COLUNAS

  1. Home >
  2. Colunas >
  3. Migalhas de Proteção de Dados >
  4. Suboperador: possíveis soluções diante da omissão da LGPD

Suboperador: possíveis soluções diante da omissão da LGPD

sexta-feira, 11 de fevereiro de 2022

Atualizado às 07:35

A lei 13.709/18, também nomeada Lei Geral de Proteção de Dados ("LGPD") traz, em seu artigo 5º, uma série de conceitos importantes, servindo como um "manual de instrução" para orientar na aplicação da legislação. No entanto, tais conceitos são muito mais complexos do que se apresentam, como é o caso do conceito dos agentes de tratamento de dados (inc. IX), que seriam o controlador e o operador, segundo o texto da lei. A LGPD oferece, ainda, um conceito de controlador, no inc. VI do art. 5º, entendido como "pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais". Além deste, o inc. VII do mesmo artigo da lei traz o conceito de operador, entendido como "pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador".

Aparentemente tais conceitos poderiam se apresentar, à primeira vista, como simples e com clara definição legal. Todavia, a LGPD foi omissa quanto a outras figuras como a possibilidade de controladoria conjunta (joint controllers) e suboperadores (sub processors). Diante disso, a Autoridade Nacional de Proteção de Dados (ANPD) elaborou o "Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado".1 Nesse documento, está clara a possibilidade e legalidade da contratação do suboperador, caracterizado como o "contratado pelo operador para auxiliá-lo a realizar o tratamento de dados pessoais em nome do controlador". Segundo o guia orientativo da ANPD a relação direta do suboperador é com o operador e não com o controlador. No entanto, esse ajuste suscita o debate acerca da responsabilidade civil decorrente dos prejuízos que possam ser causados pelos suboperadores. E, além disso, muito embora exista uma relação direta entre operador e suboperador, o operador deve dar ciência ao controlador e dele obter uma autorização genérica ou específica, na medida em que a relação jurídica entre controlador e operador fundamenta-se na confiança.

Diante disso, pode-se afirmar que o operador é mandatário do controlador na atividade de tratamento de dados, pois aquele realiza o tratamento de dados em nome do controlador como na definição acima destacada. Tendo em vista todo o sistema de proteção de dados, com destaque para a responsabilização pelos danos causados no tratamento de dados (art. 42 da LGPD), o controlador contrata um operador com base na confiança, ou seja, espera que este realize o tratamento de dados conforme as instruções e a legalidade.

Orlando Gomes conceitua o mandato como "o contrato pelo qual alguém se obriga a praticar atos jurídicos ou administrar interesses por conta de outra pessoa".2 No contexto das atividades de tratamento de dados pessoais, o controlador contrata o operador (pessoa física ou jurídica) para praticar algumas atividades de tratamento de dados, que pode ser uma atividade específica, como o armazenamento em nuvem; ou uma atividade mais genérica, como contratar uma empresa de marketing digital para divulgar seus produtos ou serviços, administrando seus interesses.

Miguel Maria de Serpa Lopes3 destaca os caracteres jurídicos do mandato, sendo este intuitu personae, podendo ser revogável ad nutum, pois esse contrato está fundado na "confiança do mandante quanto à idoneidade técnica e moral do seu mandatário. Tanto que desapareça ou tenha motivos para não estar dela seguro, concede-lhe a lei o poder de revogar ad nutum os poderes representativos concedidos."

É justamente isso que ocorre na relação jurídica entre controlador e operador. O primeiro contrata uma pessoa física ou jurídica para realizar determinadas atividades de tratamento de dados, confiando na sua capacidade técnica, moral, bem como na rigorosa observância da LGPD na tarefa de realizar o tratamento de dados.

Todavia, as atividades de tratamento de dados são cada vez mais complexas, surgindo a necessidade por parte do operador de contratar serviços especializados para uma atividade específica ou genérica no tratamento de dados. Um exemplo, muito comum, seria a contratação de uma empresa de marketing digital por uma empresa "A", que determina quais dados pessoais serão coletados e a forma e duração do armazenamento (decisões que competem ao controlador, no caso a empresa "A"). Para realizar o marketing digital, "A" contrata a empresa "B" que desenvolve as campanhas, podendo usar uma ferramenta web de outras empresas (que seriam suboperadoras, de atividades genéricas) ou pode, ainda, contratar uma empresa "C" para armazenamento em nuvem (que será suboperadora para uma atividade específica).

Em todo caso, o ideal é que o contrato entre controlador e operador prevejam a possibilidade ou a proibição de um suboperador, como ocorre no contrato de mandato quanto ao substabelecimento. Isto porque, dependendo da hipótese, pode o operador ter sua responsabilidade aumentada como, por exemplo, prescreve o Código Civil na proibição do substabelecimento.

Portanto, podem ocorrer três hipóteses:

1ª) proibição expressa no contrato entre controlador e operador quanto à possibilidade de o operador se valer de um suboperador: neste caso, deve-se aplicar o §1º do art. 667 do Código Civil, respondendo o operador pelos prejuízos causados, ainda que provenientes de caso fortuito, a menos que prove que os prejuízos ocorreriam mesmo que não tivesse atuado o suboperador (aumentando a responsabilidade do operador - perpetuatio obligationis).

2ª) omissão no contrato entre controlador e operador quanto à possibilidade de o operador se valer de suboperador: neste caso, o operador será responsável mediante a comprovação de culpa (negligência, imprudência e imperícia) do suboperador, aplicando o §4º do art. 667 do Código Civil.

3ª) previsão no contrato entre controlador e operador quanto à possibilidade de o operador se valer de um suboperador: neste caso, o operador deve honrar a confiança depositada pelo controlador e escolher com a máxima diligência o suboperador sob pena de ser responsabilizado (culpa in eligendo) nos termos do §2º do art. 667 do Código Civil.

Justamente diante da possibilidade de o operador contratar um suboperador e a lacuna da LGPD, o contrato entre controlador e operador deve estabelecer regra específica sobre a possibilidade ou proibição de tal prática, implicando a extensão da responsabilização do operador em virtude de prejuízos ocasionados na atividade de tratamento de dados pessoais desenvolvida pelo suboperador.

Além disso, muito embora o "Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado", da ANPD,4 afirme ser recomendável obter a autorização do controlador para poder contratar um suboperador, entendemos que, diante do princípio da boa-fé objetiva, mencionado expressamente no caput do art. 6º da LGPD, somado ao caráter intuitu personae do contrato entre controlador e operador, este, caso queira  se valer da suboperação nas atividades de tratamento de dados, deve sempre dar ciência e obter a autorização específica ou genérica do controlador.

Nesse sentido, o Regulamento Geral Europeu de Proteção de Dados5 expressamente determina o dever do operador de obter a autorização para contratar um suboperador (art. 28, parágrafos 2 e 4), e prevê, ainda, a possibilidade de o suboperador contratar outro suboperador. Importante que todos suboperadores ofereçam garantias suficientes de que adotarão medidas técnicas e organizacionais adequadas ao cumprimento da lei de proteção de dados. O tema foi objeto de regulamentação pelo European Data Protection Board, nas Guidelines 07/2020 sobre os conceitos de controlador e operador em matéria de proteção de dados.6

Essa autorização pode ser dada no início da contratação entre controlador e operador, nada impedindo, porém, que ela seja posteriormente concedida mediante um adendo ao contrato ou um instrumento com a descrição específica ou genérica das atividades que serão realizadas pelo suboperador, desde que seja anterior às atividades de tratamento de dados realizadas pelo suboperador. O aumento da responsabilidade do operador justifica-se como forma de estímulo para que tal prática seja adotada pelo operador, ou seja, é mais seguro atuar nas atividades de tratamento de dados pessoais, mediante autorização expressa do controlador para a suboperação.

A exigência de autorização por parte do controlador é fundamental porque ele pode não concordar com a contratação de determinado suboperador, podendo optar por contratar diretamente o suboperador. Tal medida é fundamental, pois diante do sistema de responsabilidade civil, preconizado pela LGPD em diálogo com outras leis existentes, como o Código de Defesa do Consumidor, sendo uma relação jurídica de consumo, o controlador tem total interesse em avaliar a capacidade técnica do suboperador que será contratado.

Ademais, se o operador não seguir as instruções do controlador, como a proibição da suboperação, o operador equipara-se ao controlador para fins de responsabilidade civil em razão do exercício de atividade de tratamento de dados pessoais, segundo a parte final do inciso I, do § 1º do art. 42 da LGPD.

Em suma, tal autorização não afasta a responsabilidade do operador pelos prejuízos oriundos das atividades de tratamento de dados do suboperador, mas pode diminuir na medida em que somente responderá caso tenha escolhido mal o suboperador ou caso ele não tenha seguido as instruções dadas pelo controlador. Sendo, no entanto, a contratação de suboperador proibida, há um aumento da responsabilidade do operador perante o controlador, respondendo ele, ainda que os danos decorram de caso fortuito. Por fim, não tendo sido expressamente autorizada a contratação de suboperador, nem tampouco tenha sido ela proibida, uma importante pergunta desponta inafastavelmente: tal prática pode ser considerada regular e adequada tendo em vista a obrigatoriedade da obtenção de autorização expressa e prévia do controlador para que o operador possa contratar um suboperador? Neste sentido, o melhor entendimento é interpretar que na omissão de tal previsão no contrato entre controlador e operador, caso a complexidade da atividade de tratamento de dados demande, seja possível a contratação de um suboperador, desde que obtida a autorização prévia do controlador, sob pena de ainda ser responsabilizado o operador por caso fortuito.

Por fim, quando for autorizada a contratação de um suboperador, deve o operador informar quais suboperadores foram contratados e que atividades de tratamento de dados eles realizaram, porque tal informação é de suma relevância para o correto mapeamento dos dados pessoais e para o registro das operações de tratamento de dados, obrigação imposta ao controlador no art. 37 da LGPD,7 além de ser um ponto a ser considerado na Política de Segurança e Controle de Incidentes com Dados Pessoais pelos controladores.8

Cíntia Rosa Pereira de Lima é professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto - FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Universidade de Ottawa (Canadá) com bolsa CAPES-PDEE. Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pós-Doutora em Direito Civil pela Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP).  Presidente do Instituto Avançado de Proteção de Dados - IAPD. Advogada.

Newton De Lucca é professor Titular da Faculdade de Direito da Universidade de São Paulo. Professor do Corpo Permanente da Pós-Graduação Stricto Sensu da UNINOVE. Desembargador Federal, Presidente do Tribunal Regional Federal da 3a Região (biênio 2012/2014). Membro da Academia Paulista de Direito. Membro da Academia Paulista de Letras Jurídicas. Membro da Academia Paulista dos Magistrados. Vice-Presidente do Instituto Avançado de Proteção de Dados.

__________

1 BRASIL. Autoridade Nacional de Proteção de Dados (ANPD). Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Brasília (DF), maio de 2021. Disponível aqui, acesso em 08 fev. 2022.

2 GOMES, Orlando. Contratos. 18 ed. Rio de Janeiro: Forense, 1999. p. 347.

3 SERPA LOPES, Miguel Maria de. Curso de Direito Civil. Vol. IV: Fontes das Obrigações: Contratos. 5. Ed. Rev. e Atual. Rio de Janeiro: Biblioteca Jurídica Freitas Bastos, 1999. p. 313.

4 BRASIL. Autoridade Nacional de Proteção de Dados (ANPD). Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Brasília (DF), maio de 2021. Disponível aqui, acesso em 08 fev. 2022. p. 19.

5 UNIÃO EUROPEIA. Regulation (EU) 2016/679 of the European parliament and of the council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation). Disponível aqui, acesso em 08 fev. 2022.

6 UNIÃO EUROPEIA. European Data Protection Board. Guidelines 07/2020 on the concepts of controller and processor in the GDPR (02 de setembro de 2020). Disponível aqui, acesso em 08 fev. 2022. p. 39.

7 Sobre a distinção entre mapeamento de dados pessoais e registro das operações de tratamento de dados: LIMA, Cíntia Rosa Pereira de; OLIVEIRA, Cristina Godoy Bernardo de. Relatório de Impacto à Proteção de Dados: Mitos e Verdades - Parte 1. Disponível aqui, acesso em 10 fev. 2022; LIMA, Cíntia Rosa Pereira de; OLIVEIRA, Cristina Godoy Bernardo de. Relatório de Impacto à Proteção de Dados: Mitos e Verdades - Parte 2. Disponível aqui, acesso em 10 fev. 2022.

8 Sobre o dever de notificação: LIMA, Cíntia Rosa Pereira de; OLIVEIRA, Cristina Godoy Bernardo de. Dever de Notificação dos Incidentes de Segurança com Dados Pessoais - Parte 1. Disponível aqui, acesso em 10 fev. 2022.