Por Mario de Abreu
Resumo
A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei n° 13.709/20181, estabelece um marco regulatório para o tratamento de dados no Brasil. Este artigo analisa o Termo Consentimento, trazendo à luz sua individualização para cada agente de tratamento (Controlador e Operador), e a função do Encarregado (DPO) como elo com a Autoridade Nacional de Proteção de Dados (ANPD). Ademais, pontua a necessidade imperativa de contratos expressamente delimitados entre contratante e terceirizada, alinhados ao Relatório de Impacto à Proteção de Dados Pessoais (RIPD), como medida de accountability e pilar da Política de Tratamento de Dados da organização.
Introdução
A LGPD introduziu um paradigma de proteção que exige a revisão dos fluxos de dados e a formalização das relações entre as partes envolvidas no tratamento. O consentimento, quando utilizado como base legal, deve ser uma manifestação de vontade livre, informada e inequívoca, do titular dos dados, devendo ser fornecido para uma finalidade específica, conforme previsto no Art. 8º da Lei2. O debate sobre a validade do consentimento se torna crítico em ambientes onde há terceirização de serviços, expondo o desafio da segregação de responsabilidades entre o Controlador (quem toma as decisões sobre o tratamento) e o Operador (quem realiza o tratamento em nome do Controlador). A inadequação na gestão dessas responsabilidades, previstas no Contrato gera um vetor de risco regulatório e de incidentes de segurança.
O Consentimento individualizado e a pluralidade de agentes de tratamento
A premissa de que “o consentimento dado para um não serve para o outro” reflete a exigência legal de que cada ato de tratamento deve ter uma finalidade determinada e individualizada. Quando um titular de dados fornece consentimento ao Controlador, ele o faz para as finalidades definidas por este. Se o Controlador subcontrata um Operador (como no caso do Contratante, que é a entidade, pública ou privada e da Contratada, a empresa terceirizada), o Operador passa a tratar os dados para as finalidades do Controlador.
Contudo, a LGPD impõe deveres e responsabilidades específicas a ambos os agentes. Embora o Operador aja sob as instruções do Controlador (Art. 39)3, o Operador tem responsabilidade própria em relação à segurança dos dados e ao cumprimento das instruções; todavia, a responsabilidade do Controlador não é eximida pela contratação da terceirizada. A complexidade aumenta quando o Operador adquire dados para uma finalidade própria ou quando há tratamento de dados pessoais sensíveis (como origem racial ou étnica; convicção religiosa; opinião política; filiação a sindicato ou organização de caráter religioso, filosófico ou político; à saúde ou à vida sexual; dados genéticos ou biométricos, quando vinculado a uma pessoa natural). Nesses casos, a exigência de consentimento — ou outra base legal adequada — torna-se ainda mais estrita, demandando uma individualização e rastreabilidade que assegurem que o titular está ciente de todos os agentes e finalidades envolvidas, especialmente se o Operador atua como Controlador secundário para certas operações.
O Encarregado e a interface com a ANPD
O Encarregado (Data Protection Officer – DPO) é peça-chave na estrutura de governança dos dados. Sua função, prevista no Art. 5º, VIII4, é atuar como canal de comunicação entre o Controlador, os titulares dos dados e a ANPD. A nomeação do Encarregado, seja ele uma pessoa física ou jurídica, é um requisito obrigatório para a maioria dos agentes de tratamento e representa a face da responsabilidade da organização junto à Autoridade Nacional.
A eficácia do consentimento, da governança e dos contratos de terceirização é monitorada de perto pela ANPD, e é o Encarregado quem deve representar a empresa em caso de fiscalizações, incidentes ou solicitações de titulares. Sua atuação deve estar alinhada à Política de Tratamento de Dados e aos termos contratuais, garantindo a conformidade da empresa com os mandamentos normativos.
Governança Contratual e o Relatório de Impacto (RIPD)
A necessidade de um contrato expresso e delimitado entre contratante (Controlador) e Contratada (Operador) é o alicerce da accountability na terceirização. O contrato deve ir além das cláusulas gerais, estabelecendo de forma minuciosa as competências, atribuições e obrigações de cada parte, em estrita observância à LGPD.
O mandamento normativo exige que essa relação contratual esteja expressamente delimitada e adequada ao Relatório de Impacto à Proteção de Dados Pessoais (RIPD). O RIPD, quando exigido, identifica e mitiga os riscos inerentes ao tratamento de dados, especialmente os sensíveis.
O RIPD de ambas as partes (se aplicável) e o contrato entre elas devem detalhar: as medidas de segurança adotadas; as medidas técnicas e administrativas o Operador (terceirizado) deve adotar para proteger os dados; e delimitar o fluxo de dados, como, onde e por quanto tempo os dados serão armazenados e tratados. Quanto ao vazamento de dados, os procedimentos de resposta a incidentes devem incluir a obrigação de o Operador comunicar imediatamente o Controlador sobre qualquer evento de segurança que possa resultar em risco ou dano relevante aos titulares, conforme o Art. 485. Adicionalmente, o contrato deve prever a revogação do consentimento como um dos direitos do titular (prevista no Art. 8º, § 5º6, c/c Art. 18, IX7) e as sanções administrativas aplicáveis pela autoridade nacional, que podem resultar em advertência, sanção e multa, no limite de 2% do faturamento da pessoa jurídica de direito privado, restrita ao total de R$ 50.000.000,00 (cinquenta milhões de reais) por infração, conforme o Art. 52, inciso II8.
Considerações Finais
O ecossistema da proteção de dados, regulado pela LGPD, não permite responsabilidades vagas ou transferidas por omissão. O Termo de Consentimento, quando aplicável, deve ser específico e sua finalidade deve ser rastreável a cada agente de tratamento. O Encarregado, por sua vez, institucionaliza a comunicação formal com a ANPD.
Acima de tudo, a conformidade de uma organização, especialmente em relações terceirizadas, é sustentada por três pilares interconectados: a Política de Tratamento de Dados (o guarda-chuva estratégico), o Relatório de Impacto (o mapeamento e a mitigação de riscos) e o Contrato de Terceirização (a delimitação legal e operacional das responsabilidades). A falha em alinhar o contrato às exigências do RIPD e à política corporativa expõe a organização a sanções e danos reputacionais, reafirmando que a accountability é um processo contínuo de demonstração de cuidado e diligência.
- Lei Geral de Proteção de Dados Pessoais (LGPD), Lei n° 13.709/2018 https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm ↩︎
- Art. 8º da Lei 13.709/2018 https://www.jusbrasil.com.br/topicos/200399323/artigo-8-da-lei-n-13709-de-14-de-agosto-de-2018 ↩︎
- Controlador (Art. 39) https://www.jusbrasil.com.br/topicos/200398797/artigo-39-da-lei-n-13709-de-14-de-agosto-de-2018 ↩︎
- Art. 5º, VIII https://www2.camara.leg.br/legin/fed/lei/2018/lei-13709-14-agosto-2018-787077-publicacaooriginal-156212-pl.html#:~:text=VIII%20-%20informação%20sobre%20a%20possibilidade,do%20§%205º%20do%20art. ↩︎
- Art. 48 https://www.jusbrasil.com.br/topicos/200398709/artigo-48-da-lei-n-13709-de-14-de-agosto-de-2018 ↩︎
- prevista no Art. 8º, § 5ºhttps://www.jusbrasil.com.br/topicos/10725388/inciso-v-do-artigo-8-da-constituicao-federal-de-1988 ↩︎
- c/c Art. 18, IX https://www.jusbrasil.com.br/topicos/386674166/inciso-ix-do-artigo-18-da-lei-n-14133-de-01-de-abril-de-2021 ↩︎
- Art. 52, inciso II https://www.jusbrasil.com.br/topicos/200398627/artigo-52-da-lei-n-13709-de-14-de-agosto-de-2018 ↩︎
Vimos que você gostou e quer compartilhar. Sem problemas, desde que cite o link da página. Lei de Direitos Autorais, (Lei 9610 de 19/02/1998), sua reprodução total ou parcial é proibida nos termos da Lei
