Responsabilidades dos Agentes de Tratamentos de Dados por Danos
Sociedades Limitadas e Sociedades Anônimas
A Lei Geral de Proteção de Dados - LGPD (Lei Federal nº 13.709/2018, alterada pela Lei Federal nº 13.853/2019), introduziu uma nova regulamentação para operações de tratamento de dados pessoais, realizada por pessoas naturais ou jurídicas, nos segmentos de direito público ou privado.
Como já exposto em nossos anteriores boletins, a LGPD determina uma séria de regras e responsabilidades para a realização do tratamento de dados pessoais, inclusive nos meios digitais, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Dado o largo espectro de abrangência das disposições legais, empresas de qualquer porte econômico, foram, em maior ou menor escala, alcançadas pela LGPD. Portanto, é fundamental preparar a sua organização para esta nova realidade jurídica e empresarial.
Neste boletim, comentaremos sobre algumas particularidades das Responsabilidades dos Agentes de Tratamento de dados, em relação aos danos causados aos titulares e comentar algumas formas e sugestões para mitigação dos riscos inerentes à segurança no tratamento dos dados pessoais.
Quais as responsabilidades dos Agentes de Tratamento dos Dados de acordo com a LGPD?
Os Agentes de Tratamento dos Dados precisam estar atentos às restrições impostas pela LGPD em relação às operações de tratamento de dados, uma vez que somente aquelas operações previstas na legislação poderão ser realizadas, observados os fins previstos no artigo 7º da LGPD.
Em resumo, as operações permitidas são:
(i) as operações que visam ao cumprimento de contratos, a pedido do titular dos dados;
(ii) as operações que visam ao cumprimento de obrigação legal ou regulatória pelo controlador;
(iii) as operações que visam à execução de políticas públicas, previstas em leis e regulamentos;
(iv) as operações para o exercício regular de direitos em processo judicial, administrativo, arbitral;
(v) as operações para a tutela da saúde, exclusivamente, em procedimentos realizados por profissionais de saúde, serviços de saúde ou autoridade sanitária;
(vi) as operações que visam à proteção do crédito;
(vii) as operações realizadas mediante o fornecimento de consentimento do titular;
(viii) as operações visando à proteção da vida ou da incolumidade física do titular ou de terceiro; ou
(ix) outras operações visando atender aos interesses legítimos do controlador, ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção de dados pessoais.
Ao realizar tais operações, os Agentes de Tratamento de Dados assumem responsabilidades. Primeiramente, é importante destacar que o controlador e o operador serão responsáveis por manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse destes.
Além disso, as operações de tratamento de dados devem ser realizadas com estrita observância dos princípios dispostos na legislação, entre os quais, salientamos:
(i) princípio da finalidade: os tratamentos devem ser realizados exclusivamente para os fins legítimos, específicos, informados ao titular, sobre as operações contratadas;
(ii) princípio da adequação: os tratamentos devem ser realizados de forma compatível com a finalidade para o qual foram contratados;
(iii) princípio da necessidade: os tratamentos devem ser realizados de forma mínima, ou seja, apenas os dados essenciais, pertinentes e proporcionais, relativamente às operações contratadas, devem ser objeto de tratamento;
(iv) princípio do livre acesso: aos titulares devem ser garantidos os meios de acesso à integralidade dos dados tratados, bem como à forma e duração do tratamento;
(v) princípio da transparência: aos titulares devem ser garantidas informações claras, precisas, facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, ressalvando-se os limites de preservação de sigilo sobre o segredo comercial e industrial do controlador; e
(vi) princípio da responsabilização e prestação de contas: segundo este princípio, o agente de tratamento dos dados deve sempre demonstrar que adotou e continuará a adotar medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais.
Dos princípios acima decorrem amplas responsabilidades para os Agentes de Tratamento, as quais não podem ser consideradas de forma geral, pois não universalmente aplicáveis a qualquer empresa. Cada tratamento de dados deverá ser cuidadosamente estudado, no âmbito de cada negócio, de cada empresa, de cada operação, com vistas a corretamente identificar as finalidades de tratamento, as bases, os conteúdos, os limites legais, entre outros fatores.
Os Agentes de Tratamento devem manter contínua comunicação, feita de forma ativa, clara e precisa com os titulares dos dados, municiando-se de todas as evidências e mantendo-as em registro pelo tempo do tratamento, inclusive após a sua finalização, já que o ônus da prova caberá a estes em relação ao uso lícito e regular dos dados.
O primeiro passo a ser adotado pelos Agentes de Tratamento diz respeito ao consentimento. Impende obter um consentimento específico, inequívoco, mediante manifestação livre de vícios, expressa pelo titular dos dados pessoais antes de conduzir as operações de tratamento. São consideradas nulas as autorizações ou consentimentos genéricos para o tratamento de dados pessoais.
Desta forma, o consentimento do titular corresponde à autorização dada por este para que as operações de tratamento de dados possam ser legalmente realizadas, desde que para uma finalidade específica. Portanto, a forma e o conteúdo do consentimento emitido pelo titular dos dados constituem a base primordial para a aferição da legalidade e regularidade da operação de tratamento de dados e mitigação das responsabilidades dos Agentes de Tratamento.
Destacamos, ainda, que este consentimento deve ser renovado, caso o controlador dos dados deva comunicar ou compartilhar tais dados pessoas do titular com outros controladores, exceto nos casos de dispensa legal. Falhas na obtenção do consentimento do titular, para as operações de tratamento de dados, geram responsabilidades objetivas e solidárias entre os diversos controladores dos dados, razão pela qual este deve ser cuidadosamente gerenciado e renovado.
Já o encarregado (ou DPO – data protection officer) será responsável pelas seguintes ações: i) aceitar reclamações e comunicações dos titulares dos dados, prestar esclarecimentos e adotar providências; ii) receber comunicações da ANPD e adotar providências; iii) orientar os funcionários e os contratados da empresa a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e iv) executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Finalmente, destacamos que algumas medidas podem ser adotadas internamente para a gestão e mitigação de riscos baseados na LGPD, tais como (i) a contratação de apólice de seguros contra riscos de indenização; (ii) a realização periódica de auditorias internas, sobre os principais documentos, processos, sistemas da empresa utilizados para tratamento e armazenamento dos dados pessoais; (iii) a adoção de políticas de privacidade, políticas de gestão de incidentes, manuais ou códigos de conduta e a realização periódica e contumaz de treinamentos com funcionários e demais colaboradores da empresa; (iv) o mapeamento de riscos internos, inclusive sobre o funcionamento dos níveis e estratégias de controle e segurança cibernéticos; e (v) o mapeamento e identificação dos processos de transferências de dados pessoais a terceiros, das formas de retenção e de descarte dos dados pessoais.
A informação contida neste Informativo é de caráter geral e não constitui assessoria jurídica.
ARDUIN ADVOGADOS© Todos os Direitos Reservados
General Data Protection Law - LGPD
Responsibilities of Data Processing Agents for Damages
Limited Companies and Corporations
The General Data Protection Law - LGPD (Federal Law No. 13.709/2018, amended by Federal Law No. 13.853/2019), introduced a new regulation for personal data processing operations, carried out by natural or legal persons, in the segments of law public or private.
As explained in our previous bulletins, the LGPD determines a series of rules and responsibilities for the processing of personal data, including in digital media, with the objective of protecting the fundamental rights of freedom and privacy and the free development of the personality of the natural person.
Given the wide range of scope of legal provisions, companies of any economic size were, to a greater or lesser extent, reached by the LGPD. Therefore, it is essential to prepare your organization for this new legal and business reality.
In this bulletin, we will comment on some particularities of the Responsibilities of Data Processing Agents, in relation to misuse of the personal data or to failures in the consent given by the holders, as well as will comment on some suggestions for mitigating the risks inherent to the security in the processing of personal data.
What are the responsibilities of Data Processing Agents under the LGPD?
Data Processing Agents must be aware of the restrictions imposed by the LGPD in relation to data processing operations, since only those operations provided for in the legislation may be carried out, subject to the purposes provided for in Article 7 of the LGPD.
In summary, the operations allowed are:
(i) operations aimed at fulfilling contracts, at the request of the data subject;
(ii) operations aimed at complying with a legal or regulatory obligation by the controller;
(iii) operations aimed at implementing public policies, provided for in laws and regulations;
(iv) operations for the regular exercise of rights in judicial, administrative and arbitration proceedings;
(v) operations for the protection of health, exclusively, in procedures performed by health professionals, health services or health authorities;
(vi) operations aimed at credit protection;
(vii) transactions carried out upon the holder's consent;
(viii) operations aimed at protecting the life or physical safety of the owner or third party; or
(ix) other operations aimed at meeting the legitimate interests of the controller, or of a third party, except in the case where fundamental rights and freedoms of the holder that require the protection of personal data prevail.
When carrying out such operations, the Data Processing Agents assume responsibilities. First, it is important to highlight that the controller and the operator will be responsible for keeping a record of the personal data processing operations that they carried out, especially when based on their legitimate interest.
In addition, data processing operations must be carried out in strict compliance with the principles set out in the legislation, among which, we highlight:
(i) purpose principle: data treatments must be carried out exclusively for legitimate and specific purpose, about the contracted operations, duly informed to the holder;
(ii) principle of adequacy: treatments must be carried out in a manner compatible with the purpose for which they were contracted;
(iii) principle of necessity: treatments must be carried out in a minimal way, that is, processing only essential, pertinent and proportional data, in relation to the contracted operations;
(iv) principle of free access: data holders must be guaranteed the means of access to the entirety of the data processed, as well as to the form and duration of the processing;
(v) principle of transparency: holders must be guaranteed clear, accurate, easily accessible information about the performance of the treatment and the respective treatment agents, subject to the limits of confidentiality regarding the controller's commercial and industrial secret; and
(vi) principle of responsibility and accountability: according to this principle, the data processing agent must always demonstrate that they have adopted and will continue to adopt effective measures capable of proving compliance with personal data protection rules.
Treatment Agents are, therefore, broadly liable according to the above principles. Nonetheless, assessing the specific liabilities one may be undertaking under the LGPD is not an easy task.
These rules cannot be considered simply as general, as they may not be universally applicable to all businesses. We encourage Treatment Agents to carefully study each data processing, within the scope of each contract and business, considering the particularities of each company and respective operations, with a view to correctly identifying the purposes of the data processing, determining, on a case-by-case basis, the extent, contents, limits, among other factors, for the personal data to be processed and then, how this process aligns with legal risk mitigation strategies.
Treatment Agents must maintain continuous communication, made in an active, clear and precise manner with the data holders, providing them with all the evidence and keeping them on record for the duration of the treatment, including after its completion, since the burden of proof will be on them in relation to the lawful and regular use of the data.
Treatment Agents’ first step concerns to the holders’ consent. It is imperative to obtain a specific, unambiguous consent, freely expressed by the holder of the personal data, before starting the processing operations. General authorizations or consents for the processing of personal data are considered null and void by the LGPD.
In this way, the holder's consent corresponds to the authorization given so that data processing operations can be legally carried out, limited to a certain specific purpose. Therefore, the form and content of the consent issued by the data holder is the primary basis for assessing the legality and regularity of the data processing operation and, as a result, for mitigating the responsibilities of the Treatment Agents.
We also emphasize that this consent must be renewed if the data controller must communicate or share such personal data of the holder with other controllers, as well as if any changes in the treatment purposes occur, except in cases expressly waived by the LGPD.
Failure to obtain the holder's consent for data processing operations generate objective and joint responsibilities between the various data controllers, which is why it must be carefully managed and renewed.
The person in charge (or DPO – data protection officer) will be responsible for the following actions: i) accepting complaints and communications from data holders, providing clarifications and taking measures; ii) receiving communication from ANPD and taking measures; iii) guiding the company's employees and contractors regarding the practices to be taken in relation to the protection of personal data; and iv) performing other attributions determined by the controller or established in complementary rules.
Finally, we highlight some measures, which can be adopted internally to manage and mitigate risks based on the LGPD, such as (i) contracting an insurance policy against indemnification obligations risks; (ii) conducting periodical internal audits on the company's main documents, processes, systems used for processing and storing personal data; (iii) adopting privacy policies, incident management policies, manuals or codes of conduct and periodically and regularly performing training of employees and co-workers of the company; (iv) conducting an internal risk mapping, including on the accurate functioning of the cyber security and of other control levels and strategies adopted by the company; and (v) mapping and identifying the processes for transferring personal data to third parties, as well as regarding the retaining and disposing means of the personal data.
The information contained in this Newsletter is of a general nature and does not constitute legal advice.
ARDUIN ADVOGADOS© All Rights Reserved