A responsabilidade compartilhada no tratamento de Dados Pessoais
A Lei n. 13.709 de 2018, mais conhecida como Lei Geral de Proteção de Dados (LGPD) tem sido um tema recorrente, considerando que a aplicabilidade das multas passará a ocorrer em agosto de 2021. Nesse sentido, ao se discutir sobre a respectiva Lei, um tópico importante é sua aplicação fática – posto que é espelhada na versão europeia, a GDPR - (General Data Protection Regulation – Regulamentação Europeia para a Proteção dos Dados Pessoais).
Ao analisar ambas as Leis – suas similaridades e diferenças –, uma questão que chama a atenção é o Compartilhamento de Dados, regulamentado pelos artigos 5º, inciso X, 7º, inciso X, §5º, e artigo 9º, inciso V, entre outros, da LGPD. E, a razão para isso é a existência de algumas lacunas que acabam tornando a versão brasileira menos enfática que sua irmã europeia.
O Compartilhamento de Dados, na LGPD, corresponde a qualquer comunicação, difusão, transferência internacional ou interconexão de Dados Pessoais. A partir disso, é possível averiguar que o Compartilhamento de Dados Pessoais é tratado de forma cautelosa, uma vez que, além do risco de compartilhamento indevido, há o risco de vazamento das informações.
Os Dados Pessoais só podem ser compartilhados com uma hipótese legal adequada, conforme determinado nos artigos 7º e 11 da LGPD. O compartilhamento pode se dar entre Controlador e Operador ou mesmo entre Co-controladores.
Desta forma, refletindo a responsabilidade do Controlador, a Lei europeia estabelece a possibilidade de decisões compartilhadas em havendo mais de uma instituição nesta função. São os chamados “Joint Controlers”, Controladores conjuntos ou Co-controladores, que seriam igualmente responsáveis pelo tratamento necessário dos Dados Pessoais.
Entende-se, então, que ambos os Controladores deverão levar em consideração a natureza, o escopo, necessidade e a finalidade do processamento determinado em conjunto, bem como os riscos aos quais cada parte está exposta, em termos de probabilidade e severidade, além de determinar as medidas adequadas, sempre com o intuito de assegurar e demonstrar que o tratamento está em conformidade com a GDPR.
A responsabilidade compartilhada trazida na GDPR não está inclusa na LGPD, tendo a versão brasileira apenas os conceitos de Controlador e Operador, no art. 5º, incisos VI e VII. Esta possibilidade traria muitas facilidades para a operação entre empresas – facilitando, principalmente, a definição das responsabilidades, nos muitos casos em que se torna difícil identificar ou diferenciar Controlador e Operador -, além de uma maior capacidade de segurança, uma vez que a responsabilidade não cairia apenas sob um agente.
Outra brecha entre GDPR e LGPD reside na formalização do Controlador e Operador. Na versão europeia da lei, há a necessidade de formalização, por meio de contrato ou ato jurídico válido, da vinculação do Operador ao Controlador, com o contrato prevendo as matérias que serão tratadas por ambos os agentes. Na LGPD, frisa-se que o Operador realiza o tratamento de Dados Pessoais conforme instruções do Controlador, mas, a formalização deste vínculo não é exigida.
Mais uma importante lacuna se encontra no que tange ao “Marketing Direto”; na GDPR, tal assunto é tratado especificamente, frisando o direito do titular dos Dados Pessoais de opor-se ao tratamento de seus dados na comercialização direta. Ao passo que na LGPD são aplicadas regras gerais de objeção e segurança, porém, a lei não garante tal direito de forma incisiva.
A existência das citadas lacunas acaba gerando dúvidas e insegurança, fatores que se tornam perigosos em um país que não possui o costume de aceitar e seguir novas regras com facilidade. Apesar disso, a LGPD sofre uma enorme influência da GDPR, mas, ainda, peca em quesitos importantes que tornariam sua aplicação e exigência inquestionáveis – e fáceis – para todos.