança dos dados quando deixam de adotar medidas de segurança, técnicas ou administrativas para a proteção dos dados. A responsabilização e a prestação de contas cabem ao agente, sem que a lei faça distinção entre ambos para tanto. Portanto, é preciso que as empresas tenham ciência da função e da responsabilidade dos agentes de tratamento de dados para que não tenham prejuízo decorrente de infração à LGPD.
MARINA PEREIRA DINIZ
Graduanda em Direito pela Universidade Estadual Paulista (UNESP), integrante da equipe de empresarial do TPC.
