7 principais pontos que você deve saber sobre o Guia de Agentes de Tratamento publicado pela ANPD para se adequar à LGPD

Share on whatsapp
Share on facebook
Share on twitter
Share on linkedin

Toda empresa, seja startup ou não, que desenvolve tecnologia ou não, utiliza dados pessoais durante a execução de suas atividades. Isso é um fato!

Com a criação da  Lei Geral de Proteção de Dados (LGPD), legislação que regulamenta o tratamento de dados pessoais e a privacidade dos titulares de dados, muitas pessoas têm ficado aflitas e perdidas em relação às mudanças necessárias em seus processos, procedimentos e produtos, com receio das punições previstas na legislação. Isso se juntou a um terrorismo provocado em todo o mercado corporativo. Já falamos sobre a legislação por aqui.

Ocorre que a LGPD é uma legislação que fala muito pouco sobre como devem ser operacionalizadas suas obrigações, seus princípios e demais responsabilidades, de forma prática. Isso levou a um caminho de incertezas e inseguranças, durante o momento em que as empresas precisavam agir para estarem prontas para a vigência da legislação.

Apesar dessas incertezas, a solução para isso está prevista na própria legislação: um órgão regulador e fiscalizador, que é o responsável por trazer orientações, regulamentações específicas e também por fiscalizar o cumprimento da mesma, denominado como Agência Nacional de Proteção de Dados (ANPD).

Depois de muitas polêmicas em relação à sua estruturação, com muito atraso, tivemos o nascimento da ANPD, que já iniciou trazendo algumas orientações ao mercado.

Em fevereiro de 2021, a ANPD publicou orientações e um formulário para comunicação de incidentes de segurança da informação. Já em junho de 2021, foi publicado um guia para orientar sobre as definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado.

Mas, antes de adentrar no teor do Guia, é importante lembrar quem são os Agentes de Tratamento e o Encarregado na LGPD.

A LGPD definiu dois sujeitos que podem ser Agentes de Tratamento: (i) o Controlador, que é a “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”; (ii) e o Operador, que é “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”.

Além disso, temos a figura do Encarregado, que é “a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.

O Guia publicado pela ANPD segue a mesma linha do documento publicado em setembro de 2020 da EDPB (European Data Protection Board), sobre o mesmo assunto, com algumas adequações para alguns pontos que se aplicam a casos que vinham ocorrendo no Brasil.

Separamos 7 pontos relevantes tratados no guia, que importam, de forma prática! São eles:

1. Quem pode ser considerado Agente de Tratamento

Este ponto foi importante, pois vinha sendo trabalhado por algumas instituições, principalmente públicas. O entendimento, erroneamente, estava sendo de que colaboradores ou servidores seriam agentes de tratamento, como se a instituição fosse a Controladora e os seus servidores ou colaboradores, os Operadores de dados.

O Guia esclarece que a definição de Agente de Tratamento está ligada ao caráter institucional, o que significa dizer que: ou uma organização é Controladora, ou ela é Operadora, a depender do nível de controle e capacidade de decisão que esta tem sobre os dados tratados.

Assim sendo, os servidores ou colaboradores de uma organização apenas a representam no tratamento, não sendo, estes, agentes de tratamento.

2. Conceitos dos Agentes de Tratamento

O Guia cria o conceito efetivo para cada Agente de tratamento, sendo o Controlador o agente responsável por tomar as decisões referentes ao tratamento de dados pessoais e por definir a finalidade de tratamento; e o Operador o agente responsável por realizar o tratamento de dados em nome do Controlador e conforme a finalidade delimitada.

A principal diferença entre Controlador e Operador, portanto, está no poder de decisão, sendo que a delimitação da finalidade do tratamento dos dados é feita exclusivamente pelo Controlador.

3. Exercício do Direito dos Titulares

A ANPD deixa claro que os direitos dos titulares de dados pessoais (definidos no art. 18 da LGPD) devem ser reivindicados, em regra, do Controlador, e não do Operador. Isso não significa, no entanto, que é proibida a solicitação em relação ao Operador, mas que a responsabilidade pelo cumprimento é do Controlador, que deverá alinhar contratualmente, com o Operador, as obrigações deste no auxílio ao cumprimento dos direitos dos titulares.

4. Conceito de Controladoria Conjunta

Apesar de não termos o conceito de Controladoria Conjunta na LGPD, é claro que este fenômeno é possível e está contemplado dentro do sistema jurídico de proteção de dados. 

Nesse sentido, a ANPD utilizou a definição da legislação europeia de proteção de dados, a GDPR (General Data Protection), que tem, em seu artigo 26, a definição de Controladoria Conjunta.

O conceito gira em torno do poder de decisão conjunta, ficando definido que, quando mais de uma pessoa física ou jurídica determina conjuntamente as finalidades e os meios do tratamento de dados, ambos serão responsáveis conjuntos como Controladores.

O Guia traz três critérios a serem observados para definição se há ou não Controladoria Conjunta, sendo que, para que se considere que há: (i) mais de um Controlador deve possuir poder de decisão sobre o tratamento de dados; (ii) deve haver interesse mútuo de dois ou mais controladores, com base em finalidades próprias, sobre um mesmo tratamento; e (iii) dois ou mais controladores devem tomar decisões comuns ou convergentes sobre as finalidades e elementos essenciais do tratamento.

5. Operadores podem tomar algumas decisões

A ANPD também esclareceu que o Controlador não precisa tomar todas as decisões sobre o tratamento de dados, devendo apenas manter sob sua influência e controle as principais decisões – ou seja, todas aquelas que sejam relativas aos elementos essenciais para o cumprimento da finalidade do tratamento.

Essa era uma dúvida comum, afinal a maior parte dos Operadores de dados, principalmente aqueles que trabalham com tecnologias de ciência de dados, possuem maior expertise que o Controlador para a tomada de algumas decisões em relação ao tratamento dos dados.

6. Conceito de Suboperador

Assim como o caso da Controladoria Conjunta, não existe o conceito de suboperador na LGPD, mas sabemos que, em cadeias mais complexas de tratamento de dados, eles são comuns. Toda empresa possui fornecedores que auxiliam na execução de suas atividades e é comum a transferência de dados entre elas.

Assim, a ANPD conceituou, no Guia, a figura do suboperador, sendo aquele contratado pelo Operador para auxiliá-lo a realizar o tratamento de dados pessoais em nome do Controlador. A relação do suboperador é estabelecida com o Operador, sendo que ambos podem ser responsabilizados como Operadores perante à ANPD.

Outro ponto importante é que, como o suboperador não tem relação direta com o Controlador, o Operador precisa obter autorização formal (genérica ou específica) do Controlador para estabelecimento desta relação, sendo recomendado que se conste no contrato firmado entre as partes (DPA).

7. Encarregado

Conforme definido na LGPD, o Controlador deverá indicar um Encarregado (que, na GDPR, é o DPOData Protection Officer) pelo tratamento de dados pessoais. O Encarregado é o responsável por garantir a conformidade de uma organização, pública ou privada, à LGPD.

A orientação, no Guia, como não há definição específica na LGPD, é de que toda organização deve indicar uma pessoa física ou jurídica para desempenhar este papel. Mas, de toda forma, e conforme atribuição dada pela própria LGPD para a ANPD, esta deixa claro, no guia, que poderá trazer dispensas de necessidades no futuro.

Além dos conceitos, orientações e definições trazidos no post de hoje, o Guia conta com vários exemplos práticos sobre cada tema, com linguagem acessível para que os próprios empresários e empreendedores possam entender melhor alguns pontos da LGPD.

O Guia, como já mencionado, segue o mesmo entendimento da guideline publicada pela autoridade europeia, e representa a primeira orientação oficial da ANPD em relação à interpretação da LGPD.

Esperamos que este texto tenha agregado valor para você, empreendedor! Conte com o time do Lage & Oliveira para te apoiar na caminhada de adequação do seu negócio à LGPD.

Share on whatsapp
Share on facebook
Share on twitter
Share on linkedin

Leia também

9. Propriedade Intelectual e Industrial

Não é autorizada a utilização das Marcas e de qualquer propriedade intelectual e/ou industrial do L&O pelos USUÁRIOS do SITE sem a prévia e expressa autorização e aprovação do L&O, ficando resguardados todos os direitos acerca destas.

Ao acessar o SITE, você concorda que respeitará a existência e a extensão dos direitos de Propriedade Intelectual do L&O, bem como de todos os direitos de terceiros que sejam usados, a qualquer título, no SITE, ou que venham a ser disponibilizados de outras formas.

O acesso ao SITE não lhe dá direito ou prerrogativa ao uso de qualquer Propriedade Intelectual, Marca ou outro conteúdo nele inserido.

Se você violar as proibições contidas na legislação pátria vigente sobre propriedade intelectual e/ou neste Contrato, você poderá ter a sua Conta de Acesso bloqueada ou excluída definitivamente, se tiver uma, além de ser responsabilizado, civil e criminalmente, pelas infrações cometidas.

4. Conta de Acesso ao OFFICE

Apenas clientes do L&O, que tenham contratado plano de Assessoria Jurídica, poderão ter acesso à área restrita do SITE, denominada OFFICE. Se for o seu caso, continue a leitura. Caso contrário, pule este tópico e vá para o próximo!

Para que seja possível o acesso ao OFFICE, é indispensável a criação de uma Conta de Acesso. Esta Conta será criada pelo próprio L&O que, na oportunidade, solicitará os dados necessários a você. Você declara que as informações fornecidas são completas,
verdadeiras, atuais e precisas, sendo de sua total responsabilidade informar ao L&O
sempre que houver modificação/atualização de informação relevante.
Além disso, no momento de criação da Conta de Acesso, o L&O determinará o nome de usuário (login) e uma senha provisória para que você consiga acessar o OFFICE.

Após a criação da Conta de Acesso, o L&O enviará a você, via e-mail previamente
informado, seus dados para acesso ao OFFICE (login e senha), sendo que, para maior
proteção e segurança, você deverá alterar a sua senha no primeiro acesso.
É de sua exclusiva responsabilidade a manutenção do sigilo do nome de usuário e da
senha de acesso relativos à sua Conta de Acesso, devendo comunicar imediatamente ao L&O em caso de perda, divulgação ou roubo destes dados ou, ainda, de uso não
autorizado de sua Conta de Acesso.

Após a criação da Conta de Acesso pelo L&O e recebimento das credenciais, você
declara aceitar de forma expressa este Termo ao efetivar o seu primeiro acesso. Haverá, portanto, o consentimento expresso para a coleta, uso, armazenamento e tratamento de dados pessoais pelo L&O e/ou por terceiros contratados pelo escritório para finalidades legítimas e diretamente atreladas ao SITE e ao próprio L&O.

O L&O poderá recusar, suspender ou cancelar a Conta de Acesso de um USUÁRIO sem prévio aviso sempre que suspeitar que as informações fornecidas são falsas,
incompletas, desatualizadas ou imprecisas, com a finalização da relação entre L&O e o USUÁRIO Cliente ou ainda nos casos indicados nas leis e regulamentos vigentes
aplicáveis, nesse documento, mesmo que anteriormente aceito.

Cancelamento da Conta de Acesso ao OFFICE

A sua Conta de Acesso ao OFFICE será encerrada a partir do momento em que a sua relação com o L&O chegar ao fim – e ficaremos bem tristes se isso ocorrer – estando ativa apenas enquanto estiver vigente o Contrato de Prestação de Serviços de Assessoria Jurídica para a adequada prestação dos serviços.

É importante que você compreenda que o encerramento da Conta somente ocorrerá a partir do momento em que o L&O e você conferirem mútua quitação, isto é, a partir do momento que ambos concordarem que não há mais nada para reclamarem um do outro, não havendo qualquer pendência relativa a pagamentos, dentre outras. O encerramento será realizado pelo próprio L&O.

Entretanto, caso você pretenda eliminar definitivamente todos os seus dados do OFFICE, poderá solicitar a qualquer momento ao L&O, que analisará a melhor forma de seguir disponibilizando as informações necessárias, realizando a exclusão em seguida.