Esclarecendo a responsabilização das empresas perante a LGPD
Por Rodrigo Russo / LGPD / 6 abril, 2021
O advento da Lei Geral de Proteção de Dados (LGPD) visa a implementar, no ordenamento jurídico vigente, uma cultura de proteção de dados, de modo que busca estimular todos os agentes que realizam atividades que envolvam tratamento de dados a entrar em estado de conformidade, seguir as orientações e determinações legais e respeitar os princípios e disposições impostos pela lei, de modo a proteger a segurança dos dados pessoais manuseados no exercício de suas atividades.
Entretanto, infelizmente, sempre existirão casos de empresas que violarão ou se encontrarão em descompasso com as normas da LGPD, pelas mais variadas razões, como, por exemplo: a falta de investimento em um projeto de conformidade; a falta de implementação prática do projeto, após sua estruturação; a existência de erro no mapeamento das atividades; a falta de manutenção do estado de conformidade, especialmente após a instauração de novas atividades; ou, ainda, o uso de medidas de segurança que não garantem, de fato, a segurança esperada para os dados, considerando os riscos envolvidos na atividade com que se relacionam.
Diante disso, a LGPD, além de impor diversas normas de adequação, princípios e diretrizes, também prevê a aplicação de penalidades para aqueles que falharem em cumprir com suas disposições.
Essas penalidades podem variar desde advertências e multas – que podem ser de até 2% do faturamento da empresa, limitadas ao vultoso importe de cinquenta milhões de reais – passando pelo possível bloqueio ou eliminação dos dados relacionados à infração, até a determinação de suspensão do banco de dados da empresa, da própria atividade de tratamento relacionada à infração ou, nos casos mais graves, de todas as atividades relacionadas ao tratamento de dados.
Assim, considerando-se a gravidade das medidas sancionatórias previstas pela LGPD, é importante entender como funciona a responsabilidade das empresas pela LGPD e quais as hipóteses de responsabilização aplicáveis ao seu negócio, caso as autoridades competentes detectem alguma irregularidade.
Reconheça seu papel como controlador ou operador
O primeiro passo para compreender quais as hipóteses de responsabilização de sua empresa por eventuais incidentes de segurança ou quaisquer irregularidades relacionadas às atividades protegidas pelo escopo da LGPD é reconhecer sua atuação como controlador ou operador dos dados pessoais relacionados a uma determinada atividade.
Com efeito, a responsabilidade do Controlador e do Operador possui algumas diferenças determinadas pela LGPD, de modo que saber o enquadramento de sua empresa – seja na posição de controladora ou operadora dos dados – será determinante para a compreensão das hipóteses de responsabilização nos casos em que se verificar quaisquer irregularidades.
Vale lembrar, nesse sentido, que, em resumo, a empresa Controladora é aquela responsável pelas decisões essenciais relacionadas aos procedimentos de tratamento de dados, enquanto a empresa Operadora é aquela que recebe as ordens e orientações da Controladora a respeito das formas de se implementar a atividade de tratamento de dados por ela delegada.
Regras gerais de responsabilização impostas pela LGPD
Depreende-se da redação da LGPD que o regime de responsabilidade adotado seria o de “responsabilidade subjetiva”, o que significa que a imputação de responsabilidade dos agentes pressupõe a comprovação de que houve, na infração constatada, a caracterização de um comportamento culposo por parte do agente, isto é, relacionado à negligência, imprudência ou imperícia.
Isso porque a lei menciona que os agentes serão responsabilizados pelos danos causados “em violação à legislação de proteção de dados pessoais” . Em outras palavras, quer dizer que caso o agente acusado de ter causado danos aos titulares possa comprovar que adotou práticas de adequação, observou todos os cuidados necessários, implementou as medidas de segurança razoáveis e, em última análise, agiu estritamente de acordo com as disposições, princípios, orientações e obrigações impostos pela LGPD, terão a possibilidade de se eximir da responsabilidade a eles imputada.
Ao abordar a responsabilidade dos agentes dessa forma, a LGPD reforça sua intenção de prezar pela proteção e segurança dos dados pessoais enquanto busca incentivar os agentes de tratamento a adotarem boas práticas, seguirem os princípios e deveres legais, bem como a disseminar a própria cultura de segurança que a legislação busca instituir no país.
Todavia, verificadas irregularidades ou violações à LGPD, a responsabilidade dos agentes será atribuída da seguinte forma:
Controlador
O Controlador responderá por todos os danos causados aos titulares pela atividade desenvolvida em desrespeito aos ditames legais.
Caso exista multiplicidade de controladores diretamente envolvidos na atividade irregular, todos eles responderão, conjuntamente, pelos danos eventualmente causados.
Operador
O Operador, por sua vez, responderá de forma subsidiária (isto é, haverá uma “ordem de preferência” da responsabilização do Controlador) quando atuar de acordo com as orientações (irregulares) emitidas pelo Controlador sem violar, em tese, as disposições legais.
Entretanto, caso o Operador descumpra as normas legais ou as instruções lícitas/regulares emanadas pelo Controlador, gerando danos aos titulares de dados, este responderá de forma solidária perante esses titulares lesados, isto é, será responsabilizado conjuntamente ao Controlador, equiparando-se a ele para todos os fins, sem diferenciação ou “ordem de preferência” entre um e outro.
Artigos Relacionados
Vale mencionar, também, que, nos casos de violação à proteção de dados no âmbito do Direito do Consumidor, a LGPD dispõe (no artigo 45) que “as hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente”.
Embora estes casos não inutilizem ou relativizem as disposições da LGPD de modo algum, é certo que ambas as legislações (LGPD e Código de Defesa do Consumidor) deverão ser utilizadas, conjuntamente, para estabelecer os parâmetros de responsabilização dos agentes de acordo com o caso concreto.
Nesse sentido, presenciaremos a importância da jurisprudência e da Autoridade Nacional de Proteção de Dados (ANPD) no relevante ofício de consolidar os parâmetros aplicáveis e emanar as devidas orientações aos agentes, para que possam se adequar da melhor forma possível conforme o exercício de suas atividades e suas interações com os titulares de dados e consumidores.
Hipóteses de exclusão da responsabilidade
Além de estabelecer as regras de responsabilização dos agentes de tratamento, a LGPD (em seu artigo 43) também prevê as hipóteses em que os agentes serão eximidos da responsabilidade que lhes foi imputada. Para tanto, é necessário comprovar a caracterização de ao menos uma das seguintes possibilidades:
O agente acusado não teria realizado a atividade ou tratamento de dados irregular que lhe foi atribuído;
Caso tenha, efetivamente, realizado a atividade que ocasionou danos aos titulares, que o agente agiu de acordo com as disposições, obrigações e princípios legais, de modo que não houve violação à legislação de proteção de dados;
O dano ocorrido teria sido culpa exclusiva do próprio titular dos dados ou de terceiro;
Nota-se que a primeira e a terceira hipóteses tratam de situações mais diretas, em que o dano foi causado por fato fora do âmbito de atuação e proteção da empresa. Caso ela não realize a atividade causadora dos danos ou caso o dano tenha sido causado por conduta exclusiva do próprio titular ou de terceiros desvinculados à empresa, não haveria que se falar em sua responsabilização por quaisquer danos.
A segunda hipótese, contudo, merece destaque. Diz-se que, mesmo quando uma atividade de tratamento de dados venha a causar danos aos titulares, se os agentes puderem demonstrar que cumpriram com as disposições, princípios e deveres da legislação, tomaram todos os cuidados necessários e agiram com boa-fé e diligência, sem contrariar qualquer disposição imposta pela lei, não será possível responsabilizá-lo pelos danos ocasionados.
Vê-se, conforme mencionado anteriormente neste artigo, que a adoção dessas práticas de adequação à norma por parte dos agentes de tratamento, além de incrementar a segurança, minimizar os riscos de incidentes ou vazamentos e prestigiar, assim, os próprios titulares de dados, também garante aos agentes a oportunidade de se eximir da responsabilidade caso possam demonstrar que empreenderam os melhores esforços no sentido de prevenir e/ou minimizar quaisquer danos – o que envolve uma série de condutas aderentes à LGPD, como, exemplificativamente, implementar processos de adequação, ter cautela ao desenvolver novas atividades de tratamento de dados, manter canais de comunicação eficazes com os titulares e autoridades de proteção de dados, manter uma postura de clareza e transparência, etc.
Assim, a hipótese em comento reforça o espírito da LGPD estimular a conformidade, na medida em que é do interesse dos agentes manter bons processos de adequação, de forma organizada, registrada e transparente, a fim de que possam demonstrar as boas práticas materializadas nas rotinas e processos internos de suas atividades caso venham ser demandados por titulares ou por qualquer autoridade competente.
Isto posto, fica claro que Investir em um bom processo de adequação às normas da LGPD é absolutamente relevante atualmente. Afinal, a implementação de um projeto de adequação sério pode otimizar os procedimentos da empresa, maximizar a segurança de suas atividades, conceder importantes vantagens reputacionais e competitivas em seu âmbito de atuação e, como visto acima, garantir uma defesa sólida que possibilite até mesmo a exclusão da responsabilidade da empresa em eventuais incidentes de segurança relacionados à proteção de dados, com base na demonstração do estado de conformidade e do estrito cumprimento e observância das obrigações e princípios legais.
COMPARTILHE NAS REDES SOCIAIS