239 segundos
A Autoridade Nacional de Proteção de Dados (“ANPD”) publicou, no dia 28/05/2021, um guia orientativo sobre agentes de tratamento e encarregado (“Guia”).
O documento visa sanar algumas das principais dúvidas sobre o assunto, estabelecendo diretrizes não-vinculantes aos agentes de tratamento e explica quem pode exercer a função do controlador, do operador e do encarregado. Apresentamos abaixo os principais pontos do Guia.
No âmbito da Lei nº 13.709, de 14 de agosto de 2018 (“Lei Geral de Proteção de Dados Pessoais” ou “LGPD”), o tratamento dos dados pessoais pode ser realizado por dois tipos de agentes de tratamento, o controlador e o operador, os quais podem ser pessoas naturais ou jurídicas, de direito público ou privado.
No contexto de uma pessoa jurídica, a organização é o agente de tratamento para os fins da LGPD, já que é esta que estabelece as regras para o tratamento de dados pessoais, a serem executadas por seus representantes ou prepostos.
O controlador é definido pela Lei como a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais (art. 5º, VI, LGPD). Ou seja, quem determina como os dados são tratados. É o agente responsável por tomar as principais decisões referentes ao tratamento de dados pessoais e por definir a finalidade deste tratamento. Entre essas decisões, incluem-se as instruções fornecidas a operadores contratados para a realização de um determinado tratamento de dados pessoais.
Ademais, a depender do contexto, uma mesma operação de tratamento de dados pessoais pode envolver mais de um controlador. Conforme a LGPD, art. 42, §1º, II, quando mais de um controlador estiver diretamente envolvido no tratamento do qual decorram danos ao titular de dados, estes responderão de forma solidária, à exceção das hipóteses previstas no art. 43.
Assim, embora a LGPD não explicite o conceito de controladoria conjunta, é possível inferir que ele está contemplado no sistema jurídico de proteção de dados. A definição das funções dos controladores conjuntos implica consequências no que diz respeito às funções dos agentes de tratamento e aos direitos dos titulares.
Por sua vez, o operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador, aí incluídos agentes públicos no sentido amplo que exerçam tal função, bem como pessoas jurídicas diversas daquela representada pelo controlador, que exerçam atividade de tratamento no âmbito de contrato ou instrumento congênere. A definição legal se encontra no art. 5º,
inciso X da LGPD.
De acordo com Guia, cabe destacar, ainda, algumas das obrigações do operador: (i) seguir as instruções do controlador; (ii) firmar contratos que estabeleçam, dentre outros assuntos, o regime de atividades e responsabilidades com o controlador; (iii) dar ciência ao controlador em caso de contrato com suboperador¹.
Lembramos que, considera-se “tratamento de dados” qualquer atividade que utilize um dado pessoal na execução da sua operação, como, por exemplo: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Conforme estabelece o artigo 42 da LGPD, o encarregado é o indivíduo responsável por garantir a conformidade da organização à LGPD, há a ressalva de que a responsabilidade pelas atividades de tratamento de dados pessoais continua sendo do agente de tratamento.
Ao contrário de outras legislações de proteção de dados estrangeiras, a LGPD não determinou em que circunstâncias uma organização deve indicar um encarregado. Assim, deve-se assumir, como regra geral, que toda organização deverá indicar uma pessoa para assumir esse papel.
Contudo, de acordo com o § 3º do art. 41, normativas futuras da ANPD poderão trazer hipóteses de dispensa da necessidade de indicação do encarregado, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
O Guia orientativo foi construído com o objetivo de trazer maior segurança aos titulares de dados e agentes de tratamento, sanando algumas das principais dúvidas que têm sido apresentadas à ANPD quanto aos papéis dos agentes de tratamentos e do encarregado.
Destaca-se que a atual versão é a primeira edição do guia e está sujeita a comentários e contribuições pela sociedade civil de forma contínua por meio do e-mail normatizacao@anpd.gov.br e que o guia será atualizado à medida que novas regulamentações e entendimentos forem publicados e estabelecidos pela ANPD.
Continue nos acompanhando e fique por dentro das novidades sobre o tema.
¹ Disponível em: <https://www.gov.br/anpd/pt-br/assuntos/noticias/2021-05-27-guia-agentes-de-tratamento_final.pdf>.