quarta-feira, 8 de dezembro de 2021

COLUNAS

  1. Home >
  2. Colunas >
  3. Migalhas de Responsabilidade Civil >
  4. Encarregado empregado: problemas de responsabilidade civil na LGPD e no Código Civil

Encarregado empregado: problemas de responsabilidade civil na LGPD e no Código Civil

terça-feira, 15 de junho de 2021

A Lei Geral de Proteção de Dados Pessoais - lei 13.709/2018 - inaugura em seu texto um sistema próprio de responsabilidade civil nos artigos 42 a 45 (e art. 46, se considerarmos o texto do art. 44). Fica evidenciado pela letra da lei, que tais artigos limitam a responsabilidade civil pelos eventuais danos causados quando da violação às regras criadas para as atividades e tratamento de dados pessoais somente aos chamados "agentes de tratamento de dados", notadamente, o controlador e o operador, consoante inciso IX do Art. 5º. Nesse último caso - operador - a sua responsabilidade, via de regra é subsidiária. Haverá  responsabilidade solidária junto ao controlador na hipótese do § 1º, inciso I do Art. 42, qual seja, quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador.

Em nenhum momento, a LGPD estabelece uma regra qualquer que seja destinada especificamente para a responsabilidade do encarregado pelo tratamento de dados pessoais, sendo certo que todo o capítulo destinado à responsabilidade tem como foco, exclusivamente, os agentes de tratamento de dados, conforme acima delineado. Igualmente, o Regulamento Geral sobre a Proteção de Dados 2016/679 - GDPR - regula em seu artigo 24 que a responsabilidade pelo cumprimento com o respectivo regulamento cabe ao controlador.

Tais assertivas nos levam à conclusão de que as regras a respeito da obrigação de indenizar por eventuais danos causados pelo encarregado em decorrência do exercício de sua função devem ser regidas pelas normas e princípios gerais previstas no Código Civil, em especial, as que se referem à prática de ato ilícito (arts. 186 e 187) e à responsabilidade civil (arts. 927 e seguintes).

Vale mencionar ainda que o encarregado deverá ser indicado pelo controlador para que possa cumprir obrigações que decorrem da própria Lei e de eventuais resoluções da Autoridade Nacional de Proteção de Dados (art. 41, § 3º), estas últimas ainda pendentes de deliberação1. Dentre as principais funções  a serem exercidas pelo encarregado, o artigo 41, da LGPD, indica: "I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; II - receber comunicações da autoridade nacional e adotar providências; III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares".

Em relação ao disposto no inciso IV, deve-se entender que as atribuições a que se referem devem estar em consonância com a lei e não implicar em ações praticadas pelo encarregado em qualquer tipo de atividade em que se identifique potencial conflito de interesses. Frise-se que o encarregado deve ter autonomia, tanto funcional, quanto financeira, para que possa realizar suas atividades com independência, sem receber ordens do controlador no exercício de suas funções. Esta é a orientação que se extrai também do Regulamento Geral sobre a Proteção de Dados 2016/679 - GDPR - que eu seu Art. 38 informa expressamente que o encarregado não pode receber instruções para o exercício das suas funções, não pode ser destituído nem penalizado em razão do exercício de suas funções.

Importante também salientar que as funções a serem cumpridas pelo encarregado devem ser reconhecidas como semelhantes a de uma consultoria ou auditoria, indicativa de condutas a serem seguidas pelo controlador, mas não vinculativas de posturas obrigatórias. Caberá ao controlador decidir o que fazer no âmbito das atividades de tratamento de dados pessoais, tendo por consequência lógica a sua exclusiva responsabilidade pela tomada de decisões, seguindo ou não as orientações de seu encarregado. Dito isso, entendemos que a figura do encarregado pelo tratamento de dados deve ser afastada da aplicação do sistema de responsabilidade civil da LGPD, na medida em que, em última análise, não detém nenhuma autonomia, tampouco o controle para definir os limites, premissas  e condições para as suas respectivas atividade de tratamento de dados pessoais.

Por outro lado, a indicação do encarregado pelo controlador, em que pese obrigatória pela redação do Art. 41 da LGPD, é livre. Significa dizer que o encarregado pode ser, por exemplo, empregado do controlador, consultor independente, escritório de advocacia externo, consultoria de segurança da informação, entre outros modelos de negócio. A LGPD, contudo, previa em seu artigo 41, §4º - vetado -, regra diversa. Em seu texto havia previsão que "com relação ao encarregado, o qual deverá ser detentor de conhecimento jurídico-regulatório e ser apto a prestar serviços especializados em proteção de dados, além do disposto neste artigo, a autoridade regulamentará: (VETADO) I - os casos em que o operador deverá indicar encarregado; (VETADO) II - a indicação de um único encarregado, desde que facilitado o seu acesso, por empresas ou entidades de um mesmo grupo econômico; (VETADO) III - a garantia da autonomia técnica e profissional no exercício do cargo". Com o mencionado veto, a qualificação do encarregado deixa de ser obrigatória. Contudo, é de esperar que o controlador indique como encarregado pessoa - física ou jurídica - que tenha a capacidade de atuar de maneira adequada para sua função2.

Nesse contexto, é possível que o controlador - no seu atuar autônomo - indique como encarregado um empregado (ou servidor). Nesta hipótese, caso se verifique um dano indenizável decorrente da atividade desenvolvida pelo encarregado - a exemplo daquelas previstas no artigo 41, § 2º, LGPD -, , haverá a possibilidade de sua responsabilização? E mais, considerando o disposto no art. 932 e 933, do Código Civil, pode-se concluir que a responsabilidade civil do empregador/controlador seja objetiva? Essas perguntas, por óbvio, não são fáceis de responder. A começar pela primeira consideração: sendo empregado do controlador, é necessário que seja estabelecido os termos de sua relação em programa contratual autônomo? Isto é, a função de encarregado, diante de suas especificidades, por ser independente e autônoma, deve ser regida por contrato a parte do contrato empregatício previamente realizado, estabelecendo obrigações próprias à função? Aqui uma questão deve ser levantada: a importância da atuação do encarregado sem que haja conflito de interesse com o tratamento de dados realizado pelo controlador. Parece claro que a atribuição do cargo de encarregado a empregado da controladora importa na necessária revisão contratual de funções por ele desempenhadas, a despeito das atividades por ele já exercidas, caso já fosse empregado antes da nomeação. Aqui, por óbvio, é necessária uma análise da relação empregatícia com base nas normas de Direito do Trabalho a fim de evitar nulidades ao contrato de trabalho.

Retornando ao tema: as obrigações assumidas pelo encarregado em seu contrato de trabalho são obviamente de meio, na medida em que não se obriga a um resultado específico, mas à realização de consultoria e indicação de condutas que podem - ou não - ser adotadas pelo controlador. Se o controlador opta por não seguir a orientação do encarregado é uma questão que deverá ser resolvida no âmbito de eventual responsabilização do próprio controlador, aplicando-se assim, as regras dos artigos 42 e 44, da LGPD.

Contudo, se, em decorrência de evidente orientação contra legem do encarregado/empregado, o controlador toma medidas que geram danos a titulares de dados, pergunta-se se o encarregado deve ser responsabilizado pelo ato ilícito praticado durante e em função do exercício de sua atividade laborativa. Essa pergunta não é de todo tola, na medida em que se o empregado causa danos a terceiros em decorrência de sua atuação ou em função da atividade, o controlador pode ser responsabilizado, inclusive objetivamente. Por outro lado, o artigo 43, da LGPD prevê que "os agentes de tratamento só não serão responsabilizados quando provarem: III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro". Pode-se considerar o encarregado "terceiro" no caso em que danos sejam ocasionados aos titulares de dados pessoais? Parece-nos que não, considerando que a locução "terceiro" deve ser interpretada como sendo relacionada à pessoa absolutamente alheia à atividade desenvolvida no tratamento de dados pessoais pelo controlador.

Evidente que ao controlador caberá direito de regresso para reaver do encarregado aquilo que pagou aos ofendidos por conta de sua conduta ilícita. Aqui estamos fora do âmbito de aplicação da LGPD, mas dentro da aplicação do Código Civil e da responsabilidade civil do empregador pelos atos de empregado.

E aqui temos mais um problema de interpretação sistemática: é conciliável a responsabilidade civil da LGPD, de base subjetiva como querem alguns, com a responsabilidade civil do empregador pelos atos de seus empregados, do Código Civil, de natureza objetiva? No primeiro caso, a responsabilidade é do controlador por ato próprio e em decorrência - para alguns - do descumprimento de deveres de segurança a serem cumpridos. No segundo caso, a responsabilidade é do controlador por ato de terceiro (encarregado, seu empregado) que com sua conduta ilícita durante o exercício de sua função causou danos a terceiros - inclusive a titulares de dados pessoais. E aqui a responsabilidade é objetiva, por previsão expressa do artigo 933, CC. No caso, temos a co-existência de duas bases legais para a responsabilidade civil do controlador: a da LGPD, por descumprimento de deveres de segurança do controlador que "causar a outrem dano" (art. 42, LGPD), e a do Código Civil, com base na relação de emprego com encarregado, "no exercício do trabalho que lhe competir, ou em razão dele" (art. 932, III, CC).

Em conclusão, caso seja constituída a relação de emprego entre controlador e encarregado parece claro que o Código Civil será aplicável, com base nos artigos 932, III e 933. A responsabilidade civil do controlador passa a ter como fundamento o fato de que um empregado seu - encarregado - atuou em desconformidade com suas obrigações. Afasta-se, assim, a responsabilidade civil do controlador da sistemática da Lei Geral de Proteção de Dados Pessoais. Com isso, se permite uma coexistência de bases legais diversas para a obrigação de indenizar. Uma, de natureza objetiva, calcada na relação empregatícia e na conduta culposa do empregado/encarregado, tendo atribuída a responsabilidade ao controlador pelo fato de terceiro. Outra, para alguns, de natureza subjetiva, calcada no descumprimento pelo controlador de deveres de conduta e de segurança previstos na LGPD.   

Caitlin Mulholland é professora do Departamento de Direito da PUC-Rio. Associada do IBERC. Coordenadora do Grupo de Pesquisa DROIT - Direito e Novas Tecnologias. Doutora em Direito Civil pela UERJ. 

Rodrigo Dias de Pinho Gomes é advogado. Doutorando e mestre em Direito Civil pela UERJ. Coordenador de Direito e Tecnologia da Escola Superior de Advocacia da OAB/RJ.

_________

1 Nos termos da agenda regulatória para o biênio 2021-2022, a Autoridade Nacional de Proteção de Dados - ANPD prevê que esta deliberação ocorra no primeiro semestre de 2022. PORTARIA Nº 11, DE 27 DE JANEIRO DE 2021. Disponível aqui. Acesso em 21/03/2021.

2 "É altamente recomendável que o encarregado tenha comprovado conhecimento jurídico específico sobre proteção de dados, bem como noções sobre o funcionamento da tecnologia utilizada pelo controlador, exigência expressa na GDPR. Seria de suma importância que a ANPD regulamentasse requisitos mínimos o quanto antes, na forma do Artigo 41, § 3º da LGPD, visando evitar dúvidas e questionamentos neste sentido." GOMES, Rodrigo Dias de Pinho. Encarregado pelo tratamento de dados pessoais na LGPD Disponível aqui . Acesso em 07/04/2021.

Atualizado em: 15/6/2021 08:57