Primeiramente, é importante destacar que há dois tipos de agentes de tratamento definidos na Lei: o controlador e o operador.

O art. 5º, em seus incisos VI e VII, traz as definições de cada um destes agentes, sendo o controlador o agente de tratamento a quem competem as decisões referentes ao tratamento de dados pessoais, e o operador o agente que realiza efetivamente o tratamento desses dados, obviamente a mando do controlador.

A fim de estabelecer-se as atribuições de cada um destes agentes, tome-se o exemplo de um indivíduo que faça uma compra online, sendo solicitados alguns de seus dados pessoais para a execução do contrato, como o seu nome, endereço e dados bancários. Nesta situação, o e-commerce deverá compartilhar os dados pessoais do titular com uma empresa de gerenciamento de meios de pagamentos e com uma empresa de logística, que realizará a entrega do produto.

Neste caso, ambas são consideradas operadoras, pois agiriam apenas sob as estritas recomendações da loja online, que determinaria a forma e a finalidade com que os

dados do titular deveriam ser tratados. No entanto, em caso de qualquer incidente de segurança, decorrente destes operadores, quem responderá por este caso será a própria loja online, facultando-lhe a possibilidade de uma ação de regresso.

Agora, imagine-se que a loja online tenha terceirizado o processamento à empresa “XPTO”. Além do que fora estabelecido na contratação, por sua conta e risco, e sem autorização da Controladora, a empresa “XPTO” resolveu utilizar esta base de dados pessoais para uma finalidade diversa, sem o conhecimento da Contratante. Logo, a empresa “XPTO”, nesta nova operação de tratamento, assume a posição de Controladora, com toda a responsabilidade advinda deste fato.

Ressalte-se que essa mesma situação poderá ocorrer com um funcionário. Se de um lado ele exerce uma função de subordinação, por outro, a partir do momento que este comete uma ilicitude, assumirá, para aquela operação de tratamento, a posição de Controlador.

Neste diapasão, estima-se que 65% dos incidentes de segurança, no Brasil, tenham relação com condutas

realizadas por funcionários, sejam estas condutas acidentais ou intencionais.

Embora à primeira vista o advento da LGPD possa parecer complicar ainda mais esta situação, o aumento na cultura de proteção de dados pessoais e privacidade pode levar a uma tendência de queda nesse percentual, com uma adoção mais ampla dos registros das operações de tratamento, que também são denominados “logs” ou “logs de sistemas” em uma linguagem mais técnica, a fim de rastrear quaisquer alterações que podem ser realizadas nos sistemas da empresa, permitindo, assim, a investigação de incidentes e a responsabilização dos infratores.

Conclui-se, portanto, que a LGPD oferecerá segurança não apenas aos titulares de dados, mas também às próprias empresas. Se antes o limite para um funcionário nestes casos era a sua demissão, hoje esse limite é estendido para uma eventual responsabilização civil e até mesmo criminal.

Tais fatos podem inclusive impossibilitar a recolocação profissional deste ex-funcionário, vez que ações cíveis desta natureza podem ser facilmente encontradas realizando-se buscas em buscadores na internet.

A título de curiosidade, em um caso recente, um empregado foi demitido por justa causa por ter enviado informações internas de um dos clientes da empresa para seu e-mail pessoal. Neste e-mail estavam envolvidos números de CNPJ, de CPF, números de cartões, dentre outras informações. No entanto, os empregados da referida empresa não possuíam permissão para utilizar aparelhos próprios de celular durante o expediente e no ato da contratação é celebrado um acordo de confidencialidade para a proteção e sigilo das informações. Deste modo, houve a confirmação da demissão por justa causa com base na Lei Geral de Proteção de Dados, tanto em primeira quanto em segunda instância.