Na sexta-feira do dia 28/05/21 a ANPD publicou em seu site oficial um guia orientativo a respeito dos agentes de tratamento de dados pessoais (controlador e operador) e também a respeito do encarregado de dados (conhecido como DPO).
O guia orientativo trata-se de um arquivo em PDF de 23 páginas, com leitura fácil e sem linguajar rebuscado. Logo no início do guia já percebemos que a ANPD está aberta em ouvir a opinião da sociedade civil, deixando isso expresso com um canal de comunicação para que quaisquer dúvidas ou sugestões sejam encaminhadas para análise.
Este documento é o primeiro elaborado pela ANPD para tratar de conceituações práticas sobre os agentes de tratamento, visto que a legislação não aprofunda essas terminologias e deixa uma margem enorme para discussões e interpretações.
Apesar de ser tratado como um guia apenas orientativo, entendemos que o posicionamento da ANPD deve prevalecer nos casos práticos, uma vez que é ela a autoridade responsável para fiscalizar e sancionar as empresas em relação à LGPD.
De imediato a ANPD afirma que a conceituação de controlador ou operador deve ser feita levando em consideração a realidade dos fatos. Com isso uma mesma empresa pode ser considerada controladora em uma situação e operadora em outra - nunca no mesmo contexto, tendo em vista que a análise deve ser feita de forma individual para cada operação de dados.
Já em relação à identificação do operador a ANPD confirmou o entendimento que já vinha sendo adotado: deve ser uma entidade distinta do controlador e que não atue como seu subordinado. Portanto, um empregado do controlador não pode ser considerado operador porque ele tem uma relação subordinada em razão do seu vínculo trabalhista.
Em relação ao controlador algumas características precisam ser ressaltadas, como:
É o agente responsável por tomar as principais decisões no tratamento de dados;
Também é ele quem define a finalidade de cada tratamento de dados;
Pode ser uma pessoa física ou jurídica;
Não precisa realizar diretamente o tratamento de dados, basta que ele tenha o poder de decisão.
O controlador é um agente relevante perante a LGPD porque é ele quem toma as principais decisões acerca do tratamento de dados, bem como é quem detém as maiores responsabilidades e obrigações como, por exemplo, de elaborar o Relatório de Impacto, de prestar contas à Autoridade e de realizar a comunicação em caso de incidente de segurança.
Por outro lado, tratando-se do agente operador a ANPD conceitua como o responsável por realizar o tratamento de dados em nome do controlador. Por isso ele tem uma atuação autônoma apenas em relação aos elementos não essenciais, como a técnica utilizada, os programas, os softwares etc.
No que diz respeito à relação de operador x controlador a ANPD recomenda que seja elaborado um contrato como forma de regulamentar esse vínculo, dizendo ainda que essa medida é considerada uma boa prática de tratamento de dados.
Este contrato entre operador e controlador deve ser elaborado de forma detalhada, específica e individual para cada operação de dados que a empresa realiza, tendo em vista que sua classificação pode mudar - como já visto anteriormente.
Alguns pontos são imprescindíveis neste contrato de proteção de dados, como a devida qualificação das partes (quem representa quem no tratamento de dados), as responsabilidades de cada agente, o objeto do contrato (de qual operação de dados estamos nos referindo), a finalidade daquele tratamento, os dados que serão coletados e de que forma, além de cláusulas exclusivas sobre compartilhamento de dados, exclusão dos dados e prazos (para a apresentação de documentos, comunicação a Autoridade e aos titulares, prestação de contas etc).
O guia orientativo não encerra por aí, a ANPD vai além e traz uma novidade em relação aos agentes de tratamento de dados: a figura do suboperador de dados, uma definição que não está prevista nem na LGPD.
Segundo a ANPD o suboperador pode ser compreendido como um agente contratado pelo operador para auxiliá-lo a realizar o tratamento de dados em nome do controlador, ou seja, o suboperador é uma figura subordinada diretamente ao operador.
Como a relação passa a ser de operador para suboperador também se torna recomendável a elaboração de um contrato que regule esse vínculo, principalmente porque o suboperador pode ser equiparado ao operador para fins de responsabilidades perante a LGPD.
Além disso, a ANPD se manifestou recomendando que neste tipo de situação o operador obtenha uma autorização formal do controlador, podendo ser geral ou específica, como forma de evitar futuros desentendimentos ou a alegação de que o tratamento de dados descumpriu as orientações do controlador. Portanto, em caso de contratação de suboperador a melhor decisão é dar ciência disso ao controlador e obter o seu consentimento como precaução futura.
Distante dos agentes de tratamento, a ANPD também se manifestou no guia orientativo a respeito do encarregado de dados (DPO).
O encarregado de dados pode ser conceituado como o indivíduo responsável por garantir a conformidade de uma empresa a LGPD. Apesar de muitas pessoas confundirem, o DPO não é uma espécie de agente de tratamento, ele representa um cargo de proteção de dados que será criado dentro de cada organização empresária.
Como função principal do encarregado pode-se citar a intermediação que ele deve fazer entre a empresa e os titulares de dados, e a empresa com a Autoridade Nacional.
Em seu art. 41, §3° a LGPD dispôs que a ANPD poderá estabelecer normas complementares acerca das definições e atribuições do cargo de encarregado, inclusive sobre as hipóteses de dispensa de necessidade de sua indicação.
Através desse dispositivo a grande maioria dos especialistas em privacidade e proteção de dados possuem a interpretação e a expectativa unânime de que o encarregado de dados poderá ser dispensado para microempresas, empresas de pequeno porte e empreendimentos menores como MEI, principalmente em razão do porte de cada negócio.
Ocorre que apesar dessa ser uma grande probabilidade, a ANPD não se manifestou sobre isso no guia orientativo. O que ela fez foi apenas afirmar a regra, já prevista no art. 41 da LGPD de que “o controlador deverá indicar encarregado pelo tratamento de dados pessoais”.
Como essas hipóteses de dispensa de indicação de encarregado ainda não ficaram definidas a regra é a de que todo controlador, independente se seja autônomo ou sociedade empresária, deverá indicar um encarregado de dados, incluindo sua identidade e informações de contato de forma pública para que os titulares possam exercer os seus direitos.
Ademais, o guia orientativo ainda possui exemplos práticos de cada conceituação ou definição elaborada pela ANPD, como forma de demonstrar como deve ser feito este trabalho em casos concretos.
Sabemos que ainda restam muitos temas a serem definidos pela ANPD, mas com certeza esse primeiro guia já foi o suficiente para entender o compromisso da Autoridade com a proteção de dados no Brasil, bem como com a referência externa de entendimentos consolidados na Europa, principalmente em razão da GDPR.
Este conteúdo foi útil para você? Então não esqueça de clicar no ❤.
Ainda ficou com alguma dúvida? Entre em contato conosco através do e-mail: contato@taiscastro.adv.br.
Taís Castro - Advogada e Consultora em Proteção de Dados.
Comments