7/6/2021
No último dia 28 de junho, a Autoridade Nacional de Proteção de Dados (“ANPD”) publicou seu primeiro guia orientativo, o “Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado”. Em linhas gerais, o guia pretende esclarecer os conceitos e as questões relativas aos agentes de tratamento, quais sejam, o controlador e o operador, bem como ao encarregado. Assim, a ANPD pretende estabelecer diretrizes não-vinculantes aos agentes de tratamento e explicar quem pode exercer a função do controlador, do operador e do encarregado; as definições legais; os respectivos regimes de responsabilidade; casos concretos; e as perguntas frequentes sobre o assunto.
Separamos as principais definições legais trazidas no Guia:
Agentes de tratamento: São agentes de tratamento o controlador e o operador de dados pessoais, os quais podem ser pessoas naturais ou jurídicas, de direito público ou privado. Não são considerados controladores (autônomos ou conjuntos) ou operadores os indivíduos subordinados, tais como os funcionários, os servidores públicos ou as equipes de trabalho de uma organização, já que atuam sob o poder diretivo do agente de tratamento.
Controlador: É o agente responsável por tomar as principais decisões referentes ao tratamento de dados pessoais e por definir a finalidade deste tratamento. O conceito possui elevada importância prática, uma vez que a LGPD atribui obrigações específicas ao controlador, como a de elaborar relatório de impacto à proteção de dados pessoais, a de comprovar que o consentimento obtido do titular atende às exigências legais e a de comunicar à ANPD a ocorrência de incidentes de segurança. Vale mencionar ainda que os direitos dos titulares são, em regra, exercidos em face do controlador, a quem compete, entre outras providências, fornecer informações relativas ao tratamento, assegurar a correção e a eliminação de dados pessoais, receber requerimento de oposição a tratamento. Muito embora o controlador também trate dados pessoais, o elemento distintivo é o poder de decisão, admitindo-se que o controlador forneça instruções para que um terceiro (“operador”) realize o tratamento em seu nome.
Controle conjunto: Uma mesma operação de tratamento de dados pessoais pode envolver mais de um controlador. Conforme a LGPD, quando mais de um controlador estiver diretamente envolvido no tratamento do qual decorram danos ao titular de dados, estes responderão de forma solidária. Ao adaptar a concepção europeia para o cenário da LGPD, pode-se entender o conceito de controladoria conjunta como “a determinação conjunta, comum ou convergente, por dois ou mais controladores, das finalidades e dos elementos essenciais para a realização do tratamento de dados pessoais, por meio de acordo que estabeleça as respectivas responsabilidades quanto ao cumprimento da LGPD”.
Operador: É o agente responsável por realizar o tratamento de dados em nome do controlador e conforme a finalidade por este delimitada. O operador só poderá tratar os dados para a finalidade previamente estabelecida pelo controlador. Isso demonstra a principal diferença entre o controlador e operador, qual seja, o poder de decisão: o operador só pode agir no limite das finalidades determinadas pelo controlador. Muito embora o controlador tenha a principal responsabilidade e o operador deva atuar em nome dele, ambos partilham obrigações e, consequentemente, a responsabilidade de manter o registro das operações de tratamento. Além disso, ambos possuem a obrigação de reparação se causarem dano patrimonial, moral, individual ou coletivo a outrem, no âmbito de suas respectivas esferas de atuação.
Encarregado: O encarregado é o indivíduo responsável por garantir a conformidade de uma organização, pública ou privada, à LGPD. Em regra, que toda organização deverá indicar uma pessoa para assumir esse papel. Contudo, normativas futuras da ANPD poderão trazer hipóteses de dispensa da necessidade de indicação do encarregado, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados. Como boa prática, considera-se importante que o encarregado tenha liberdade na realização de suas atribuições. No que diz respeito às suas qualificações profissionais, estas devem ser definidas mediante um juízo de valor realizado pelo controlador que o indica, considerando conhecimentos de proteção de dados e segurança da informação em nível que atenda às necessidades da operação da organização.
Vale lembrar que o guia está sujeito a comentários e contribuições da sociedade civil, as quais devem ser encaminhadas ao e-mail [email protected]. De qualquer forma, a publicação do guia é um importante ponto de partida para o protagonismo da ANPD na privacidade e proteção de dados no país.
Coautoria de: Ricardo Luis Fernandes da Silva, Esther Jerussalmy Cunha, Fabricio Polido e Ana Carolina Gontijo
