Entenda a LGPD | Guia orientativo

A Autoridade Nacional de Proteção de Dados (ANPD) publicou na semana passada, 28 de maio, um Guia orientativo para definições dos agentes de tratamento de dados pessoais e encarregado. Este Guia tem o objetivo de estabelecer diretrizes não-vinculantes aos agentes de tratamento e explicar quem pode exercer a função do controlador, do operador e do encarregado. A ANPD também trouxe exemplos de casos concretos para auxiliar o entendimento sobre o assunto.

Neste artigo abordaremos alguns pontos importantes, esclarecimentos e novas definições trazidas pelo Guia orientativo. Para acessar o documento completo, clique aqui.

AGENTES DE TRATAMENTO

Quem pode ser considerado agente de tratamento? São agentes de tratamento o controlador e o operador de dados pessoais, os quais podem ser pessoas naturais ou jurídicas, de direito público ou privado.

Neste âmbito, o Guia esclarece que os agentes de tratamento devem ser definidos a partir de seu caráter institucional. Isto indica que não são considerados agentes de tratamento, controlador e operador, os indivíduos subordinados aos agentes, tais como os funcionários, os servidores públicos ou as equipes de trabalho de uma organização. Além disso, os funcionários que atuam subordinados às decisões do controlador, não podem ser confundidos com os operadores de dados pessoais.

Contudo, vale ressaltar que pessoas naturais podem ser consideradas controladoras ou operadoras de dados pessoais se atuarem de acordo com os próprios interesses, com poder de decisão sobre as finalidades e os elementos essenciais de tratamento ou atuarem de acordo com os interesses do controlador. Este é, por exemplo, o caso de empresários individuais e profissionais liberais, como advogados, contadores e médicos.

DECISÕES DO CONTROLADOR

Não é necessário que todas as decisões sejam tomadas pelo controlador, bastando apenas que este mantenha sob seu domínio e controle as principais decisões, isto é, aquelas relacionadas ao cumprimento da finalidade do tratamento. Dentre estes elementos decisórios principais estão, a já citada, finalidade do tratamento em conformidade com a LGPD, a justificativa para realização do tratamento e a respectiva base legal, a definição da natureza dos dados pessoais tratados e a duração do tratamento.

Por exemplo: é o controlador que toma decisões sobre a finalidade do tratamento na utilização de dados pessoais para o pagamento de empregados, sobre a realização de uma pesquisa com clientes, a promoção de uma campanha de marketing e o armazenamento seguro de informações. Vale ressaltar que outros elementos podem ser considerados essenciais a depender do contexto e das peculiaridades do caso concreto.

Nas situações em que há contratação de um operador, é usual e legítimo que parte das decisões a respeito do tratamento, limitadas aos seus elementos não essenciais, fique sob a alçada do operador. Por exemplo, escolha dos softwares e equipamentos que serão utilizados durante uma fase do tratamento e o detalhamento de medidas de prevenção e segurança.

CONTROLADORIA CONJUNTA E CONTROLADORIA SINGULAR

O Guia trouxe alguns conceitos novos, um deles diz respeito à controladoria conjunta e singular. Quando dois ou mais responsáveis pelo tratamento determinam conjuntamente as finalidades e os meios desse tratamento, ambos são responsáveis conjuntos pelo tratamento.

Entretanto, ainda que o mesmo conjunto de dados seja tratado, não haverá controladoria conjunta se os objetivos do tratamento forem distintos. Por exemplo, diversos controladores podem tratar dados abertos do governo, cada um para suas finalidades específicas. Se estas finalidades não forem comuns, ambos serão controladores singulares em relação ao tratamento de dados e a controladoria conjunta não estará estabelecida.

Para determinar se existe controladoria conjunta é preciso avaliar os seguintes critérios:

1. Mais de um controlador possui poder de decisão sobre o tratamento de dados pessoais;

2. Há interesse mútuo de dois ou mais controladores, com base em finalidades próprias, sobre um mesmo tratamento; e

3. Dois ou mais controladores tomam decisões comuns ou convergentes sobre as finalidades e elementos essenciais do tratamento.

RESPONSABILIDADES E OBRIGAÇÕES DO OPERADOR

Sobre as responsabilidades dos agentes o Guia esclarece que, embora o controlador tenha a principal responsabilidade e o operador atue em nome dele, a LGPD determina que ambos partilham obrigações e, consequentemente, a responsabilidade de manter o registro das operações de tratamento. Além disso, ambos possuem a obrigação de reparação se causarem dano patrimonial, moral, individual ou coletivo a outrem, no âmbito de suas respectivas esferas de atuação.

Contudo, cabe ressaltar que, via de regra, as responsabilidades e obrigações do controlador e do operador são distintas, pois são determinadas de acordo com o papel exercido por cada um no âmbito do tratamento dos dados pessoais. Assim, a responsabilidade solidária prevista para os casos de danos causados em razão do tratamento irregular realizado por operador (por descumprir as obrigações da legislação ou por não observar as instruções do controlador), pode ser considerada como uma excepcionalidade, já que em regra a responsabilidade é do controlador. A princípio, essa é a única hipótese em que o operador é equiparado ao controlador.

Por exemplo: Em um canal de venda online de livros, que conta com diversas formas de pagamento, o canal que realiza a venda é o controlador dos dados pessoais, enquanto cada serviço de pagamento disponível (empresas de cartão de crédito, um banco em caso de transferência bancárias) será um operador diferente. Assim, o operador da transação não poderá utilizar os dados fornecidos para novas finalidades que não aquelas determinadas pelo controlador.

SUBOPERADOR

Outra novidade trazida pelo Guia é o conceito de suboperador, sendo este o contratado pelo operador para auxiliá-lo a realizar o tratamento de dados pessoais em nome do controlador. A relação direta do suboperador é com o operador e não com controlador. Porém, independentemente dos arranjos institucionais entre operador e suboperador, para a LGPD, ambos podem desempenhar, a depender do caso, a função de operador e responder perante a ANPD.

A ANPD também faz a recomendação para que operador, ao contratar o suboperador, obtenha autorização formal do controlador. A finalidade desta medida é evitar que, ao contratar o suboperador, o operador esteja tratando dados descumprindo orientações do controlador, o que poderia resultar ao operador responsabilidades que, normalmente, são exclusivas do controlador.

Por exemplo: subcontratação de serviço de armazenamento em nuvem. A empresa ALPHA deseja contratar uma pesquisa de mercado para alavancar suas vendas. Para isso, contrata a empresa de pesquisas BRAVO, que envia os resultados para a empresa ALPHA. Com a autorização da empresa ALPHA, a empresa BRAVO contrata os serviços de armazenamento em nuvem da empresa CHARLIE.

A empresa ALPHA é a controladora, pois é ela quem toma decisões em relação ao tratamento de dados e dos elementos essenciais do tratamento, como finalidade, titulares (público-alvo da pesquisa), tipos de dados coletados (nome, idade, endereço, preferência alimentar).

Ainda que possa decidir quanto às técnicas a ser empregadas no processo de tratamento de dados para gerar os resultados da pesquisa, a empresa de pesquisas BRAVO realiza os tratamentos de dados de acordo com a finalidade e as instruções determinadas pela empresa ALPHA, atuando, portanto, como operadora. Já, a empresa CHARLIE atua conforme diretrizes da empresa BRAVO e seria, portanto, suboperadora.

ENCARREGADO DE DADOS

A LGPD ainda não determinou em que circunstâncias uma organização deve indicar um encarregado. Assim, deve-se assumir que toda organização deverá indicar uma pessoa para assumir o papel do encarregado de dados. Contudo, normativas futuras da ANPD poderão trazer hipóteses de dispensa da necessidade de indicação do encarregado, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

O Guia ressalta a importância do encarregado ter liberdade na realização de suas atribuições. E, no que diz respeito às suas qualificações profissionais, estas devem ser definidas mediante um juízo de valor realizado pelo controlador que o indica, considerando conhecimentos de proteção de dados e segurança da informação em nível que atenda às necessidades da operação da organização.

Também é importante observar que a LGPD não proíbe que o encarregado seja apoiado por uma equipe de proteção de dados. Ao contrário, considerando as boas práticas, é importante que o encarregado tenha recursos adequados para realizar suas atividades, o que pode incluir recursos humanos, tempo (prazos apropriados), finanças e infraestrutura.

Este foi o primeiro Guia elaborado pela ANPD com base em suas atribuições institucionais de regulamentar a LGPD. Além de trazer esclarecimentos sobre o papel dos agentes do tratamento, deixando mais clara a diferença de responsabilidades e obrigações entre controlador e operador, os exemplos práticos facilitam muito a compreensão de quem ainda está no processo inicial de adequação à LGPD.

Por fim, vale ressaltar que esta versão do Guia não é definitiva, ela está sujeita a comentários e contribuições da sociedade civil. Assim, à medida que novas regulamentações e entendimentos sobre as definições dos agentes forem publicados e estabelecidos pela ANPD, o Guia será atualizado.

Para saber sobre o processo de adequação a Lei Geral de Proteção de Dados Pessoais, entre em contato com a Total Privacy. Nós somos uma consultoria especializada em assessorar as organizações na implantação do plano de adequação à LGPD. Envie um e-mail para contato@totalprivacy.com.br.

Andressa Segantini Consultora de Privacidade e Proteção de Dados Pessoais da Total Privacy