JULIANA GONÇALES
Advogada e especialista em Direito Tributário
Com a vigência da LGPD passou a ser de grande importância a definição das responsabilidades dos agentes nas operações de tratamentos de dados pessoais decorrentes das relações contratuais.
Diferente da GDPR, a LGPD não regula expressamente o teor mínimo das cláusulas contratuais entre os agentes de tratamento de dados. Se de um lado o cenário nacional proporciona maior atuação particular, de outro aumenta a responsabilidade dos profissionais que irão redigir tais cláusulas.
Mesmo sem qualquer regulamentação expressa acerca do teor das cláusulas contratuais, a análise de forma sistemática da LGPD permite a extração do conteúdo mínimo das cláusulas contratuais capazes de os riscos dos contratantes e proporcionar maior proteção aos dados pessoais.
O primeiro passo é definir as atribuições de cada agente no tratamento dos dados pessoais. Tal medida deve ser realizada com grande cautela, pois além de impactar diretamente na responsabilidade de cada agente, também irá determinar a posição de controlador (art. 5º, inciso VI) ou de operador (art. 5º, VII) no tratamento.
A LGPD estabelece que será considerado como controlador “a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes aos tratamentos de dados pessoais” e ocupará a posição de operador a “a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”.
Em síntese, a parte contratante será considerada como controladora se couber a ela a decisão de realizar o tratamento, quando é ela quem define a finalidade e os propósitos do tratamento, bem como os seus elementos essenciais (ex: quais dados serão tratados, por qual período de tempo etc).
Por sua vez, será considerado como operador aquele que age para atender os propósitos e finalidades de outrem (no caso, controlador), podendo, contudo, determinar as medidas técnicas e organizacionais mais adequadas para o tratamento, desde que não essenciais.
Nem sempre será a simples definir a posição dos agentes, principalmente nos casos envolvendo complexos arranjos de tratamento de dados pessoais. No cenário Europeu há guidelines que orientam as partes contratuais nesta definição. A nossa ANPD – Autoridade Nacional de Proteção de dados também poderá se posicionar sobre tal ponto.
Somente a análise acurada do caso concreto é capaz de verificar qual a posição assumida por cada uma das partes contratuais. Definida a posição, passa-se para o segundo ponto, que é a definição da responsabilidade dos agentes em todas as etapas do tratamento.
