A proteção de dados pessoais é um instituto que depende da cooperação, contribuição e colaboração entre as partes envolvidas em uma atividade de tratamento de dados pessoais. Em meu dia a dia, recorrentemente, deparo-me com situações em que uma das partes, isto é, um dos Agentes de Tratamento não se dispõe a cooperar, contribuir ou colaborar com a outra, seja ele um Controlador – que determina os propósitos e o meio pelo qual a operação com o dado ocorrerá, ou um Operador – que executa a operação a partir das instruções do Controlador.
É preciso partir da premissa que para se construir um ecossistema sustentável, com relação às imposições legais da Lei Geral de Proteção de Dados Pessoais (“LGPD”), bem como frente às melhores práticas internacionais, é necessário um equilíbrio entre as responsabilidades e tarefas dos Agentes de Tratamento.
Quando dois ou mais Agentes de Tratamento atuam em uma operação com dados pessoais, a cooperação é parte essencial da construção da legitimidade e da legalidade da atividade. Independente da classificação do Agente de Tratamento, bem como do tratamento em questão – e.g. coleta, armazenamento, compartilhamento, utilização, processamento, descarte –, para cumprir com os fundamentos e princípios da LGPD, é necessário que todos os Agentes envolvidos contribuam – no limite de sua responsabilidade, e colaborem ativamente – a partir da execução de um trabalho em comum. Portanto, cooperar, aqui, significa ter como objetivo principal a garantia da legitimidade e da legalidade de uma determinada operação de tratamento de dados pessoais.
Um exemplo operacional e prático, bem como clássico e rotineiro – especialmente na indústria de Óleo e Gás, é quanto à aplicação de recursos, por empresa Petrolífera, em Pesquisa, Desenvolvimento e Inovação (PD&I).
Pesquisa, Desenvolvimento e Inovação
O Regulamento Técnico Nº 3/2015, da Agência Nacional do Petróleo, Gás Natural e Biocombustíveis (ANP), que estabelece definições, diretrizes e normas para a aplicação de recursos, bem como as regras para comprovação das atividades de P,D&I e das respectivas despesas realizadas, traz como obrigação legal e regulatória, no seu Capítulo 06, a guarda de informações e documentos pelo prazo de 05 (cinco) anos – contados da data de término do projeto, incluindo contratos e documentos fiscais referente aos repasses de recursos e aos pagamentos, bem como as despesas realizadas no âmbito dos projetos ou programas de P,D&I. Também estabelece que as Instituições Credenciadas pela ANP, isto é, Universidade ou Instituição de Pesquisa e Desenvolvimento, bem como as Empresas Brasileiras, devem enviar às Empresas Petrolíferas contratantes as informações e documentos referentes aos projetos ou programas por elas executados.
Pela falta de clareza do Regulamento Técnico e, especialmente no que se refere às prestações de contas quanto às despesas com pessoal e seus documentos comprobatórios, que não detalha os dados, informações, documentos e registros que devem compor o arquivo e guarda pelo prazo de 05 (cinco) anos, as Empresas Petrolíferas podem e devem requerer das Instituições Credenciadas e/ou Empresas Brasileiras contratadas para projetos e/ou programas de P,D&I os dados pessoais que julgarem necessários e adequados para cumprir com a sua obrigação legal e regulatória, com o objetivo de apoiar e promover a sua própria atividade, bem como garantir, em uma fiscalização, um registro apto e eficaz capaz de comprovar os aportes realizados.
Nesse sentido, cabe aos Agentes de Tratamento envolvidos em PD&I atuar de forma cooperada, garantindo acesso recíproco às informações e documentações sobre o projeto ou programa. Ademais, incluem-se nesse rol as despesas com pessoal, não cabendo a nenhuma das partes se opor ou negar acesso às informações e dados, assim como não realizar o compartilhamento dos mesmos. Por outro lado, sempre é devido, para todos os Agentes de Tratamento, colaborar e contribuir para garantir a aplicação dos princípios gerais de proteção de dados pessoais, especialmente a transparência e o livre acesso sobre tais operações, cada um no limite de sua responsabilidade e das suas respectivas relações com os titulares de dados envolvidos.
Independente do segmento econômico ou do âmbito regulatório, a cooperação é fundamental para alcançar um ecossistema sustentável da proteção de dados pessoais.