Você é presidente de um clube de futebol
Seu clube é adorado por milhares de torcedores que estão sempre muito atentos a qualquer ação que o clube execute, dentro e fora das quatro linhas.
Você é bastante consciente e implementou um programa robusto de compliance no clube, que inclui a implementação da LGPD. Afinal, é imensa a base de dados que o clube de futebol coleta de atletas, que inclui muitos dados pessoais de saúde; estes dados são coletados, entre outros, por meio de um GPS de monitoramento que os atletas utilizam nos treinos e nas partidas.
Certo dia um ilustre torcedor divulgou em suas redes sociais um dado pessoal de saúde de um dos seus principais atletas. A divulgação causou problemas de ordem pessoal para o atleta, que agora estuda a possibilidade de buscar seus direitos na justiça.
Essa situação ilustra um dilema fictício, porém nada longe da realidade. Fato é que, se quem não se adequa à LGPD certamente corre os mais diversos riscos, mesmo quem se adequa também pode ter que responder por algum incidente se não permanecer vigilante.
Mas, afinal: quem é que responde pelos incidentes com dados pessoais?
Mesmo que a LGPD traga a previsão da incidência de sanções administrativas por descumprimento da lei (que serão aplicadas pela Autoridade Nacional de Proteção de Dados – ANPD), ainda há a possibilidade de responsabilidade civil no que diz respeito à reparação de danos causados pelo tratamento de dados em desacordo com a LGPD.
É justamente nesse sentido que temos a redação do artigo 42 da LGPD, que trata da responsabilidade. Esse artigo vai ao encontro da necessidade do estabelecimento da responsabilidade civil ao redor do tema da proteção de dados quando a atividade importar em danos aos titulares dos dados pessoais.
O artigo 42 prevê a responsabilidade dos envolvidos nas operações de tratamento de dados pessoais, tanto do controlador como do operador, deixando clara a possibilidade de reparação dos danos patrimonial, moral, individual ou coletivo, sempre que tais danos decorrerem de violação à legislação de proteção de dados pessoais.
Mas é a própria LGPD que exclui a responsabilidade do agente que não realizou o tratamento de dados pessoais. Observe que não é difícil que um titular demande o agente incorreto, acreditando ser este o responsável pelo tratamento inadequado do dado pessoal, quando não o é.
No caso relatado no início desse artigo, é possível que o atleta acione o clube na justiça pelos danos que sofreu em decorrência da divulgação dos seus dados pessoais de saúde.
Caso o clube consiga provar que, mesmo que tenha em sua base de dados a informação divulgada, não foi responsável pelo tratamento a ele atribuído (ou seja, a divulgação indevida), o clube não será responsabilizado pelo dano causado ao atleta.
A chave está em “provar”.
A responsabilidade civil em matéria de dados pessoais é primordial para o equilíbrio das relações dessa natureza, sobretudo quando envolvida a tecnologia.
É fundamental que os clubes estejam adaptados à LGPD, mas, além disso, é necessário que consigam comprovar tal adequação. E, claro, espera-se que estejam sempre vigilantes, seja em relação aos seus fornecedores e prestadores de serviço, seja em relação aos seus próprios sistemas de segurança da informação.
Assim conseguirão se resguardar e mitigar os prejuízos advindos da responsabilidade prevista na LGPD.
Nos siga nas redes sociais: @leiemcampo