Responsabilidade compartilhada na LGPD

A LGPD visa a tratar e tutelar a proteção de dados pessoais, sendo a legislação responsável por determinar a forma de tratamento desses dados, bem como quais são os sujeitos que podem utilizá-los e em quais ocasiões.

Ainda, antes de se tratar sobre a responsabilidade compartilhada na LGPD, é importante que você, leitor, esteja atento a questões como as bases legais e como se enquadrar nelas, pois isso minimiza a possibilidade de responsabilização. Para isso, confira nosso post sobre o tema clicando aqui.

Responsabilidade do controlador e operador

No que tange à responsabilidade, é importante saber que a LGPD prevê, no art. 42, que o controlador ou operador que, durante o tratamento de dados pessoais, causar dano patrimonial, moral, individual ou coletivo, violando a legislação, será obrigado a repará-lo.

Nesse sentido, o artigo citado prevê a possibilidade de tanto o controlador quanto o operador responderem pelo tratamento inadequado dos dados pessoais dos titulares, quando de tal inadequação resultar dano.

Assim, é possível imaginar, por exemplo, um cenário em que uma empresa e seus funcionários, se baseando em normas internas à própria empresa, descumpram alguma determinação prevista na LGPD.

Nessa hipótese, tanto a empresa (controladora) quanto os funcionários (operadores) podem ser responsabilizados, caso haja dano ao titular. É importante frisar que o dever de reparação só surge com a existência do dano.

Responsabilidade do titular ou de terceiros

Por outro lado, o art. 43 da LGPD versa sobre as possibilidades de não responsabilização dos agentes de tratamento. Uma das hipóteses previstas no artigo é se o dano for decorrente de culpa exclusiva do titular dos dados ou de terceiros.

Nesse caso, a culpa recai sobre o próprio titular (o qual pode ser qualquer pessoa física), quando este age com negligência, imprudência ou imperícia. Assim, entende-se que quem causa o dano é o próprio titular e, por isso, os agentes são desincumbidos do dever de reparação.

É importante ressaltar ainda que, no ordenamento jurídico brasileiro, nenhuma lei é interpretada individualmente. Isso porque as legislações, as decisões dos tribunais e os estudos sobre os temas são conjugados, a fim de se obter a melhor tutela possível.

Por isso, é necessário que outras normas também sejam observadas, pois estas podem ser aplicadas à proteção de dados, a depender da relação estabelecida entre agentes e titulares.

Por exemplo: se sua empresa estabelece uma relação de consumo com os clientes e utiliza dados deles para tratamentos internos, é interessante conferir também disposições do Código de Defesa do Consumidor, especialmente no tocante à responsabilização.

Como se prevenir para não ser responsabilizado?

O primeiro passo é verificar o cumprimento das bases legais, conforme descrito anteriormente, para assegurar que o tratamento de dados tem motivação jurídica. Além disso, é necessário também observar os princípios previstos no art. 6º da LGPD, especialmente o de segurança e prevenção.

Ainda, o cumprimento a esses preceitos pode ser comprovado por meio de treinamentos internos, certificações, tecnologias de segurança, relatórios, equipamentos, dentre outros. Para entender melhor sobre alguns documentos que são importantes para adequação à LGPD, leia nosso outro post no blog.

Outra forma de prevenção consiste também em escolher com rigor os parceiros comerciais que se utilizam de dados pessoais. Isto porque, por vezes, uma empresa operadora pode ser contratada para prestar serviços à outra empresa, a qual será controladora.

Nesse sentido, é importante verificar a forma como a empresa parceira administra a cadeia de tratamento e processamento de dados, se há adequação legal, se há compromisso com a segurança dos dados, etc., já que, em caso de descumprimento legal, pode haver responsabilização, como visto, tanto de operadores quanto de controladores.

Ainda, na hipótese de haver contratação entre empresas, é importante que haja um contrato bem redigido, com cláusulas assertivas e que prevejam não só a exclusão dos dados ao término do tratamento, mas também a obrigação de comprovação de tal exclusão.

É possível estabelecer ainda cláusulas punitivas, as quais determinam que, caso haja descumprimento contratual, haverá rescisão, imposição de multas, de sanções, etc. Além disso, é preciso observar também as disposições legislativas obrigatórias aos contratos.

Assim, é possível perceber a importância de adequação das empresas à LGPD, a fim de evitar responsabilizações por mau tratamento de dados – principalmente após agosto de 2021, período a partir do qual já podem ser aplicadas as sanções previstas na lei.

Dessa forma, é preciso estar atento para que não haja descumprimento da legislação e para que se garanta ao máximo a segurança não só dos tratamentos de dados, como também dos operadores e controladores destes.

 

Perfil do Autor

Saulo Almeida
Saulo Almeida
Diretor de Riscos e Compliance da NowCy. Advogado sênior, pós-graduado em Direito Empresarial. Especialista em Direito Digital, LGPD, Cibersegurança e Risco Corporativo. Atualmente ocupando posição estratégica na gestão de riscos digitais.

Compartilhe