O Brasil ainda necessita de regulamentação por parte da Autoridade Nacional de Proteção de Dados (ANPD) sobre a responsabilidade dos agentes de tratamento. É fundamental direcionar o olhar para as decisões dentro do contexto do Regulamento Geral de Proteção de Dados da União Europeia (GDPR).
No caso C-683/21, recentemente analisado pelo Tribunal de Justiça da União Europeia (CJUE), questões sobre a responsabilidade dos agentes de tratamento de dados foram abordadas e esclarecidas. Isso proporcionou insights valiosos para a interpretação da Lei Geral de Proteção de Dados (LGPD) – Lei 13.709/18, no Brasil.
Para extrair tais lições, é importante analisar os detalhes. No caso concreto, o Centro Nacional de Saúde Pública da Lituânia (NVSC) encomendou a uma empresa denominada IT sprendimai sėkmei, o desenvolvimento de um aplicativo relacionado à covid-19, para registro e monitoramento de pessoas expostas ao vírus. O aplicativo foi criado a partir das informações fornecidas pelo NVSC e posteriormente disponibilizado no Google Play, com a política de privacidade indicando o NVSC e o provedor de serviços como controladores. No entanto, adiante da falta de recursos, o NVSC cancelou a aquisição do aplicativo, ainda que não tenha estabelecido um contrato formal com a IT sprendimai sėkmei.
A Autoridade de Proteção de Dados da Lituânia (Valstybinė duomenų apsaugos inspekcija) aplicou multas administrativas tanto ao NVSC quanto ao provedor de serviços, considerando-os controladores conjuntos no tratamento de dados pessoais e dados pessoais sensíveis, em violação às diretrizes do GDPR.
O NVSC contestou a decisão. Argumentou que não poderia ser considerado o controlador de dados, pelas seguintes razões:
O provedor de serviços foi o responsável por desenvolver o aplicativo;
Por não ter dado autorização para disponibilização do aplicativo ao público e;
Por não haver contrato entre as partes. Utilizando-se de alegação diferente, o provedor de serviços também contestou a decisão. Afirmou ser tão somente um operador de dados pessoais, na forma do GDPR.
Diante dessas circunstâncias, a autoridade lituana decidiu suspender o julgamento do caso e submeteu uma série de quesitos ao CJUE envolvendo questões prejudiciais ao julgamento. Os questionamentos tinham como objetivo esclarecer as condições necessárias para responsabilização de agentes de tratamento, que serão abordadas a seguir.
Ao analisar os questionamentos, o CJUE reafirmou a amplitude do escopo da controladoria, apontando que a questão primordial para definição do papel do agente como controlador seria compreender se o agente exerce influência sobre o tratamento de dados pessoais para os seus próprios fins e se determina as finalidades e os meios de tratamento.
O Tribunal ressaltou, ainda, que um agente pode ser considerado controlador mesmo na ausência de contrato designando-o como tal. Esse entendimento alinha-se às orientações do European Data Protection Board (EDPB) e da ANPD, que destacam que, independentemente do que está definido formalmente (princípio da realidade sobre a forma), deve-se analisar a efetiva atividade desempenhada pelas partes, ou seja, avaliar se, no caso concreto, o agente determina as finalidades e os meios do tratamento dos dados pessoais.
A posição do NVSC como controlador restou clara para o CJUE. Afinal, o ente público lituano solicitou o desenvolvimento do aplicativo para que pudesse cumprir com seus próprios objetivos, além de estabelecer como os dados seriam ali tratados ao prever os parâmetros do aplicativo a ser criado. Assim, o fato de o NVSC não ter adquirido o aplicativo e não ter autorizado a sua divulgação ao público não foram consideradas questões relevantes pelo Tribunal no presente julgamento. A conclusão somente teria sido diferente caso o NVSC tivesse expressamente se oposto à disponibilização do aplicativo ao público.
A decisão também reiterou que a controladoria conjunta não implica automaticamente em responsabilidade igual para todas as partes envolvidas. Dito de outro modo, cada um dos agentes poderá ser sancionado com multas administrativas diferentes, a depender da análise do ocorrido e do papel desempenhado por cada parte. A atribuição de responsabilidade será, portanto, guiada pelas circunstâncias específicas de cada caso, permitindo até mesmo que uma parte seja considerada controladora conjunta ainda que não tenha acesso direto aos dados pessoais.
Os julgadores também enfatizaram que não é essencial que a função desempenhada pelos agentes de tratamento, quando agindo como controladores conjuntos, seja definida antecipadamente em um acordo entre as partes, tal como previsto no artigo 26 (1) do GDPR. Em essência, esse arranjo surge naturalmente da condição compartilhada entre controladores, não sendo o contrato tido como uma condição prévia para a existência da controladoria conjunta.
Ainda que não diretamente relacionado ao caso em questão, o CJUE também examinou dois questionamentos sobre a responsabilidade do controlador em relação aos atos cometidos por um operador em violação ao GDPR. Em sua análise, o Tribunal esclareceu que os controladores só estarão sujeitos a multas em caso de violação intencional ou negligente ao GDPR. Em outras palavras, a legislação europeia, conforme expressa no artigo 83 do GDPR, preconiza que a imposição de multas administrativas está condicionada à comprovação de alguma forma de culpa por parte do controlador.
Outro ponto importante mencionado pelo CJUE é que, embora o controlador possa ser responsabilizado pelo tratamento ilícito realizado pelo operador de dados, há limites para essa responsabilização. O controlador não poderá ser responsável em situações em que:
O operador atuou para seus próprios fins;
O operador tratou dados de maneira incompatível com os acordos de tratamento de dados pessoais estabelecidos pelo controlador; ou
Quando não pode ser razoavelmente considerado que o controlador consentiu com tal operação de tratamento. Nos três casos elencados, o Tribunal determinou que o operador assumiria a posição de controlador, sendo responsável por sua conduta.
A decisão do CJUE também apresenta uma linha clara em relação à responsabilidade subjetiva dos controladores, limitando as multas apenas a casos de violações intencionais ou negligentes ao GDPR. Essa abordagem, ancorada no artigo 83 do GDPR, ressoa com o princípio subjacente da culpabilidade, distanciando-se da responsabilidade objetiva. Essa distinção é de particular relevância para o contexto brasileiro, enfraquecendo argumentos em favor da responsabilidade objetiva dos agentes de tratamento de dados na LGPD, hoje majoritária na doutrina.
Além disso, a delimitação da responsabilidade do controlador em situações de violação do GDPR, conforme elucidado pelo CJUE, também oferece reflexões relevantes para a interpretação da LGPD. A consideração sobre casos em que o operador assume a posição de controlador evidencia a necessidade de uma análise minuciosa das circunstâncias para determinar a responsabilização adequada e há de se aplaudir a decisão do CJUE acerca da interpretação de dispositivos do GDPR relacionados à responsabilização dos agentes, em tentativa de uniformizar o entendimento das diferentes autoridades reguladoras europeias.
Importante frisar que não se advoga aqui pela transposição cega de decisões do CJUE para a realidade brasileira, pois cada jurisdição possui suas singularidades. De todo modo, é fato incontroverso que o direito comparado é um importante guia para a construção regulatória ainda em seus primórdios em termos de privacidade e proteção de dados, assim, por que não o utilizar como fonte do direito que é?