Essa é uma pergunta importante, cuja
resposta todo negócio que processa dados pessoais deve saber. Afinal, quando a
bomba estoura, ninguém quer pagar a conta.
Um importante princípio da Lei Geral de
Proteção de Dados (LGPD) é o da responsabilização e prestação de contas. De
acordo com a lei, é definido como a demonstração, pelo agente, da adoção de
medidas eficazes e capazes de comprovar a observância e o cumprimento das
normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Da simples leitura desse conceito, já temos
uma dica: são os agentes, o controlador e o operador, grosso modo, que devem
prestar contas e serem responsabilizados.
Responsabilizados
pelo quê?
Por qualquer dano que, em razão do exercício
de atividade de tratamento de dados e em violação à legislação de proteção de
dados, cause a outras pessoas. Qualquer mesmo, seja patrimonial ou moral, seja
individual ou coletivo.
Quem responde pelo
dano e quando?
Quando o operador descumpre as leis de
proteção de dados ou quando não obedece as instruções do controlador, são
responsáveis tanto o operador quanto o controlador.
Quando um controlador está diretamente
envolvido em um tratamento que causou danos aos titulares, ele é responsável.
Um tratamento causou danos. Como saber se
ele foi ilegal ou irregular?
Quando descumprir a lei ou quando não
fornecer a segurança que o titular pode esperar, considerando as circunstâncias,
principalmente:
·
O
modo pelo qual o tratamento foi realizado;
·
O
resultado e os riscos esperados; e
·
As
técnicas disponíveis na época que ocorreu o tratamento.
Vago? Verdade, a análise caso a caso será
necessária.
E se o agente não
tiver culpa?
Embora a regra seja de que o controlador e o
operador deverão indenizar por qualquer dano causado, existem situações que não
serão responsáveis. São três as exceções:
·
Quando
não tiverem realizado o tratamento que lhes é atribuído;
·
Quando
não houve descumprimento às leis de proteção de dados; e
·
Quando
o dano aconteceu por culpa exclusiva do titular ou de outra pessoa.
Para concluir, saiba que, além da
indenização que pode ser devida, a Autoridade Nacional de Proteção de Dados (ANPD)
pode penalizar o controlador ou operador que descumpre a LGPD. Algumas das
sanções são multas simples e diárias (limitadas a 50 milhões de reais), publicação
da infração e suspensão do funcionamento do banco de dados.
A realização de atividades de tratamento de
dados carrega consigo grandes riscos aos titulares e, portanto, é acompanhada
de uma enorme responsabilidade.
Por Eduardo Natale
Fonte JusBrasil Notícias
