Por Emily Zerpa
A nova Lei Geral de Proteção de Dados Pessoais (nº 13.709/2018), que entrará em vigor em fevereiro de 2019, tem sido objeto de inúmeros debates nos mais diversos âmbitos da sociedade, sejam eles jurídicos, empresariais, de tecnologias etc. Isso porque se trata de uma legislação transversal, que passa por todos os segmentos da coletividade e não somente pela esfera consumerista, o que em primeiro momento levou-se a acreditar, mostrando-se, ao contrário, como uma lei pró-negócio.
Inconteste, portanto, que a Lei nº 13.709/2018 veio para colocar o Brasil em pé de igualdade com os países estrangeiros, acerca da regulação de dados pessoais nos diversos setores da economia, de forma a garantir, de proêmio, a privacidade de cada indivíduo como ser particular e único, resguardando, por conseguinte, a segurança de dados que representam, de fato, o que a pessoa é, sobretudo quanto às informações tidas como sensíveis, que nada mais são do que aquelas que possam fazer surgir um pré-conceito/estigmatização acerca de seu titular.
Neste sentido, essa legislação veio dar segurança para o uso dos dados pessoais colhidos sob quaisquer circunstâncias, de forma a exigir que os agentes de tratamento dessas informações tenham a obrigação de, inclusive, anonimizá-las, tudo dentro das possibilidades que o agente controlador e/ou operador tenham, com utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, até mesmo no tocante aos dados classificados como sensíveis.
No que concerne aos agentes de tratamento, importante discussão tem-se sobre a responsabilidade civil de cada um destes. Destaque-se, neste ponto, que o controlador nada mais é do que a pessoa natural ou jurídica de quem competem as decisões referentes ao tratamento de dados pessoais de pessoas naturais, enquanto o operador, por sua vez, é a pessoa natural ou jurídica que realiza o tratamento de tais dados em nome do controlador.
Assim, soa razoável destacar a disposição do Código Civil no tocante a responsabilidade objetiva, nos termos do parágrafo único, do artigo 927, quando será irrelevante a existência de culpa para aquele que exerce atividade que, por sua natureza, envolve direitos de outrem. Nesse particular, não se enquadrará o contrato firmado entre controlador e operador de dados pessoais na seara da responsabilidade objetiva, quando pelo instrumento contratual e com base na legislação vigente ficar demostrado que um ou outro agiu dentro do pactuado, verificando-se, assim, a existência de excludente de responsabilidade, com constatação de responsabilidade subjetiva.
Neste sentido, a responsabilidade civil subjetiva leva em consideração a culpa, que será demonstrada com a comprovação do descumprimento do pactuado entre as partes. Desta forma, caso o operador do dado pessoal prove que agiu dentro dos termos do contrato e respeitando a legislação pátria, poderá ficar isento de responsabilidade, cabendo ao controlador, no momento da elaboração do contrato valer-se do auxílio de seu setor de tecnologia da informação e da sua consultoria jurídica para amarrar o referido contrato, de forma a garantir o direito de regresso contra este, em caso de violação aos dados pessoais de todo e qualquer indivíduo.