JULIANA GONÇALES
Advogada e especialista em Direito Tributário
Assim, a empresa que ocupa a posição de operadora deve ter atenção nas cláusulas que definem as orientações do controlador. Tal medida é importante, pois configurada a inobservância do operador, este assume a posição de controlador e responde solidariamente pelos danos decorrentes do tratamento (art. 42, §1º, inciso I, LGPD).
O operador também deve se preocupar com a licitude da fonte dos dados fornecida pelo controlador, bem como informá-lo caso haja a necessidade de compartilhamento.
Por outro lado, se a empresa assume a função de controladora é de grande importância que ajuste expressamente a comprovação das medidas técnicas de segurança adotadas pelo operador, tais como criptografias, anonimização ou pseudonimização, testes de vulnerabilidades, treinamento de funcionários, certificações etc.
Considerando que compete aos controladores a responsabilidade de garantir a proteção dos dados pessoais perante os titulares, é importante que opte por empresas/operadoras que forneçam garantias suficientes sobre suas medidas de segurança. Esse ponto demonstra que tal comprovação será um diferencial no mercado.
A definição das responsabilidades dos agentes é de grande importância em razão da redação geral e bastante ampla dos arts 42 e 46 da LGPD, que preveem a responsabilidade dos agentes pelos danos decorrentes da violação à legislação de proteção de dados, bem como o fato de ser considerado como irregular não só o tratamento que contraria os preceitos da LGPD, como também aquele que não fornece a segurança que o titular pode esperar.
Portanto, deve ser previsto nos contratos os meios capazes de atestar que as partes estão cumprindo os termos da lei e adotando medidas técnicas e administrativas suficientes para garantir o tratamento seguro dos dados pessoais. É dizer, não basta a mera previsão contratual, a proteção deve ser provada e auditada.
O acima exposto é reforçado pelo princípio da responsabilização e da prestação de contas previsto no art. 6º, X, da LGPD que prevê a necessidade de “demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas”.
Por fim, é claro que todas as observações acima devem estar alinhadas com o objeto do contrato e com a atividade empresarial das partes, sob pena de aumentar de forma desnecessária a responsabilidade das partes.
Portanto, já é possível concluir que cláusulas genéricas expondo a simples obrigação de tratar os dados pessoais conforme as regras da LGPD, nem de longe são suficientes para definir responsabilidades, mitigar penalizações e contribuir para o sistema de proteção dos dados pessoais.
