Uma vez que, provavelmente, uma agência processará dados pessoais em nome de seus clientes, é recomendável tomar certas precauções para limitar o máximo possível o surgimento de quaisquer divergências.
Caso a agência seja o controlador de dados externo, ela deve:
- assinar um contrato ad hoc (chamado “Contrato de processamento de dados”, “Contrato nos termos do art. 28 do Regulamento 679/2016” ou “Nomeação do responsável pelo processamento de dados” – aqui você encontrará mais informações e um modelo para download ) com cada controlador de dados (ou seja, o cliente); e
- agir de forma transparente e proativa, a fim de provar que tudo foi feito da forma correta em caso de auditorias.
Qual a diferença entre controlador de dados e processador de dados?
O termo “controlador de dados” implica qualquer pessoa, física ou jurídica, que defina as finalidades e os meios do processamento de dados pessoais de seus usuários. É quem determina “por que” e “como” os dados pessoais coletados devem ser processados. Normalmente é o proprietário do site/aplicativo (neste caso, o cliente).
O termo “processador de dados” implica qualquer pessoa, física ou jurídica, que processe dados pessoais em nome do controlador de dados. É o caso, por exemplo, de uma agência que veicula boletins informativos ou campanhas de marketing para seus clientes.
Deveres da agência
De acordo com o GDPR, estas são as obrigações do processador de dados (agência) perante o controlador de dados (cliente):
- A agência somente é obrigada a processar os dados pessoais nos termos das instruções documentadas pelo cliente. Isso significa que a agência deve seguir estritamente as instruções de processamento fornecidas pelo cliente que, na maioria das vezes, estão definidas no contrato de processamento de dados, mencionado acima. As instruções do cliente abrangerão todo o ciclo de processamento de dados, ou seja, desde a coleta até o fim do processamento. Conclui-se que, após a finalização dos serviços de processamento, a agência terá que eliminar ou devolver os dados pessoais ao cliente, dependendo das instruções fornecidas pelo cliente (isto é, o controlador de dados).
- Os dados pessoais devem ser tratados com a máxima confidencialidade: para tanto, a agência deve assegurar que o processamento seja realizado apenas por profissionais autorizados que estejam sujeitos (ou legalmente vinculados) a uma obrigação de confidencialidade. As instruções de processamento escritas normalmente cumprem esta obrigação para os funcionários. Essas instruções contêm cláusulas a respeito de como tratar os dados e de regras de privacidade no decurso das operações de tratamento.
- Portanto, a agência deve garantir que todas as medidas de segurança necessárias estejam sendo tomadas, e não pode recorrer ao uso de serviços de terceiros (como subprocessadores, por exemplo) sem a autorização prévia por escrito do cliente.
- As obrigações de assistência e cooperação da agência são fundamentais. Por meio da adoção de medidas técnicas e organizacionais adequadas, a agência deve ajudar o cliente a responder às solicitações dos usuários que desejam exercer seus direitos. Suponhamos, por exemplo, que um usuário solicite a retificação de seu endereço de e-mail em um banco de dados utilizado para envio de Direct Email Marketing (DEM). Caso a agência encarregada da manutenção da respectiva base de dados e do envio de tais e-mails receba o pedido do titular dos dados, deve informar imediatamente o cliente (ou seja, o controlador de dados) e proceder de acordo com as instruções fornecidas.
- A agência deve auxiliar o cliente no cumprimento de quaisquer obrigações advindas de situações semelhantes à violação de dados, durante qualquer consulta prévia à autoridade supervisora ou caso seja necessária uma Avaliação de Impacto sobre a Proteção de Dados.
- A agência deve disponibilizar ao cliente todas as informações que estejam em seu poder e que sejam necessárias para demonstrar o cumprimento das obrigações legais por parte do cliente. Ao fazê-lo, não poderá impedir quaisquer atividades de revisão (incluindo inspeções) realizadas diretamente pelo cliente ou por qualquer outra pessoa designada pelo cliente.
Indenização e software da iubenda
Insta ressaltar que a indenização isenta a agência das responsabilidades inerentes à “bondade” dos produtos da iubenda, mas não de toda responsabilidade.
Por exemplo, se a agência adicionar a cláusula do Google Analytics à Política de Privacidade e de Cookies, e o link para a política de privacidade do provedor estiver errado, essa será uma responsabilidade da iubenda. No entanto, se a agência adicionar o Google Analytics, mas o site usar um serviço diferente, o ônus recairá sobre a agência, salvo se a agência provar estar isenta (por exemplo, se o cliente tiver aprovado os documentos ou tiver solicitado explicitamente a inclusão dessa cláusula).
Deveres do cliente e da agência em caso de danos aos usuários
O artigo 82.º do GDPR é norma fundamental sobre a responsabilidade civil no tratamento de dados pessoais e o consequente direito à indenização, e determina que:
Qualquer pessoa que tenha sofrido danos materiais ou imateriais em razão da violação do presente regulamento terá o direito de receber uma indenização do controlador ou processador pelos danos sofridos.
Enquanto o controlador de dados (cliente) é responsável pelos danos causados pelo processamento que viole o GDPR, o processador de dados (agência) somente é responsável pelos danos causados pelo processamento se:
- não cumprir suas obrigações nos termos do GDPR, ou
- agir de forma incoerente ou contrária às instruções (lícitas) do cliente.
A agência pode responder nos casos em que:
- transgrida as instruções do cliente (ainda que elas ultrapassem os limites de sua competência, caso em que o GDPR prevê que ele assumirá a responsabilidade como proprietário independente);
- não auxilie o cliente (por exemplo, em casos de violações de dados ou avaliação de impacto);
- não disponibilize ao cliente as informações necessárias que estejam em sua posse;
- não informe ao cliente que uma instrução fornecida por ele viola a lei;
- sendo obrigado a fazê-lo, não nomeie um DPO (Responsável pela proteção de dados);
- nomeie um subprocessador não previamente autorizado;
- nomeie um subprocessador que não ofereça garantias suficientes;
- não mantenha um registo das operações de processamento.
Fatores excludentes de responsabilidade
O cliente ou a agência apenas podem ser isentos de responsabilidade se puderem provar que o dano não é, de forma alguma, imputável a eles (por exemplo, se resultar de um processamento de dados que não é feito por eles).
Responsabilidade solidária
Se o dano for imputável a mais controladores de dados ou processadores de dados (ou ambos), a responsabilidade pelo valor total do incidente será solidária.
Neste caso, o responsável que ressarciu integralmente os custos dos danos (in solidum) pode reclamar a parte da indemnização correspondente a cada um dos demais proprietários ou responsáveis envolvidos.
Veja também
