No dia 10 de julho de 2018 foi aprovado pelo Plenário do Senado Federal o PLC nº 53/2018, o qual cria a tão aguardada Lei Geral de Proteção de Dados (LGPD) brasileira. O projeto segue para sanção presidencial com a expectativa e torcida da comunidade jurídica para que ocorra sua sanção integral sem qualquer veto.
Embora o Brasil já possua uma malha normativa que trata do tema privacidade e proteção de dados, o país ainda carece de uma legislação específica sobre a matéria e que tenha uma aplicação não setorial. A futura LGPD deve preencher essa lacuna no ordenamento jurídico pátrio e incluir o Brasil no rol dos mais de 120 países que já possuem uma lei geral de proteção de dados pessoais.
Apesar de ainda não sancionada, a futura LGPD já provoca algumas polêmicas e diversas dúvidas. Uma delas relaciona-se a eliminação de dados pessoais compartilhados.
Dentre os diversos direitos do titular dos dados, o texto da LGPD brasileira consagra o poder do titular em requerer, junto ao controlador, a eliminação de seus dados pessoais tratados sob a base do consentimento (artigo 18, VI). Ocorre que, para os casos em que o titular tenha consentido ao controlador o compartilhamento de seus dados com outro agente de tratamento, ao requerer a eliminação junto ao controlador, espera-se que o terceiro envolvido, que recebeu os dados compartilhados, também os elimine. Isto porque o consentimento inicialmente fornecido pelo titular foi revogado ante o requerimento de exclusão, o que implica dizer que o titular não mais concorda com o tratamento de seus dados, incluindo seu compartilhamento com outras empresas.
Nesse cenário, o artigo 18, §6º, prevê expressamente o dever do responsável pelo tratamento de informar, de maneira imediata, o pedido de eliminação dos dados do titular a outros agentes na cadeia de tratamento, com os quais tenha compartilhado os mesmos.
Porém, o que ocorrerá se, apesar de notificada, a empresa que recebeu os dados compartilhados deixar de atender ao requerimento de exclusão e não eliminar os dados pessoais do titular? Qual seria o limite da responsabilidade e da aplicação de sanções ao controlador, na medida em que ele cumpriu o dever legal de informação ao agente de tratamento sobre a exclusão? Quais outras medidas o controlador poderia adotar para fazer valer o requerimento do titular em sua integralidade?
A questão demanda reflexões. Apesar de cumprir estritamente ao que determina o texto legal da futura LGPD, forçoso concluir que a responsabilidade do controlador não pode se encerrar após a simples notificação ao terceiro para que este providencie a exclusão dos dados.
Inicialmente pondera-se que a LGPD está inserida em um ordenamento jurídico, em um conjunto de leis com as quais deve se compatibilizar e ser interpretada harmonicamente.
Assim, considere-se, por exemplo, que os dados cujo consentimento tenha sido revogado pelo titular sejam de um consumidor, cuja relação jurídica é tutelada pelo Código de Defesa do Consumidor. Neste caso, a norma expressa do art. 34 daquele dispositivo[1] é de uma clareza solar acerca da solidariedade entre fornecedor e seus representantes, pelo que se infere ser o caso da hipótese levantada. Ainda segundo aquele diploma, a responsabilidade civil estabelecida no art. 14[2] é objetiva e só pode ser afastada com a comprovação da culpa exclusiva do próprio consumidor ou de terceiro. Ou seja, inicialmente incidente a solidariedade entre o controlador e o agente de tratamento, esta não parece ser possível de afastamento, considerando-se o não cumprimento completo da exclusão solicitada, ainda que o controlador faça a prova da notificação ao terceiro.
De bom tom esclarecer que tal hipótese se vislumbra em caso de haver efetivos danos ao titular dos dados. O mero descumprimento da exclusão ou a não comprovação da mesma, de per si, parece não ter o condão de implicar uma conduta danosa in re ipsa. É crível que a conduta danosa seja efetivamente demonstrada para se aplicar a solidariedade.
Não soa adequada a isenção completa da responsabilidade do controlador sobre os eventuais danos causados pela manutenção do tratamento desses dados contra a vontade do titular, cabendo ao controlador demonstrar seu real esforço em exigir o cumprimento e a efetiva exclusão dos dados junto aos agentes com quem compartilhou referidos dados.
Além disso, na análise de cada caso concreto será importante levar em consideração o porte das empresas envolvidas nessas relações comerciais. Não seria razoável, por exemplo, que um grande player de tecnologia simplesmente apresente um e-mail informando ao agente de tratamento sobre o requerimento de exclusão dos dados, para escusar-se da responsabilidade pelo descumprimento do dever legal de eliminação integral dos dados e pelos eventuais danos causados ao titular.
Aqui, talvez, a atenção maior deva ser dada aos comandos do Código Civil, no que tange às obrigações fixadas entre o controlador dos dados e o seu subcontratado para o tratamento dos dados. Soa razoável valer-se do art. 436[3] para que o contrato entre controlador e agente de tratamento beneficie o titular do dado, em caso de exclusão a pedido do titular, terceiro naquela relação.
A estipulação de cláusula em benefício do titular de dados como terceiro poderá ser feita dentro da estipulação entre controlador e processador, no sentido de afastar ou manter a responsabilidade entre ambos, em relação ao cumprimento da exclusão dos dados.
Nesse sentido, ainda, o porte dos envolvidos, sem dúvida, pesará quando da elaboração dos contratos. Isto porque é de conhecimento comum que agentes de maior envergadura econômica gozarão de maior suporte jurídico, e, consequentemente, se de um lado poderão contar com contratos mais completos e fortes, de outro poderão ser demandados pela onerosidade dos mesmos, ainda com arrimo no Código Civil (art. 480[4]), levando, mais uma vez, a repartição da responsabilidade entre o controlador e o agente de tratamento, caso a mesma fique unilateral e excessivamente a cargo de apenas um dos envolvidos nessa relação.
Há de se reconhecer também a grande dificuldade a ser enfrentada pelo controlador para, de fato, fazer valer o requerimento do titular para exclusão integral dos dados perante um agente. Isso porque nos atuais modelos de negócios as dinâmicas de compartilhamento de dados muitas vezes não comportam obrigações contratuais prevendo auditorias e checagens in loco. Isso sem contar a limitação técnica do controlador para gerenciar o cumprimento da determinação de exclusão perante uma empresa terceira, sob a qual ela não possui ingerência.
Talvez a criação/alteração nas políticas de Compliance das empresas controladoras e processadoras possa, por exemplo, prever comportamentos e garantias necessárias à efetiva exclusão dos dados do titular, quando solicitado, através de processos internos que garantam seu efetivo cumprimento. Normas internas de segurança da informação deverão ser implementadas/criadas nesse sentido, considerando a dificuldade citada de parceiros comerciais garantirem a execução da exclusão em ecossistemas profissionais que não são os seus.
Nesse sentido, parece que o caminho mais seguro para as empresas que compartilham os dados com outros agentes seja, além de aumentar o rigor na escolha de seus parceiros comerciais, obviamente, privilegiando aqueles que demonstrarem possuir uma cadeia de processos nas quais apresentem real comprometimento com o cumprimento das normas legais de segurança da informação, principalmente as dispostas no LGPD, assegurar uma ingerência mínima sobre esses parceiros, através da redação de cláusulas contratuais robustas prevendo a obrigação de comprovação da exclusão dos dados, sob pena de rescisão contratual, multa e demais sanções contratuais, além das já dispostas na eminente legislação de proteção de dados e demais leis aplicáveis.
A comprovação de que o controlador não apenas notificou as empresas que receberam os dados compartilhados, mas também solicitou àquelas o retorno sobre o efetivo cumprimento do requerimento de eliminação dos mesmos, a redação de cláusulas contratuais rigorosas entre esses parceiros comerciais, no que se refere ao tratamento daqueles dados, e a demonstração de que todas as medidas possíveis de gerenciamento do cumprimento das ordens de exclusão foram adotadas, se não eliminam a responsabilidade do controlador, deverão, ao menos, mitigar eventuais sanções e atenuar sua responsabilidade.
Como todo e qualquer normativo inédito é certo que a LGPD demandará um sem número de questionamentos e enquadramentos, especialmente no que diz respeito ao seu encaixe no ordenamento pátrio e a sua própria essência de interdisciplinaridade, que só o tempo poderá responder, seja com posicionamento acadêmico, seja com manifestação do Poder Judiciário.
As demandas de um mundo 4.0 para os operadores do Direito são muitas, principalmente pelo exercício lógico jurídico que deverá ser realizado buscando compreender os novos modelos de negócios dentro do contexto das mais diversas áreas jurídicas que conhecemos.
Analisar a LGPD implica em um melhor preparo da academia jurídica, no sentido de conhecer as novas dinâmicas da tecnologia, para poder definir estratégias de prevenção de danos para seus clientes ou a mitigação de danos para seus negócios. E esse esforço não virá sem o conhecimento mínimo de tecnologia e inovação.
Talvez esse seja o maior desafio para aqueles que trabalham com o Direito Digital: conhecer recursos, conceitos, habilidades, ideias que não são apenas disruptivas em si mesmas, mas também para o próprio mundo jurídico.
Notas
[1] Art. 34. O fornecedor do produto ou serviço é solidariamente responsável pelos atos de seus prepostos ou representantes autônomos.
Art. 14. O fornecedor de serviços responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e riscos.
(...)
§ 3° O fornecedor de serviços só não será responsabilizado quando provar:
(...)
II - a culpa exclusiva do consumidor ou de terceiro.
[2] Art. 14. O fornecedor de serviços responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e riscos.
(...)
§ 3° O fornecedor de serviços só não será responsabilizado quando provar:
(...)
II - a culpa exclusiva do consumidor ou de terceiro.
[3] Art. 436. O que estipula em favor de terceiro pode exigir o cumprimento da obrigação.
[4] Art. 480. Se no contrato as obrigações couberem a apenas uma das partes, poderá ela pleitear que a sua prestação seja reduzida, ou alterado o modo de executá-la, a fim de evitar a onerosidade excessiva.