Como qualquer outra Lei, a LGPD (“Lei Geral de Proteção de Dados”) é baseada em diferentes princípios e garantias, de modo que os dados pessoais dos Titulares permaneçam protegidos pelas empresas responsáveis por seu tratamento, ou seja, pelos Controladores.
Por sua vez, para possibilitar o pleno gerenciamento de diferentes obrigações legais e medidas internas de boas práticas, é comum que ditas empresas, Controladoras dos dados, terceirizem algumas de suas atividades para prestadores de serviços, ou aos olhos da LGPD, aos Operadores.
Neste sentido, é certo que para realizar tais atividades, alguns destes Operadores precisarão de uma porção dos dados pessoais dos Titulares, seja para possibilitar o cumprimento da atividade contratada pelo Controlador, ou para fins de controle interno sobre as medidas realizadas, desde que tais controles não sejam excessivos, e não fujam da finalidade proposta.
Logo, é crucial que ambas as partes, Controlador e Operador, sempre mantenham contratos de prestação de serviços vigentes, com cláusulas voltadas especificamente aos deveres e cuidados relacionados à proteção de dados pessoais, nos termos da legislação vigente e melhores práticas de mercado.
No entanto, finalizado o serviço contratado, ou terminada a relação comercial entre as partes, o que será feito com os dados pessoais? O Controlador pode exigir que os dados sejam eliminados? O Operador pode discordar de tal eliminação, e reter os dados pessoais por um prazo que entenda mais adequado? O Titular deverá ser notificado dessas questões?
A resposta, como tudo no Direito, é “depende”.
Nos termos da LGPD, o Controlador é o responsável pelo tratamento dos dados pessoais, devendo o Operador realizar tal tratamento somente mediante as instruções do Controlador, seja em instrumento formal (contrato de prestação de serviços) ou qualquer outro meio preferencialmente escrito.
Isso quer dizer que o Operador não possui autonomia para decidir como será realizado o tratamento de dados pessoais. Porém, o Operador também possui diferentes obrigações legais ou regulatórias voltadas à sua atividade de atuação, que podem definir prazos específicos para retenção de dados.
Uma clínica de medicina do trabalho, por exemplo, está condicionada às diferentes Normas Regulamentadoras do Ministério do Trabalho, que estabelecem prazos de 20 anos para a guarda de alguns laudos e documentos, que por sua vez, possuem dados pessoais.
Do mesmo modo, instituições bancárias estão vinculadas às diferentes resoluções do Bacen (Banco Central), que definem prazos de 05 ou 10 anos, a depender do tipo de documento, e por sua vez, do dado pessoal nele inserido.
Assim, não poderia o Controlador simplesmente determinar que tais Operadores eliminem totalmente os dados pessoais, haja vista as obrigações que estas entidades possuem.
Deste modo, para resguardar ambas as partes, e o Titular de Dados, é importante que os contratos celebrados entre os agentes abordem especificamente sobre o momento e de que forma será feita a eliminação dos dados pessoais, garantindo maior segurança jurídica na relação.
Por Luis Felipe Tolezani
Advogado de Direito Digital e Encarregado de Dados Pessoais
