A nova Lei Geral de Proteção de Dados Pessoais estabeleceu em seu artigo 42 e seguintes que o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outra pessoa dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
Definição da Lei: controlador e operador
A Lei Geral de Proteção de Dados Pessoais distingue 02 (dois) agentes durante o processo de tratamento de dados: o controlador e o operador.
O controlador é definido como a pessoa física ou jurídica, de direito público ou privado, a quem compete às decisões referentes ao tratamento de dados pessoais. Na prática, o controlador é o responsável por tomar as decisões referentes ao tratamento de dados, ainda que não o execute diretamente.
O operador é descrito na legislação como a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. Ou seja, ele é quem efetivamente trata os dados, ainda que não tenha ingerência sobre seu tratamento.
Quando o tratamento de dados pode ser considerado ilegal?
O tratamento de dados pessoais será considerado irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre elas: o modo como é realizado; o resultado e os riscos que razoavelmente se esperam; e as técnicas de tratamento de dados pessoais disponíveis à época em que foi executado.
A responsabilidade solidária entre controlador e operador e o dever de indenizar
A fim de assegurar o recebimento de indenização pelo titular dos dados que for vítima de prejuízos, a Lei nº 13.709/2018 definiu que o operador responde solidariamente pelos danos causados pelo tratamento de dados quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador.
Da mesma forma, os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente pelo ressarcimento.
Ou seja, o titular de dados pessoais pode cobrar a indenização total tanto do controlador como do operador. Em seguida, aquele que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação na atuação ilícita.
Exceções à responsabilização do controlador e operador
Os agentes de tratamento só não serão responsabilizados quando provarem que não realizaram o tratamento de dados pessoais que lhes é atribuído; que, embora tenham realizado, não houve violação à legislação de proteção de dados; ou que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
Inversão do ônus da prova
A Lei nº 13.709/2018 estabeleceu a possibilidade de inversão do ônus da prova a favor do titular dos dados pessoais quando a alegação for provavelmente verdadeira, quando houver desequilíbrio entre as partes e o titular estiver em manifesta desvantagem ou quando o titular tiver dificuldade para produzir as provas que necessita para provar o seu direito.
Na prática, isso significa que o controlador ou operador poderão ter a obrigação de apresentar todas as provas necessárias para a conclusão do processo, incluindo registros internos e documentos.
Nota-se que, além de seguir todas as medidas de segurança, é essencial que as empresas façam parcerias com pessoas que também estejam em conformidade com as exigências legais, sob pena de responder, inclusive financeiramente, por prejuízos causados aos usuários em suas plataformas. Entre em contato com um especialista e garanta que seu negócio está alinhado com as novas diretrizes de privacidade.
Por Natália Martins Nunes.