Você tem garantias e direitos, portanto, conte com o seu Advogado de confiança para defendê-lo (a)
Notícias
Artigos
LGPD - Responsabilidade dos agentes de tratamento pela eliminação de dados pessoais compartilhados - 21/08/2018
LGPD - Responsabilidade dos agentes de tratamento pela eliminação de dados pessoais compartilhados (A lei de proteção de dados pessoais já provoca algumas polêmicas e diversas dúvidas. Uma delas relaciona-se à eliminação de dados pessoais compartilhados; No dia 10 de julho de 2018 foi aprovado pelo Plenário do Senado Federal o PLC nº 53/2018, o qual cria a tão aguardada Lei Geral de Proteção de Dados (LGPD) brasileira. O projeto segue para sanção presidencial com a expectativa e torcida da comunidade jurídica para que ocorra sua sanção integral sem qualquer veto; Dentre os diversos direitos do titular dos dados, o texto da LGPD brasileira consagra o poder do titular em requerer, junto ao controlador, a eliminação de seus dados pessoais tratados sob a base do consentimento (artigo 18, VI). Ocorre que, para os casos em que o titular tenha consentido ao controlador o compartilhamento de seus dados com outro agente de tratamento, ao requerer a eliminação junto ao controlador, espera-se que o terceiro envolvido, que recebeu os dados compartilhados, também os elimine. Isto porque o consentimento inicialmente fornecido pelo titular foi revogado ante o requerimento de exclusão, o que implica dizer que o titular não mais concorda com o tratamento de seus dados, incluindo seu compartilhamento com outras empresas; Nesse cenário, o artigo 18, §6º, prevê expressamente o dever do responsável pelo tratamento de informar, de maneira imediata, o pedido de eliminação dos dados do titular a outros agentes na cadeia de tratamento, com os quais tenha compartilhado os mesmos; Porém, o que ocorrerá se, apesar de notificada, a empresa que recebeu os dados compartilhados deixar de atender ao requerimento de exclusão e não eliminar os dados pessoais do titular? Qual seria o limite da responsabilidade e da aplicação de sanções ao controlador, na medida em que ele cumpriu o dever legal de informação ao agente de tratamento sobre a exclusão? Quais outras medidas o controlador poderia adotar para fazer valer o requerimento do titular em sua integralidade?; A questão demanda reflexões. Apesar de cumprir estritamente ao que determina o texto legal da futura LGPD, forçoso concluir que a responsabilidade do controlador não pode se encerrar após a simples notificação ao terceiro para que este providencie a exclusão dos dados; Inicialmente pondera-se que a LGPD está inserida em um ordenamento jurídico, em um conjunto de leis com as quais deve se compatibilizar e ser interpretada harmonicamente; Assim, considere-se, por exemplo, que os dados cujo consentimento tenha sido revogado pelo titular sejam de um consumidor, cuja relação jurídica é tutelada pelo Código de Defesa do Consumidor. Neste caso, a norma expressa do Art. 34 daquele dispositivo[1] é de uma clareza solar acerca da solidariedade entre fornecedor e seus representantes, pelo que se infere ser o caso da hipótese levantada. Ainda segundo aquele diploma, a responsabilidade civil estabelecida no Art. 14[2] é objetiva e só pode ser afastada com a comprovação da culpa exclusiva do próprio consumidor ou de terceiro. Ou seja, inicialmente incidente a solidariedade entre o controlador e o agente de tratamento, esta não parece ser possível de afastamento, considerando-se o não cumprimento completo da exclusão solicitada, ainda que o controlador faça a prova da notificação ao terceiro; De bom tom esclarecer que tal hipótese se vislumbra em caso de haver efetivos danos ao titular dos dados. O mero descumprimento da exclusão ou a não comprovação da mesma, de per si, parece não ter o condão de implicar uma conduta danosa in re ipsa. É crível que a conduta danosa seja efetivamente demonstrada para se aplicar a solidariedade; Não soa adequada a isenção completa da responsabilidade do controlador sobre os eventuais danos causados pela manutenção do tratamento desses dados contra a vontade do titular, cabendo ao controlador demonstrar seu real esforço em exigir o cumprimento e a efetiva exclusão dos dados junto aos agentes com quem compartilhou referidos dados; Além disso, na análise de cada caso concreto será importante levar em consideração o porte das empresas envolvidas nessas relações comerciais. Não seria razoável, por exemplo, que um grande player de tecnologia simplesmente apresente um e-mail informando ao agente de tratamento sobre o requerimento de exclusão dos dados, para escusar-se da responsabilidade pelo descumprimento do dever legal de eliminação integral dos dados e pelos eventuais danos causados ao titular; Aqui, talvez, a atenção maior deva ser dada aos comandos do Código Civil, no que tange às obrigações fixadas entre o controlador dos dados e o seu subcontratado para o tratamento dos dados. Soa razoável valer-se do Art. 436[3] para que o contrato entre controlador e agente de tratamento beneficie o titular do dado, em caso de exclusão a pedido do titular, terceiro naquela relação; A estipulação de cláusula em benefício do titular de dados como terceiro poderá ser feita dentro da estipulação entre controlador e processador, no sentido de afastar ou manter a responsabilidade entre ambos, em relação ao cumprimento da exclusão dos dados; Nesse sentido, ainda, o porte dos envolvidos, sem dúvida, pesará quando da elaboração dos contratos. Isto porque é de conhecimento comum que agentes de maior envergadura econômica gozarão de maior suporte jurídico, e, consequentemente, se de um lado poderão contar com contratos mais completos e fortes, de outro poderão ser demandados pela onerosidade dos mesmos, ainda com arrimo no Código Civil (Art. 480[4]), levando, mais uma vez, a repartição da responsabilidade entre o controlador e o agente de tratamento, caso a mesma fique unilateral e excessivamente a cargo de apenas um dos envolvidos nessa relação; Há de se reconhecer também a grande dificuldade a ser enfrentada pelo controlador para, de fato, fazer valer o requerimento do titular para exclusão integral dos dados perante um agente. Isso porque nos atuais modelos de negócios as dinâmicas de compartilhamento de dados muitas vezes não comportam obrigações contratuais prevendo auditorias e checagens in loco. Isso sem contar a limitação técnica do controlador para gerenciar o cumprimento da determinação de exclusão perante uma empresa terceira, sob a qual ela não possui ingerência; Talvez a criação/alteração nas políticas de Compliance das empresas controladoras e processadoras possa, por exemplo, prever comportamentos e garantias necessárias à efetiva exclusão dos dados do titular, quando solicitado, através de processos internos que garantam seu efetivo cumprimento. Normas internas de segurança da informação deverão ser implementadas/criadas nesse sentido, considerando a dificuldade citada de parceiros comerciais garantirem a execução da exclusão em ecossistemas profissionais que não são os seus; Nesse sentido, parece que o caminho mais seguro para as empresas que compartilham os dados com outros agentes seja, além de aumentar o rigor na escolha de seus parceiros comerciais, obviamente, privilegiando aqueles que demonstrarem possuir uma cadeia de processos nas quais apresentem real comprometimento com o cumprimento das normas legais de segurança da informação, principalmente as dispostas no LGPD, assegurar uma ingerência mínima sobre esses parceiros, através da redação de cláusulas contratuais robustas prevendo a obrigação de comprovação da exclusão dos dados, sob pena de rescisão contratual, multa e demais sanções contratuais, além das já dispostas na eminente legislação de proteção de dados e demais leis aplicáveis; A comprovação de que o controlador não apenas notificou as empresas que receberam os dados compartilhados, mas também solicitou àquelas o retorno sobre o efetivo cumprimento do requerimento de eliminação dos mesmos, a redação de cláusulas contratuais rigorosas entre esses parceiros comerciais, no que se refere ao tratamento daqueles dados, e a demonstração de que todas as medidas possíveis de gerenciamento do cumprimento das ordens de exclusão foram adotadas, se não eliminam a responsabilidade do controlador, deverão, ao menos, mitigar eventuais sanções e atenuar sua responsabilidade) https://jus.com.br/artigos/68276/lgpd-responsabilidade-dos-agentes-de-tratamento-pela-eliminacao-de-dados-pessoais-compartilhados
Autor: Mattosinho Advocacia Criminal
Contate-nos
Sede do escritório
Rodovia Transamazônica 20
- Novo Horizonte
- Pacajá / PA
- CEP: 68485-000
+55 (91) 991040449+55 (91) 37981042
© 2025 Todos os direitos reservados - Certificado e desenvolvido pelo PROMAD - Programa Nacional de Modernização da Advocacia
