A Lei Geral de Proteção de Dados ou LGPD (Lei n.º 13.709/2018), que trata da proteção dos dados pessoais de todas as pessoas naturais em território brasileiro, entrou em vigor em 18 de setembro de 2020, e trouxe em seu bojo a definição de várias figuras.
A figura central é o titular de dados, definida como a pessoa física proprietária dos dados pessoais que são objeto de tratamento, e a qual ditará quais dados permitirá captar e a forma de tratamento, salvo algumas exceções. Isso implica em que, exemplificando, uma pessoa pode se recusar a fornecer o seu endereço eletrônico-mail.
Outro personagem que surge é o controlador, que será a pessoa física ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. No caso das empresas, frise-se que o controlador será considerado como todo e qualquer funcionário, preposto, prestador de serviço ou terceirizado que a represente e trate dos dados de acordo com o seu regramento interno.
O que isso significa? No caso de um funcionário de um laboratório de exames clínicos expor a público, expor o resultado dos exames de um ou mais pacientes, sem seu consentimento, a empresa responderá como controlador, sem prejuízo de eventual ação de danos morais, ou mesmo uma ação penal tendo como réu o funcionário, dependendo do tipo de dado exposto, e do direito de regresso contra ele.
Além do controlador, temos o operador, que será a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. Um bom exemplo de operador é a agência de propaganda e marketing, a qual recebe do controlador os dados pessoais dos titulares para envio de e-mail marketing ou divulgação em aplicativos de mensagem instantânea.
Frise-se que uma pessoa natural ou jurídica pode ser tanto controlador como operador de dados pessoais. No caso de uma agência de propaganda e marketing, no tocante ao serviço que prestam aos seus clientes, será um operador, mas em relação aos seus funcionários ou ao próprio cliente, na execução do contrato, será um controlador.
Por último, temos a figura do encarregado, também conhecido como DPO (Data Protection Office), pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
O encarregado pode ser visto como um ouvidor especializado em dados, indicado pelo controlador, que agirá de forma neutra, buscando garantir a aplicação da norma, observando os direitos dos titulares, aceitando suas reclamações e comunicações, prestando esclarecimentos e adotando providências, recebendo comunicações da autoridade nacional e adotando providências, orientando os funcionários e os contratados e executando as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
A lei considera como agentes de tratamento apenas o controlador e o operador, os quais respondem legalmente, cabendo a obrigação de indenizar no caso de danos patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, na execução do tratamento dos dados.
Assim, os agentes de tratamento devem ser rigorosos na aplicação da lei, na obtenção expressa de consentimento, na garantia da segurança e do sigilo dos dados captados e submetidos à tratamento.
Por Andrea Costa – advogada especialista em Direito Empresarial e Digital, sócia do escritório Loureiro, Costa e Sousa Consultoria e Advocacia