Toda empresa, seja startup ou não, que desenvolve tecnologia ou não, utiliza dados pessoais durante a execução de suas atividades. Isso é um fato!
Com a criação da Lei Geral de Proteção de Dados (LGPD), legislação que regulamenta o tratamento de dados pessoais e a privacidade dos titulares de dados, muitas pessoas têm ficado aflitas e perdidas em relação às mudanças necessárias em seus processos, procedimentos e produtos, com receio das punições previstas na legislação. Isso se juntou a um terrorismo provocado em todo o mercado corporativo. Já falamos sobre a legislação por aqui.
Ocorre que a LGPD é uma legislação que fala muito pouco sobre como devem ser operacionalizadas suas obrigações, seus princípios e demais responsabilidades, de forma prática. Isso levou a um caminho de incertezas e inseguranças, durante o momento em que as empresas precisavam agir para estarem prontas para a vigência da legislação.
Apesar dessas incertezas, a solução para isso está prevista na própria legislação: um órgão regulador e fiscalizador, que é o responsável por trazer orientações, regulamentações específicas e também por fiscalizar o cumprimento da mesma, denominado como Agência Nacional de Proteção de Dados (ANPD).
Depois de muitas polêmicas em relação à sua estruturação, com muito atraso, tivemos o nascimento da ANPD, que já iniciou trazendo algumas orientações ao mercado.
Em fevereiro de 2021, a ANPD publicou orientações e um formulário para comunicação de incidentes de segurança da informação. Já em junho de 2021, foi publicado um guia para orientar sobre as definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado.
Mas, antes de adentrar no teor do Guia, é importante lembrar quem são os Agentes de Tratamento e o Encarregado na LGPD.
A LGPD definiu dois sujeitos que podem ser Agentes de Tratamento: (i) o Controlador, que é a “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”; (ii) e o Operador, que é “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”.
Além disso, temos a figura do Encarregado, que é “a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.
O Guia publicado pela ANPD segue a mesma linha do documento publicado em setembro de 2020 da EDPB (European Data Protection Board), sobre o mesmo assunto, com algumas adequações para alguns pontos que se aplicam a casos que vinham ocorrendo no Brasil.
Separamos 7 pontos relevantes tratados no guia, que importam, de forma prática! São eles:
1. Quem pode ser considerado Agente de Tratamento
Este ponto foi importante, pois vinha sendo trabalhado por algumas instituições, principalmente públicas. O entendimento, erroneamente, estava sendo de que colaboradores ou servidores seriam agentes de tratamento, como se a instituição fosse a Controladora e os seus servidores ou colaboradores, os Operadores de dados.
O Guia esclarece que a definição de Agente de Tratamento está ligada ao caráter institucional, o que significa dizer que: ou uma organização é Controladora, ou ela é Operadora, a depender do nível de controle e capacidade de decisão que esta tem sobre os dados tratados.
Assim sendo, os servidores ou colaboradores de uma organização apenas a representam no tratamento, não sendo, estes, agentes de tratamento.
2. Conceitos dos Agentes de Tratamento
O Guia cria o conceito efetivo para cada Agente de tratamento, sendo o Controlador o agente responsável por tomar as decisões referentes ao tratamento de dados pessoais e por definir a finalidade de tratamento; e o Operador o agente responsável por realizar o tratamento de dados em nome do Controlador e conforme a finalidade delimitada.
A principal diferença entre Controlador e Operador, portanto, está no poder de decisão, sendo que a delimitação da finalidade do tratamento dos dados é feita exclusivamente pelo Controlador.
3. Exercício do Direito dos Titulares
A ANPD deixa claro que os direitos dos titulares de dados pessoais (definidos no art. 18 da LGPD) devem ser reivindicados, em regra, do Controlador, e não do Operador. Isso não significa, no entanto, que é proibida a solicitação em relação ao Operador, mas que a responsabilidade pelo cumprimento é do Controlador, que deverá alinhar contratualmente, com o Operador, as obrigações deste no auxílio ao cumprimento dos direitos dos titulares.
4. Conceito de Controladoria Conjunta
Apesar de não termos o conceito de Controladoria Conjunta na LGPD, é claro que este fenômeno é possível e está contemplado dentro do sistema jurídico de proteção de dados.
Nesse sentido, a ANPD utilizou a definição da legislação europeia de proteção de dados, a GDPR (General Data Protection), que tem, em seu artigo 26, a definição de Controladoria Conjunta.
O conceito gira em torno do poder de decisão conjunta, ficando definido que, quando mais de uma pessoa física ou jurídica determina conjuntamente as finalidades e os meios do tratamento de dados, ambos serão responsáveis conjuntos como Controladores.
O Guia traz três critérios a serem observados para definição se há ou não Controladoria Conjunta, sendo que, para que se considere que há: (i) mais de um Controlador deve possuir poder de decisão sobre o tratamento de dados; (ii) deve haver interesse mútuo de dois ou mais controladores, com base em finalidades próprias, sobre um mesmo tratamento; e (iii) dois ou mais controladores devem tomar decisões comuns ou convergentes sobre as finalidades e elementos essenciais do tratamento.
5. Operadores podem tomar algumas decisões
A ANPD também esclareceu que o Controlador não precisa tomar todas as decisões sobre o tratamento de dados, devendo apenas manter sob sua influência e controle as principais decisões – ou seja, todas aquelas que sejam relativas aos elementos essenciais para o cumprimento da finalidade do tratamento.
Essa era uma dúvida comum, afinal a maior parte dos Operadores de dados, principalmente aqueles que trabalham com tecnologias de ciência de dados, possuem maior expertise que o Controlador para a tomada de algumas decisões em relação ao tratamento dos dados.
6. Conceito de Suboperador
Assim como o caso da Controladoria Conjunta, não existe o conceito de suboperador na LGPD, mas sabemos que, em cadeias mais complexas de tratamento de dados, eles são comuns. Toda empresa possui fornecedores que auxiliam na execução de suas atividades e é comum a transferência de dados entre elas.
Assim, a ANPD conceituou, no Guia, a figura do suboperador, sendo aquele contratado pelo Operador para auxiliá-lo a realizar o tratamento de dados pessoais em nome do Controlador. A relação do suboperador é estabelecida com o Operador, sendo que ambos podem ser responsabilizados como Operadores perante à ANPD.
Outro ponto importante é que, como o suboperador não tem relação direta com o Controlador, o Operador precisa obter autorização formal (genérica ou específica) do Controlador para estabelecimento desta relação, sendo recomendado que se conste no contrato firmado entre as partes (DPA).
7. Encarregado
Conforme definido na LGPD, o Controlador deverá indicar um Encarregado (que, na GDPR, é o DPO – Data Protection Officer) pelo tratamento de dados pessoais. O Encarregado é o responsável por garantir a conformidade de uma organização, pública ou privada, à LGPD.
A orientação, no Guia, como não há definição específica na LGPD, é de que toda organização deve indicar uma pessoa física ou jurídica para desempenhar este papel. Mas, de toda forma, e conforme atribuição dada pela própria LGPD para a ANPD, esta deixa claro, no guia, que poderá trazer dispensas de necessidades no futuro.
Além dos conceitos, orientações e definições trazidos no post de hoje, o Guia conta com vários exemplos práticos sobre cada tema, com linguagem acessível para que os próprios empresários e empreendedores possam entender melhor alguns pontos da LGPD.
O Guia, como já mencionado, segue o mesmo entendimento da guideline publicada pela autoridade europeia, e representa a primeira orientação oficial da ANPD em relação à interpretação da LGPD.
Esperamos que este texto tenha agregado valor para você, empreendedor! Conte com o time do Lage & Oliveira para te apoiar na caminhada de adequação do seu negócio à LGPD.
