A Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública responsável por orientar, regulamentar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados (LGPD) publicou, em 28 de maio, o Guia Orientativo para a Definição dos Agentes de Tratamento e Encarregado, tendo como objetivo trazer esclarecimentos a respeito de quem pode exercer a função de Controlador, Operador e Encarregado, e sobre as responsabilidades de cada uma dessas figuras.
Apesar de trazer diretrizes não-vinculantes, o documento é de extrema importância, tendo em vista a dificuldade encontrada no mercado para a definição dos papéis e responsabilidades de parceiros comerciais em relação ao tratamento de dados pessoais.
Destacamos abaixo alguns temas relevantes abordados no documento.
O primeiro ponto de destaque é o esclarecimento de que os agentes de tratamento (Controlador e Operador) devem ser definidos a partir do seu caráter institucional, ou seja, sócios, administradores e indivíduos subordinados, como colaboradores, não serão considerados como Operadores de uma empresa. Da mesma forma, servidores públicos não serão considerados Operadores de órgãos do governo, uma vez que atuam sob o poder diretivo do agente de tratamento, o qual será o responsável perante os titulares e ANPD pelos atos ou omissões de seus representantes.
Outro ponto de destaque é a indicação de que o agente de tratamento deve ser definido para cada operação de tratamento de dados pessoais, de forma que a mesma organização poderá ser Controladora e Operadora, de acordo com sua atuação em diferentes operações de tratamento.
Como exemplo, podemos citar o caso da agência de publicidade que, para a execução dos serviços para os quais é contratada, atua como Operadora dos dados pessoais, tendo em vista que as definições essenciais do tratamento, como finalidade, público-alvo, período de campanha, bem como a tomada de qualquer decisão final são da empresa contratante, limitando-se a agência a definir elementos não essenciais como os canais, ferramentas e produtos da campanha. No entanto, ao realizar o tratamento de dados pessoais para fins de divulgação dos próprios serviços, a agência de publicidade atua como Controladora.
A definição de papéis deve considerar o contexto fático e as circunstâncias relevantes do caso, sendo que o Guia traz como critérios para a identificação do Controlador a definição da finalidade do tratamento, a natureza dos dados pessoais a serem tratados e a duração do tratamento, incluindo o prazo para a eliminação dos dados, destacando que outros elementos podem ser considerados essenciais a depender do contexto e das peculiaridades do caso concreto.
O Guia traz ainda a confirmação da existência da Controladoria conjunta e do Suboperador no sistema jurídico de proteção de dados brasileiro.
A Controladoria conjunta é caracterizada quando há a determinação conjunta, comum ou convergente, por dois ou mais Controladores, das finalidades e dos elementos essenciais para a realização do tratamento de dados pessoais, por meio de um acordo que estabeleça as respectivas responsabilidades quanto ao cumprimento da LGPD, sendo solidária a responsabilidade perante os titulares e ANPD.
Já o Suboperador é aquele contratado pelo Operador para auxiliá-lo a realizar o tratamento de dados pessoais em nome do Controlador. O Suboperador possui uma relação direta com o Operador e não com o Controlador. No que se refere às responsabilidades, o Suboperador pode ser equiparado ao Operador em relação às atividades para as quais foi contratado a executar, havendo, assim, a ampliação da cadeia de responsabilidade solidária prevista na LGPD.
Ainda sobre o Suboperador, como uma boa prática, o Guia recomenda que o Operador obtenha autorização formal do Controlador para realizar a subcontratação, a qual pode ser genérica ou específica, podendo, inclusive, constar do próprio contrato firmado entre Controlador e Operador.
Tal medida visa evitar o entendimento de que, ao contratar o Suboperador, o Operador tenha executado o tratamento de dados descumprindo orientações do Controlador.
O Guia também traz algumas ponderações a respeito da figura do Encarregado. A primeira delas é a de que, considerando que a LGPD não traz determinações específicas a respeito das circunstâncias que o Encarregado deve ser nomeado, deve-se assumir, como regra geral, que toda organização deverá indicar uma pessoa para desempenhar esse papel.
Ainda, o Guia reforça o entendimento de que o Encarregado poderá ser tanto um funcionário da instituição quanto um agente externo, de natureza física ou jurídica, sendo recomendado que o Encarregado seja indicado por um ato formal, como um contrato de prestação de serviços ou um ato administrativo.
No que diz respeito às qualificações profissionais do Encarregado, indica o Guia que elas devem ser definidas mediante um juízo de valor realizado pelo Controlador, considerando conhecimentos de proteção de dados e segurança da informação em nível que atenda às necessidades da operação da organização.
Por fim, vale destacar que o Guia não substitui futuras regulamentações sobre os temas abordados e está sujeito a comentários e contribuições pela sociedade civil, que poderão ser enviadas à ANPD pelo e-mail normatizacao@anpd.gov.br.