Responsabilidade na LGPD: 3 exemplos de riscos para empresários
A Lei Geral de Proteção de Dados (LGPD) foi instituída com o objetivo de adequar o Brasil aos mais altos padrões de proteção os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Com o fim de garantir a proteção dos dados pessoais, a LGPD prevê sanções administrativas aos agentes que operam dados pessoais e violem seus dispositivos, bem como a possibilidade de reparação civil por danos materiais ou morais, individuais ou coletivos, causados aos titulares de dados.
Diante disso, algumas situações devem ser observadas pelos empresários que realizam tratamento de dados pessoais em suas atividades profissionais na busca de mitigar os riscos de responsabilização.
1. Dano causado em relação de consumo
O tipo de responsabilidade civil na LGPD, se objetiva ou subjetiva, não está explícita, salvo para as relações de consumo.
É pacífico que a regra é a responsabilidade objetiva, tendo em vista que o art. 45 da LGPD é claro ao determinar que nas hipóteses de violação do direito do titular no âmbito das relações de consumo aplicar-se-ão as regras de responsabilidade previstas no Código de Defesa do Consumidor.
Nestes casos a responsabilidade civil será aplicada independentemente de culpa, bastando a prova do dano e do nexo de causalidade. Vale ressaltar ainda que a responsabilidade da comprovar que não houve o nexo de causalidade é da empresa e não do titular dos dados pessoais.
2. Não conseguir comprovar adequação à LGPD
A LGPD impõe diversas obrigações àqueles que tratam dados pessoais visando proteger os direitos fundamentais de liberdade e de privacidade dos titulares, bem como garantir a segurança dos dados pessoais.
Dentre tais obrigações, podemos citar a adoção de medidas de segurança, técnicas e administrativas aptas a protegerem os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Assim, há duas situações passíveis de gerar responsabilidade civil, (i) em razão da violação de normas jurídicas, do microssistema de proteção de dados; e (ii) em razão da violação de normas técnicas, voltadas à segurança e proteção de dados pessoais.
Pois bem, tais violações poderão gerar a aplicação de sanções administrativas pela Autoridade Nacional de Proteção de Dados (ANPD), cabendo ao agente de tratamento comprovar que está em conformidade com a Lei. Comprovar que adota medidas de segurança eficientes e razoáveis para a proteção dos dados.
Posto isto, tão importante quanto adequar a empresa às exigências da LGPD, é conseguir comprovar essa adequação.
3. Não ser vigilante nas relações com seus fornecedores e prestadores de serviço
O art. 42 da LGPD estabelece que a responsabilidade do controlador e do operador é solidária. Isso significa que aquele que terceiriza a operação de tratamento a um fornecedor ou prestador de serviço, responderá junto com o terceirizado quando ele vier a causar dano ao titular.
Em razão dessa solidariedade na indenização do dano, é fundamental monitorar o terceirizado a fim de assegurar a conformidade dele com as especificações do contrato, com as leis e políticas de privacidade e proteção de dados.
O monitoramento auxiliará também a garantir que o terceirizado esteja realmente fazendo o que afirma estar fazendo ou que supostamente deveria estar fazendo, de acordo com as orientações dadas a ele.