A Lei Geral de Proteção de Dados Pessoais – LGPD (Lei 13.709/18) cria atores a quem competem diferentes funções em relação ao tratamento dos dados. Diversas são também as previsões em relação à responsabilização de cada um desses atores na hipótese de serem causados danos no decorrer do tratamento de dados que exercerem (responsabilidade civil) ou na hipótese de não tomarem medidas para evitar dano (responsabilidade administrativa).
De acordo com Artigo 5º, VI e VII da LGPD, o controlador é pessoa a quem competem as decisões referentes ao tratamento de dados pessoais e o operador é quem realiza o tratamento de dados pessoais em nome do controlador (Ex. um subcontratado).
Veja também: Blog Solere: LGPD: 05 cláusulas adequadas para aplicar em contratos
DA RESPONSABILIDADE CIVIL
A responsabilidade civil dos controladores e operadores é tratada a partir do artigo 42 da LGPD, segundo o qual ambos são obrigados a reparar os danos causados em razão do exercício da atividade de tratamento de dados.
Todavia, o controlador, responsável pelo tratamento realizado, será sempre solidariamente responsável pelos danos causados, inclusive quando por culpa exclusiva do operador. O operador (subcontratado), no entanto, só será responsabilizado quando der causa ao dano por culpa (descumprir as obrigações da legislação de proteção de dados ou não tiver seguido as instruções lícitas do controlador).
Veja também: Blog Solere: A LGPD e o armazenamento de dados pessoais na nuvem (cloud computing)
Eventualmente, os agentes terão direito de regresso entre si na medida da participação de cada um no evento danoso.
Desta forma, é de suma importância que o contrato entre o controlador e seu subcontratado (operador) precise detalhadamente os tratamentos confiados ao subcontratado e as condições precisas pelas quais o subcontratado deve realizar esses tratamentos.
Com relação à responsabilidade civil, vale notar ainda que os danos causados aos dados pessoais em relação de consumo, devem ser regulados pelo Código do Consumidor.
Veja também: Blog Solere: A LGPD e a responsabilidade dos agentes com os dados pessoais
RESPONSABILIDADE ADMINISTRATIVA
Para além da responsabilidade civil, a LGPD prevê que o controlador e seus subcontratados responderão com multas administrativas caso não tomem as medidas adequadas disponíveis para a segurança dos dados.
Estas medidas de segurança, não elencadas taxativamente na lei, são as medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
A Autoridade Nacional de Proteção de Dados Pessoais (ANPD) também é autorizada a dispor sobre padrões técnicos mínimos em relação às medidas de segurança adequadas, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis.
Em conclusão, este texto procura tratar sobre o papel do controlador de dados dentro do contexto da LGPD, além das responsabilidades que este cargo terá. Este artigo é uma iniciativa do Solere – Data Protection Compliance para esclarecer diversos temas relacionados à dados pessoais e a proteção deles. Somos especializados em direito empresarial e somos certificados Data Protection Officer (DPO) pelo Bureau Veritas. Conheça nossos serviços e veja como podemos ajudar a sua empresa se adequar à LGPD e não sofrer penalidades.
Imagem: Pexels