Podemos considerar que no dia 28 de maio de 2021 um marco na Proteção de Dados no Brasil foi publicado. É que a Autoridade Nacional de Proteção de Dados, responsável pela fiscalização e pela regulação da LGPD, se posicionou formalmente sobre os agentes de tratamentos, figuras trazidas no bojo da LGPD como controlador e operador, e do encarregado. A melhor compreensão dessas pessoas no âmbito da lei, por serem relativamente novas, era um anseio da comunidade que se dedica ao estudo da lei de dados, inclusive por seu relacionamento distinto da nossa já tradicional relação de subordinação.
Reforçando, no campo de ação da LGPD, o tratamento dos dados pessoais pode ser realizado por dois agentes de tratamento, o controlador e o operador. O controlador é definido pela Lei como a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Na Administração Pública, o controlador será a pessoa jurídica do órgão ou entidade pública sujeita à Lei, representada pela autoridade imbuída de adotar as decisões acerca do tratamento de tais dados.
O operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador, incluídos agentes públicos que exerçam tal função, bem como pessoas jurídicas diferentes da representada pelo controlador, que exerçam atividade de tratamento no contrato ou instrumento afim.
O encarregado, por sua vez, é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Leia:
O Guia
O Guia foi elaborado com base nas atribuições institucionais da ANPD de regulamentar a Lei Geral de Proteção de Dados Pessoais (LGPD) e zelar pelos dados pessoais e em sua confecção o regulamento europeu – umas de suas principais influencias - foi expressamente mencionado na folha 12.
Fato que a LGPD deixa, sim, espaços para interpretações e a regulamentação pela Autoridade Nacional de Proteção de Dados (ANPD), a quem incumbe zelar pelos dados pessoais, bem como regulamentar a LGPD e o seu enforcement, é necessária. Na apresentação do Guia, a ANPD relata que dos assuntos que mais têm suscitado dúvidas destacam-se o conceito e os aspectos relacionados aos agentes de tratamento e ao encarregado.
Assim, com base em suas atribuições institucionais, decorrentes do art. 55-J, VI e VII1, da LGPD, e considerando a necessidade de esclarecimentos a respeito de conceitos para a atuação de organizações públicas e privadas no tratamento de dados pessoais, a ANPD elaborou o Guia Orientativo.
É importante esclarecer que ele busca estabelecer diretrizes não-vinculantes e que a versão publicada está sujeita a comentários e contribuições pela sociedade civil de forma contínua. As contribuições podem ser enviadas por meio do endereço de correio eletrônico disponibilizado no próprio documento e a ANPD se compromete a atualizá-lo à medida que novas regulamentações e entendimentos forem publicados e estabelecidos.
O mérito do material é especificar quem pode ser considerado agente de tratamento, definir controlador, controlador pessoa jurídica, controlador pessoa jurídica de direito público, controlador pessoa natural, analisar as decisões de cada um deles e fornecer exemplos que demonstram quem pode assumir cada papel a depender do cenário.
Também é feita a diferença da controladoria conjunta e controladoria singular, definindo-se finalidades e elementos essenciais em conjunto.
Em relação ao operador, faz-se o mesmo. O Guia apresenta a definição legal, os tipos de operadores, as responsabilidades, além de definir a figura do suboperador, nos mesmos moldes do que é feito com o operador.
Quanto ao encarregado, além da necessária definição legal, temos suas atribuições e, logo após, as considerações finais, que salientam que o Guia não substitui futuras regulamentações sobre os temas discorridos, recomendando o acompanhamento das decisões da Autoridade.
Pontos interessantes
Um dos temas tratados no Guia é a distinção entre as obrigações e responsabilidade dos controladores e operadores. A ANPD reforça que a responsabilidade solidária estabelecida no inciso I, § 1º do art. 42 da LGPD, prevista para os casos de danos causados em razão do tratamento irregular realizado por operador, por descumprimento às obrigações da legislação ou pela não observância das instruções do controlador, pode ser considerada como uma excepcionalidade, já que em regra a responsabilidade será do controlador.
Em um marketplace, por exemplo, de roupas, que conta com várias formas de pagamento: o canal que faz a venda é o controlador dos dados pessoais e cada serviço de pagamento disponível (como empresas de cartão de crédito ou bancos para recebimentos de boletos ou transferências) será um operador diferente. No caso, o operador da transação não poderá usar os dados fornecidos para finalidades diferentes além daquelas determinadas pelo controlador.
Outro tema esclarecido é que empregados ou indivíduos subordinados a uma organização não poderão ser considerados como operadores, pois atuam sob o poder diretivo do agente de tratamento. O operador, nesse sentido, será sempre uma entidade distinta do controlador.
A ANPD ainda deixa claro que, apesar de a lei de dados não definir o conceito de controle conjunto, é possível que isto ocorra no cenário da LGPD, sendo a identificação do controle conjunto realizada no caso concreto. Para chegar a esta conclusão, a Autoridade de Dados procurou a definição de controladoria conjunta prevista na GDPR. A definição das funções dos controladores conjuntos é importante, pois significa consequências nas funções dos agentes de tratamento.
Quando dois ou mais responsáveis pelo tratamento estabelecem conjuntamente as finalidades e os meios desse tratamento, ambos são responsáveis conjuntos pelo tratamento. Todavia, mesmo que aquele único conjunto de dados seja tratado, não podemos falar em controle conjunto se as finalidades do tratamento forem distintas. Se os objetivos não forem comuns, ambos serão controladores singulares em relação ao tratamento de dados e a controladoria conjunta não será firmada.
A definição do suboperador também é interessante pois, ainda que não tenha conceito previsto na LGPD, é o contratado pelo operador para auxiliá-lo a realizar o tratamento de dados pessoais em nome do controlador. Sua relação é com o operador e é recomendável que ele obtenha autorização formal (genérica ou específica) do controlador no próprio contrato firmado entre as partes. De qualquer forma, sua ausência na lei de dados não impediria, é claro, sua existência factual; e ela não seria ilegal.
Um ponto que recebeu críticas foi que a ANPD manteve a necessidade da publicação da identidade do encarregado no site das empresas, o que as engessaria. Para os críticos, não faz diferença para o titular dos dados quem seja a pessoa física do encarregado; o crucial é que o titular possa fazer valer seus direitos em relação à sua privacidade de forma eficiente e ágil e que a obrigação de se publicar a identidade do encarregado talvez seja pouco significativa para assegurar os direitos dos titulares.
Enfim, o documento, primeiro do tipo publicado pela Autoridade Nacional de Proteção de Dados, estabeleceu diretrizes não-vinculantes com o objetivo de trazer maior segurança aos titulares de dados e agentes de tratamento. Futuras regulamentações sobre os temas debatidos ainda serão publicadas, recomendando-se contínuo acompanhamento das decisões da Autoridade.
A Jacob's Consultoria e Ensino apresenta seu novo curso Regulação Educacional 4.0, que une a tradição de mais de 10 anos e uma metodologia atualizada, baseada em ensino híbrido. O evento une experiência prática e conhecimento atualizado das regras e princípios de Direito Educacional.
O programa apresenta as dimensões da avaliação e da regulação com enfoque nas recentes modificações envolvendo tecnologia, além disso trata do novo normal das instituições de ensino ao discutir temas relativos a contratos, proteção de dados e direito do consumidor.
Conheça nossa programação e inscreva-se. Nosso encontros serão nos dias 5 e 12 de julho.