Proteção de Dados Pessoais

RESPONSABILIDADE CIVIL DO OPERADOR NA LGPD 

Dentre as diversas novidades trazidas pela Lei Geral de Proteção de Dados (13.709/2018), está a criação da categoria de agentes de tratamento, que engloba a figura do controlador e operador.

O operador, nos termos do artigo 5º, inciso VII, da LGPD, é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. 

A caracterização do agente como controlador ou como operador é sempre contextual, variando conforme a atividade de tratamento específica.

Importante frisar que o operador não poderá ser um empregado específico da empresa, pois a capacidade de realização de atividades é sempre da instituição e não do funcionário. Vide exemplo o caso de e-commerce, onde referida empresa será a controladora, e as demais que fornecem a tecnologia, o gateway de pagamento e a nuvem para armazenar os dados serão os operadores.  

A lei prevê que, embora atue em nome do controlador e obedecendo suas decisões, o operador poderá exercer certo controle, principalmente, sobre os aspectos técnicos relativos a um serviço específico que será prestado, podendo adotar as práticas de segurança e demais atos administrativos necessários para o armazenamento e guarda dos dados pessoais dos clientes/usuários. Porém, permanece com o controlador as decisões a serem tomadas sobre as finalidades do tratamento, as bases legais de tratamento e o conteúdo dos dados.

E quais seriam os seus deveres? Destaca-se que a LGPD fomentou o aspecto preventivo, estabelecendo procedimentos mandatórios para os agentes de tratamento, como, exemplificativamente. ao estabelecer deveres referentes à implementação de severas políticas de segurança para proteção dos dados de acessos não autorizados.⁶Nesse sentido, e da leitura em conjunto com o artigo 46 da LGPD, pode-se afirmar que essa lei consagrou um dever geral de segurança.

O operador deve exercer o tratamento de dados pessoais guiado pelo dever de conceder a segurança, notadamente quanto aos seus sistemas computacionais, no armazenamento e guarda dos dados pessoais, protegendo contra eventuais ataques cibernéticos. E de acordo com a previsão do artigo 37 da LGPD, tanto controlador e operador estão obrigados a manter registro das operações de tratamento de dados que realizar, especialmente quando baseado no legítimo interesse. 

O compliance  previsto no artigo 50 da LGPD permite que os operadores e controladores formulem regras de boas práticas e de governança, levando sempre  em consideração a natureza, o escopo, a finalidade, a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular. Sendo parte dos procedimentos de boas práticas a realização de mapeamento de tratamento de dados pessoais para avaliação dos efetivos riscos; a criação de uma matriz de riscos; a adequação dos sistemas e documentos internos aos princípios do tratamento de dados pessoais; o compromisso da alta direção da organização a fim de dar credibilidade ao programa de boas práticas; treinamento dos funcionários e colaboradores para que adequem as suas atividades à LGPD; revisão e implementação contínua do programa de governança, com auditorias internas periódicas.⁷

O operador tem responsabilidade civil diante de danos decorrentes do tratamento de dados pessoais, do dever geral de segurança, da omissão nas tomadas de providências de segurança nos seus sistemas de coleta e armazenamento de dados, acarretando vazamentos.

O artigo 52 da LGPD, estabelece, no âmbito administrativo, que controlador e o operador ficam sujeitos às sanções administrativas aplicáveis pela ANPD em razão das infrações cometidas às normas previstas, que podem ser desde advertências, com indicação de prazo para adoção de medidas corretivas, até multa simples, de até 2% do faturamento, limitada a R$ 50.000.000,00 por infração, e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.