Entenda os principais aspectos no novo guia emitido pela ANPD
Diogo Silva Marzzoco – Coordenador da equipe de Proteção de Dados
Helio Ferreira Moraes – Sócio de Proteção de Dados
Nesse último 28/05/21 a ANPD – Autoridade Nacional de Proteção de Dados emitiu o seu “Guia Orientativo para Definição dos Agentes de Tratamento de Dados Pessoais e do Encarregado”, um documento muito esperado pela sociedade brasileira, pois esclarece uma série de dúvidas que as empresas tinham sobre o tema.
Na Europa, as figuras de co-controlador e sub-operador estão mais avançadas, mas aqui no Brasil vínhamos exercitando a analogia em relação a GDPR com certa insegurança jurídica, tendo em vista as diferenças entre essa legislação e a nossa LGPD – Lei Geral de Proteção de Dados Pessoais.
Referido guia não se caracteriza como uma normativa vinculante, deixando inclusive aberta a possibilidade de comentários e contribuições pela sociedade civil que possam contribuir para sua atualização na medida que novas regulamentações e entendimentos forem publicados pela ANPD.
Antes de adentrar as questões mais polêmicas, o guia afasta por completo a confusão que algumas pessoas faziam ao interpretar que as figuras dos controladores ou operadores poderiam ser estabelecidas entre indivíduos subordinados, como os funcionários, os servidores públicos ou as equipes de trabalho de uma organização, deixando claro que esses indivíduos já atuam sob o poder diretivo do agente de tratamento, que é a organização no caso das pessoas jurídicas. De fato, o guia é categórico ao afirmar que a definição legal de controlador não deve ser entendida como uma norma de distribuição interna de competências e responsabilidades entre empregados, administradores, sócios, servidores, dentre outros.
Além disso, o guia também corrobora o entendimento majoritário dos especialistas de que o agente de tratamento é definido para cada operação de tratamento de dados pessoais, ou seja, a mesma organização poderá ser controladora e operadora, de acordo com sua atuação em diferentes operações de tratamento.
No guia, a ANPD admite controladores conjuntos, em que pese a LGPD seja omissa nesse ponto, trazendo uma luz sobre diversas discussões ente os especialistas acerca do que seriam os co-controladores.
A atividade de controlador pode partir tanto do conceito previsto na LGPD para esse agente de tratamento, sob o prisma do contexto fático e circunstâncias do caso, quanto de regulação e do contrato entre as partes. Sendo importante a realidade dos fatos, assim como em questões trabalhistas ou tributárias, nas quais a aplicação do direito decorre mais da realidade dos fatos do que de instrumentos contratuais.
Assim, o papel dos agentes de tratamento deve ser definido a partir de um caráter funcional, ou seja, as funções que exercem na situação fática, por exemplo quem é o responsável efetivo pelas decisões relativas ao tratamento, e não como mera vontade das partes de se categorizar como X ou Y.
Além disso, uma outra questão interessante elucidada pelo guia foi que na relação com os entes públicos, o agente de tratamento são os entes da federação ao qual o órgão público despersonalizado envolvido na relação de tratamento de dados pessoais faz parte, havendo apenas uma descentralização de atividades ao Órgão Público competente, como no caso da União e seus Ministérios.
Entretanto, em que pese o controlador ser a União, por exemplo, as hipóteses de uso compartilhado de dados pessoais, de atendimento às exigências da ANPD, de aplicação de sanções administrativas, obrigação de transparência, bem como nomear o Encarregado, entre outras obrigações, fica a cargo dos órgãos públicos distribuídos. Cabendo a tais órgãos estabelecer estruturas adequadas para receber requerimentos de titulares e solicitações de providências determinadas pela ANPD.
Uma outra questão importante esclarecida pela ANPD, entendimento de que o controlador não precisa monopolizar todas as decisões sobre o tratamento de dados, devendo apenas manter as relativas aos elementos essenciais para o cumprimento da finalidade.
De fato, o guia manifesta a desnecessidade de que todas as decisões sejam tomadas diretamente pelo controlador, bastando apenas que este mantenha sob sua influência e controle as principais decisões, tais como a definição da finalidade do tratamento, natureza dos dados e duração do tratamento.
Assim, o operador mantém certa autonomia, sobretudo técnica dentro da relação com o controlador. De qualquer maneira, o operador precisa estar atento para agir no limite das finalidades determinadas pelo controlador. Além disso, o operador deverá: (i) seguir as instruções do controlador; (ii) firmar contratos que estabeleçam o regime de atividades e responsabilidades com o controlador; (iii) dar ciência ao controlador em caso de contrato com suboperador.
No que concerne à controladoria conjunta, assim será considerada pela ANPD quando as decisões forem conjuntas ou complementares, em linha com a GDPR, que define que cabe aos controladores definir quem vai, por exemplo, assumir a responsabilidade de atender ao titular. Assim, de acordo com a interpretada da LGPD à luz da GDPR dada pelo guia, a controladoria conjunta ocorreria quando há “determinação conjunta, comum ou convergente, por dois ou mais controladores, das finalidades e dos elementos essenciais para a realização do tratamento de dados pessoais, por meio de acordo que estabeleça as respectivas responsabilidades quanto ao cumprimento da LGPD”.
E vai além, ao esclarecer as duas categorias de co-controladores como aqueles vinculados por decisões comuns, como aquelas em que duas ou mais entidades possuem uma intenção comum sobre as finalidades e meios de tratamento e tomam decisões em conjunto, bem como aqueles vinculados por decisões convergentes, que são distintas, mas se complementam de maneira que o tratamento não seria possível sem a participação de ambos os controladores. O teste proposto pela ANPD para definir se existe a controladoria conjunta é se todas essas questões forem respondidas positivamente:
- Mais de um controlador possui poder de decisão sobre o tratamento de dados pessoais?
- Há interesse mútuo de dois ou mais controladores, com base em finalidades próprias, sobre um mesmo tratamento?
- Dois ou mais controladores tomam decisões comuns ou convergentes sobre as finalidades e elementos essenciais do tratamento?
Apesar dessa possibilidade de conjunção de responsabilidades, nos casos em que uma mesma operação de tratamento de dados pessoais envolva mais de um controlador, em que estes responderão de forma solidária, a exceção seriam as hipóteses em que não realizaram o tratamento de dados, tenham realizado, mas não houve violação à LGPD ou que o dano seja decorrente de culpa exclusiva do titular dos dados ou de terceiros.
Na questão da reparação de danos, embora o art. 37 da LGPD determine que controlador e operador partilham obrigações e, consequentemente, a responsabilidade de manter o registro das operações de tratamento, o entendimento manifestado pela ANPD foi no sentido de que em regra a responsabilidade é do controlador. A única hipótese em que o operador seria equiparado ao controlador em termos de responsabilidade seriam nos casos de danos causados em razão do tratamento irregular realizado por operador (por descumprir as obrigações da legislação ou por não observar as instruções do controlador).
Um outro conceito que pairava no ar pela LGPD era a falta do conceito de suboperador, embora não impossibilitasse ou tornasse ilegal que ele existisse ou que tivesse funções, competências e responsabilidade no ambiente de proteção de dados pessoais brasileiro. Assim, o guia veio complementar essa lacuna definindo o suboperador como “aquele contratado pelo operador para auxiliá-lo a realizar o tratamento de dados pessoais em nome do controlador.”. Recomendando ainda o guia que o operador, ao contratar o suboperador, obtenha autorização formal do controlador, podendo constar até mesmo do próprio contrato firmado entre as partes.
Um ponto em que o guia não foi inovador e manteve certa celeuma foi em relação a manutenção da necessidade da publicação da identidade do Encarregado como ponto focal do titular e da ANPD no site das empresas. Aqui a ANPD perdeu a oportunidade de não engessar as empresas, pois para o titular não faz diferença quem é a pessoa física do Encarregado, o importante é ter um ponto focal para fazer os seus pleitos sobre o tema da privacidade. Pergunta-se: Qual a necessidade de obrigar a publicação da identidade do Encarregado? Não seria uma exposição desnecessária que não contribui para assegurar os direitos dos titulares?
Por fim, o guia trouxe uma novidade bastante desejável para o Encarregado, estabelecendo que este deve trabalhar com independência e liberdade, tempo e estrutura adequada, não havendo uma qualificação pré-ordenada. Entretanto, a qualificação deve ser definida mediante um juízo de valor realizado pelo controlador que o indica, considerando conhecimentos de proteção de dados e segurança da informação em nível que atenda às necessidades da operação da organização.
