No mundo globalizado e digitalizado em que vivemos, com a constante introdução de novas tecnologias, que, em sua maioria, utilizam dados pessoais como principal ativo, é necessário que as normas de privacidade e proteção de dados pessoais existam e de fato sejam respeitadas.

A economia sofreu enormes mudanças, assim como as interações sociais, a forma de se relacionar dos seres humanos não é mais a mesma. Esses cenários econômico e social fizeram com que fossem aprovadas normas de privacidade e proteção de dados pessoais ao redor do mundo e, como não poderia ser diferente, no Brasil.

A aprovação da Lei n. 13.709, de 14 de agosto de 2018, a Lei Geral de Proteção de Dados Pessoais (“LGPD”) no Brasil trouxe um novo cenário para a proteção de dados pessoais em diversos contextos e setores da sociedade, especialmente na área de previdência privada, objeto deste artigo.

Neste novo contexto, surgem novos atores, tais como: (i) o titular dos dados pessoais: a pessoa física a quem se referem os dados pessoais; (ii) o controlador de dados, aquele que é dono do banco de dados e toma as principais decisões sobre as atividades de tratamento; (iii) o operador de dados pessoais, que é aquele terceiro que realiza as atividades de tratamento de dados pessoais a mando do controlador, seguindo as suas instruções (art. 5º, incisos VI, VII e IX da LGPD). Os dois últimos são os chamados “agentes de tratamento”.

A LGPD estabelece no art. 42 que os controladores e operadores de dados pessoais são obrigados a reparar os danos que causarem em decorrência do exercício das atividades de tratamento de dados pessoais que violarem as normas de proteção de dados pessoais.

Ademais, segundo a lei, os controladores que estiverem diretamente envolvidos nas operações realizadas com os dados pessoais respondem solidariamente. Os operadores, por sua vez, também responderão de forma solidária, quando descumprirem as obrigações da legislação de proteção de dados ou quando não tiverem seguido as instruções lícitas do controlador.

Diante disso, a delimitação e definição da posição que os contratantes ocupam nas situações nas quais há compartilhamento de dados são essenciais.

As Entidades Fechadas de Previdência Complementar e as Patrocinadoras realizam inúmeras atividades de tratamento de dados pessoais, e, em cada uma dessas atividades, ora atuam como controladoras de dados, ora como operadoras de dados.

A questão é que as Entidades e as Patrocinadoras realizam atividades de tratamento dos mesmos dados pessoais, porém, para finalidades distintas.

As Patrocinadoras tratam os dados pessoais dos seus empregados para viabilizar a existência e execução da relação de emprego; enquanto as Entidades tratam os dados pessoais dos empregados das Patrocinadoras, que se tornam participantes dos seus planos, para a prestação do serviço de previdência.

Nas atividades acima descritas, Patrocinadoras e Entidades atuam como controladoras dos dados dos empregados e participantes, respectivamente, porém, de forma autônoma.

Há atividades de compartilhamento de dados entre Patrocinadoras e Entidades, especialmente no momento em que as Entidades coletam os dados dos empregados das Patrocinadoras, uma vez que estes se tornarão participantes dos seus planos, ou seja, passarão a ser clientes das Entidades.

Ademais, para além disso, considerando a coincidência dos dados pessoais tratados, a adoção de medidas técnicas e organizacionais de segurança é primordial, tendo em vista que, em eventual vazamento de dados pessoais, serão causados transtornos até que seja identificada a origem da falha de segurança. Inclusive, a depender da situação, é possível que a origem sequer seja de fato conhecida.

Com o objetivo de regular a relação e gerar segurança para as partes, é importante que seja ser celebrado “Contrato de Tratamento de Dados Pessoais” entre Patrocinadoras e Entidades. O documento deve descrever as atividades de tratamento que serão realizadas por cada uma das partes, com a indicação da posição que cada parte ocupa enquanto agente de tratamento, a depender da atividade, incluindo os direitos e obrigações e os limites de suas responsabilidades.

O respeito aos parâmetros estabelecidos no contrato é primordial, inclusive, para que a Gestão de Terceiros das Patrocinadoras e Entidades seja real e efetiva.

Portanto, o cumprimento das normas de privacidade e proteção de dados pessoais é essencial para que as Entidades e Patrocinadoras estejam em conformidade e para que seja possível estabelecer uma relação de confiança entre as partes.

Por Tatiana Bhering Roxo.