LGPD - GUIA ORIENTATIVO - DOS AGENTES E ENCARREGADO

-

 


A Lei Geral de Proteção de Dados – LGPD (Lei nº.13.709/2018 [i]) determinou a criação de uma Autoridade Nacional de Proteção de Dados, conhecida como ANPD, órgão este da administração pública federal e integrante da Presidência da República.

Em adendo, na época de aprovação da LGPD houve veto presidencial do presidente Michel Temer no tocante à criação da ANPD e do Conselho Nacional de Proteção de Dados Pessoais e Privacidade, sob argumento de que sua sanção naquele momento inviabilizaria o funcionamento da administração pública.

Nesta esteira, apenas em 27/08/2020 foi publicado o Decreto 10.474/2020[ii] que aprovou e regulamentou a ANPD com o objetivo de proteger os direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da personalidade da pessoa natural.

A Autoridade Nacional de Proteção de Dados é estruturalmente constituída por: I. Conselho Diretor; II. Órgão Consultivo; III. Órgão de Assistência Direta e Imediata ao Conselho Diretor; IV. Órgãos Seccionais, conforme detalhado no artigo 3º do decreto supracitado.

Compete a ANPD, de forma latu senso, zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional, entretanto em seu artigo 55-J é pormenorizada tal competência num rol de vinte quatro incisos.

Em poder de suas atribuições, em 28/05/2021 a ANPD publicou um Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado[iii], composto de 7 capítulos e 80 itens. Baseado em frequentes questionamentos a respeito dos conceitos para a atuação de organizações públicas e privadas no tratamento de dados pessoais.

O guia em comento visa estabelecer diretrizes não-vinculantes aos agentes de tratamento e explicar quem pode exercer a função do controlador, operador e do encarregado, trazendo definições legais, regimes de responsabilidade, exemplos de casos concretos e respostas sobre as perguntas mais corriqueiras sobre o tema.

Neste sentido, note que a qualificação de cada agente de tratamento de dados é de suma relevância, posto que a atribuição de responsabilidades em relação à reparação por danos decorrentes de atos ilícitos é distinta de acordo com a qualificação destas pessoas.

A seguir serão interpretados alguns pontos importantes, ora elencados no Guia em tela, todos em consonância com os conceitos já tabulados pela LGPD:

- Agentes de tratamento: corresponde ao controlador e ao operador de dados pessoais, os quais podem ser pessoas naturais ou jurídicas, de direito público ou privado a serem definidos por cada instituição. O agente de tratamento de dados é definido para cada operação de tratamento, logo, a mesma organização poderá ser controladora e operadora, de acordo com sua atuação em diferentes operações de tratamento.

Pessoas naturais podem ser consideradas controladoras ou operadoras de dados pessoais, tidas como controladoras quando atuarem de acordo com os próprios interesses, com poder de decisão sobre as finalidades e os elementos essenciais de tratamento. De outro lado, as operadoras serão assim intituladas, quando agirem de acordo com os interesses do controlador, sendo-lhe facultada apenas a definição de elementos não essenciais à finalidade do tratamento. É notório que o operador deve ser uma entidade distinta do controlador, subordinado a este ou como membro de seus órgãos.

Assim como, os funcionários da instituição atuarão em subordinação às decisões do controlador, não se confundindo com os operadores de dados pessoais, o funcionário em síntese é um representante do agente, que como dito, deve atuar de acordo com os interesses e finalidades definidas pelo controlador.

O próprio guia em estudo, em seu item de nº. 10, traz um exemplo claro de como deve internamente ser a definição de tais pessoas, bem como será aplicada a legislação aos olhos da ANPD:

"10. A título exemplificativo, uma empresa decide enviar propagandas aos seus clientes com a finalidade de alavancar as vendas de determinado produto. Para isso, contrata agência de publicidade, que elaborará a campanha de marketing com fotos de pessoas utilizando o produto. A empresa informa todos os critérios para a campanha, tais como o público-alvo e estabelece os critérios de como deve ser a aparência física dos modelos fotográficos. A agência de publicidade trata dados pessoais para prestar o serviço para a empresa, ao selecionar modelos fotográficos e armazenar as fotos desses titulares. Após a conclusão do serviço pela agência, o funcionário da empresa envia as propagandas aos clientes.

Neste exemplo a empresa atua como controlador, ao determinar o tratamento de dados e definir os seus elementos essenciais. A agência de publicidade atua como operadora ao tratar dados conforme a finalidade do tratamento definida pelo controlador. E o funcionário, ao enviar os e-mails para os clientes, atua sob o poder diretivo da empresa e não se caracteriza como agente de tratamento."

- Controlador: é o agente responsável por tomar as principais decisões referentes ao tratamento de dados pessoais e por definir a finalidade deste tratamento. Entre essas decisões, incluem-se as instruções fornecidas a operadores contratados para a realização de um determinado tratamento de dados pessoais.

Dentre as atribuições estabelecidas pela LGPD ao controlador, temos a de elaborar o relatório de impacto à proteção de dados pessoais, comprovar que o consentimento obtido do titular atende às exigências legais e a de comunicar à ANPD a ocorrência de quaisquer incidentes de segurança.

Não obstante, lhe compete, de forma não exauriente, fornecer informações relativas ao tratamento, assegurar a correção e a eliminação de dados pessoais, receber requerimento de oposição a tratamento. Lembrando que o titular dos dados pode, ainda, peticionar contra o controlador perante a ANPD, o que denota a relevância da compreensão do conceito e competências de um controlador, não só para os profissionais que atuam nesta área, mas também para o cidadão comum.

Na prática, o que denota quem é o controlador é o seu poder decisório principal quanto ao tratamento de dados, sua influência e controle sobre as relevantes decisões sobre o tema. Isso engloba que caiba a ele a definição da finalidade do tratamento dos dados, sua natureza e período de tratamento.

Lembrando que natureza dos dados pessoais diz respeito a sua origem, a que se referem de fato (mero exemplo: dados pessoais bancários de empregados), finalidade do tratamento trata do objetivo para o qual aquele dado será tratado (mero exemplo: pagamentos de empregados) e duração do tratamento corresponde ao período que será realizada a operação, de sua coleta até sua eliminação (mero exemplo: iniciada na contratação do funcionário e extinta quando concluído o prazo legal de guarda estabelecido pela lei).

O papel de controlador pode decorrer expressamente de obrigações estipuladas em instrumentos legais e regulamentares ou em contrato firmado entre as partes. Não obstante, a efetiva atividade desempenhada por uma organização pode se distanciar do que estabelecem as disposições jurídicas formais, razão pela qual, é de suma importância avaliar se o suposto controlador é, de fato, o responsável pelas principais decisões relativas ao tratamento. Não adianta haver tais títulos apenas no papel, deve-se analisar a dinâmica e processo interno dentro da instituição.

Ademais, em muitos casos, o controlador será uma pessoa jurídica, seja de direito privado ou de direito público. É o que ocorre, por exemplo, quando sociedades empresárias ou entidades públicas tomam as principais decisões a respeito do armazenamento, da eliminação ou do compartilhamento de informações que integram um banco de dados pessoais que é gerido no âmbito da organização. Assim, não serão tidas como controladoras as pessoas naturais que atuam simplesmente como profissionais subordinados de uma pessoa jurídica ou como membro de seus órgãos.

O guia orienta que se trata de comando legal que atribui obrigações específicas à pessoa jurídica, de modo que esta assume a responsabilidade pelos atos praticados por seus agentes e prepostos em face dos titulares e da ANPD.

Já nas operações de tratamento de dados pessoais conduzidas por órgãos públicos despersonalizados a pessoa jurídica de direito público a que os órgãos sejam vinculados é a controladora dos dados pessoais e, portanto, responsável pelo cumprimento da LGPD.

Contudo, em razão do princípio da desconcentração administrativa, o órgão público despersonalizado desempenhará funções típicas de controlador de dados, de acordo com as obrigações estabelecidas na LGPD.

Adiante, se faz justo esclarecer que uma pessoa natural poderá ser controladora apenas em situações em que é a responsável pelas principais decisões referentes ao tratamento de dados pessoais, ou seja, existe uma independência e autonomia em suas ações, ela não é subordinada a uma pessoa jurídica ou atua como membro de um órgão dela. Tal situação ocorre por exemplo quando falamos de empresários individuais ou profissionais liberais.

Veja que para lei não são considerados controladores (autônomos ou conjuntos) ou operadores os indivíduos subordinados, tais como os funcionários, os servidores públicos ou as equipes de trabalho de uma organização, já que atuam sob o poder diretivo do agente de tratamento.

Adiante, é colacionado o artigo 43 da LGPD, no qual estabelece as hipóteses em que os agentes de tratamento não serão responsabilizados:

“Art. 43. Os agentes de tratamento só não serão responsabilizados quando provarem:

I - que não realizaram o tratamento de dados pessoais que lhes é atribuído;

II - que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou

III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.”

Sem dúvidas que o caso concreto deverá ser analisado com precisão, cabendo provas cabais sobre o papel de cada ente envolvido no tratamento de dados. Inclusive, no caso de uma controladoria conjunta, é possível se determinar a responsabilidade solidária.

- Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador e conforme a finalidade por este delimitada. Cabendo a ele realizar o tratamento de dados em consonância com as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria.

O operador só pode tratar os dados para a finalidade previamente estabelecida pelo controlador. Isso demonstra a principal diferença entre o controlador e o operador, qual seja, o poder de decisão: o operador só pode agir no limite das finalidades determinadas pelo controlador.

São algumas das obrigações do operador: (i) seguir as instruções do controlador; (ii) firmar contratos que estabeleçam, dentre outros assuntos, o regime de atividades e responsabilidades com o controlador; (iii) dar ciência ao controlador em caso de contrato com suboperador. Ao operador cabe a definição de elementos não essenciais no tratamento de dados, como medidas técnicas.

O guia da ANPD diz ser uma boa prática que o operador e o controlador firmem um contrato sobre o tratamento de dados, definindo-se pontos como o objeto do tratamento de dados, sua duração, natureza, finalidade, os tipos de pessoas envolvidas no tratamento, bem como os direitos e obrigações relacionados ao cumprimento da LGPD.

O artigo 37 da LGPD estabelece que o operador e controlador devem manter o registro das operações de tratamento de dados que realizarem, sendo claro que ambos compartilham de deveres e obrigações, vide o artigo 42 de mesma lei: 

“Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

§ 1º A fim de assegurar a efetiva indenização ao titular dos dados:

I - o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;

II - os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta Lei.

§ 2º O juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa.

§ 3º As ações de reparação por danos coletivos que tenham por objeto a responsabilização nos termos do caput deste artigo podem ser exercidas coletivamente em juízo, observado o disposto na legislação pertinente.

§ 4º Aquele que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso.”

Mais uma vez, resta claro que as obrigações e responsabilidades do controlador e operador devam ser distintas, baseadas no papel e atividade de cada um. A caracterização da responsabilidade solidária é considerada uma excepcionalidade, já que a regra é que a responsabilidade seja exclusivamente do controlador. Deve-se mais uma vez analisar o caso concreto com cautela, tendo por base o contexto fático e comprobatório para se determinar penalidades.

- Suboperador: é aquele contratado pelo operador para auxiliá-lo a realizar o tratamento de dados pessoais em nome do controlador.

Ao elaborar o guia em epígrafe, a ANPD estabeleceu a figura de um novo ente, chamado de suboperador, embora tal conceito não exista na LGPD. Nova nomenclatura foi utilizada visando a compreensão de cadeias mais complexas de tratamento de dados.

Porém, independentemente dos arranjos institucionais entre operador e suboperador, para efeitos da LGPD, ambos podem desempenhar, a depender do caso concreto, a função de operador e responder perante a ANPD.

Mais uma vez se recomenda a implementação de instrumentos contratuais, agora firmados entre o operador e o suboperador, visando delimitar todas as diretrizes oriundas do controlador, documentando-se assim como deve ser a execução do serviço.

- Encarregado: é o indivíduo indicado pelo controlador, responsável por garantir a conformidade de uma organização, pública ou privada, à luz da LGPD. Vejamos: 

Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.

§ 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.

§ 2º As atividades do encarregado consistem em:

I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II - receber comunicações da autoridade nacional e adotar providências;

III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

§ 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

O encarregado poderá ser tanto um funcionário da instituição quanto um agente externo, de natureza física ou jurídica. Recomenda-se que o encarregado seja indicado por um ato formal, como um contrato de prestação de serviços ou um ato administrativo.

É importante observar que a LGPD não proíbe que o encarregado seja apoiado por uma equipe de proteção de dados. Ao contrário, considerando as boas práticas, é importante que o encarregado tenha recursos adequados para realizar suas atividades, o que pode incluir recursos humanos. Outros recursos que devem ser considerados são tempo (prazos apropriados), finanças e infraestrutura.

Note que o encarregado pode atuar em nome de diferentes organizações, entretanto deve-se observar se ele é capaz de realizar suas atribuições com eficiência, atendendo com perfeição as atividades exigidas por cada organização.

Destarte, para fins da LGPD, a responsabilidade pelas atividades de tratamento de dados pessoais é mantida a imputação ao controlador e/ou operador de dados, conforme já exposto.


Autora desde artigo: Nadya Prinet Godoy

Disponibilizado em: Jun/2021

Imagem: Capa do Guia publicado pela ANPD 



[i] Presidência da República. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 01 de jun. de 2021.

[ii] Presidência da República. Aprova a Estrutura Regimental e o Quadro Demonstrativo dos Cargos em Comissão e das Funções de Confiança da Autoridade Nacional de Proteção de Dados e remaneja e transforma cargos em comissão e funções de confiança. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2020/decreto/D10474.htm. Acesso em: 01 de jun. de 2021.

[iii] ANPD. Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/2021.05.27GuiaAgentesdeTratamento_Final.pdf. Acesso em: 01 de jun. de 2021.


Location: São Paulo, Brasil

Comentários

Postar um comentário

Postagens mais visitadas deste blog

PRIMEIRA MULTA APLICADA PELA ANPD - EMPRESA DE PEQUENO PORTE

-
Imagem
  Na última semana, mais precisamente na sexta-feira, a ANPD divulgou a ocorrência da primeira multa aplicada pelo descumprimento da LGPD [1] no Brasil e desde então o assunto ganhou bastante repercussão no mundo jurídico e empresarial. Trata-se de um marco legal significativo, haja vista que inaugura uma fase de fiscalizações e sanções por atos contrários a preservação da privacidade de dados pessoais no país em detrimento dos ditames estabelecidos pela LGPD. A penalidade ocorreu após a conclusão de um processo administrativo sancionador de nº 00261.000489/2022-62 conduzido pela Coordenação-Geral de Fiscalização (CGF/ANPD) e publicado no Diário Oficial da União no dia último dia 06 de julho [2] . Para a surpresa de muitas empresas de pequeno e médio porte, que em sua maioria, não dão tanta credibilidade a LGPD, seja pela possibilidade de serem fiscalizadas ou até mesmo sancionadas, a empresa autuada foi uma microempresa de telemarketing localizada no estado do Espírito Sant...
Leia na íntegra

ANPD - 1ª Semana de Proteção de Dados Pessoais - DIA 02

-
Imagem
  ANPD Como sabido, nesta semana (30/05 a 03/06/2022) a Autoridade Nacional de Proteção de Dados - ANPD promove a 1ª Semana de Proteção de Dados Pessoais , com a iniciativa do Programa de Privacidade e Segurança da Informação (PPSI), da Secretaria de Governo Digital e do Ministério da Economia [1] . Em continuidade ao artigo anterior, trataremos do conteúdo disponibilizado no segundo dia do curso: DIA 02 – 31/05/2022 – TEMA: PRIVACIDADE NO PODER PÚBLICO HORÁRIO: 09:00 - 10:30 TEMA: LAI versus LGPD  PALESTRANTE: Marcos Lindenmayer - Chefe de Gabinete da Ouvidoria-Geral da União (OGU/CGU) Perguntas realizadas pelo público (respostas em 1:01:20 h do vídeo): 1. Em relação a dados pessoais de servidores públicos requeridos pelos cidadãos, quais os limites que a LGPD traz para fornecer ou não estes dados? 2. Quando se fala de dados pessoais, se aplica também a PJ? E a respeito dos dados de servidores públicos indicados em documentos públicos é considerado também divulga...
Leia na íntegra

LGPD - COMO COMUNICAR UM INCIDENTE DE PRIVACIDADE PARA ANPD

-
Imagem
  Em artigos anteriores tratamos com mais detalhes sobre o que corresponde ao temido vazamento de dados pessoais, bem como da relevância de uma governança eficiente e de uma gestão de riscos que busque evitar a ocorrência de incidentes de segurança. Lembrando que um incidente de segurança diz respeito a situações que coloquem em risco a preservação de dados pessoais tratados por um agente, seja através do acesso e conhecimento de pessoas não autorizadas, até situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Veja que os agentes de tratamento de dados pessoais ou qualquer outra pessoa que intervenha em uma das fases do tratamento é obrigada a garantir a segurança da informação determinada pela Lei Geral de Proteção Dados, mesmo após finda a necessidade de utilização de tais dados. Sendo primordial neste contexto, que agentes de tratamento de dados adotem medidas de segurança, técnicas e administr...
Leia na íntegra