A Agência Nacional de Proteção de Dados (ANPD) – autoridade instituída em lei como responsável por elaborar as diretrizes para o tratamento de dados pessoais no Brasil – publicou, na última sexta-feira (28/05), seu primeiro Guia Orientativo sobre a Lei Geral de Proteção de Dados (Lei nº 13.709/2018). O documento busca endereçar os principais questionamentos elencados pela sociedade civil e diminuir o quadro de incerteza que ainda cerca a aplicação concreta da nova legislação.
O Guia Orientativo concentra seus esforços em elucidar aqueles que se enquadram como “Agentes de tratamento de dados pessoais” e os conceitos de Controlador, Operador, Suboperador e Encarregado pela proteção de dados pessoais, trazidos pela LGPD.
CONTROLADOR DE DADOS
O aprimoramento da definição do conceito de Controlador ganha particular destaque, visto que a responsabilização pelo tratamento ilícito de dados recai, em regra, sobre os controladores; assim como os deveres de obtenção de consentimento dos titulares e a adoção de medidas de transparência em relação a esses.
A ANPD define, no novo documento, que o Controlador é identificado de acordo com os critérios de poder de decisão e delimitação da finalidade do tratamento. O qualificativo “poder de decisão” faz referência à autoridade do Controlador em definir o tipo de dado pessoal que será coletado, o tempo de duração do tratamento e as principais decisões sobre sua utilização. Ainda que seja empregado um intermediário, responsável pelo tratamento direto dos dados pessoais, esse terceiro não será considerado Controlador, mas sim aquele de quem partiu o comando de tratamento – de quem emerge a decisão.
Caracteriza o papel de Controlador, igualmente, a delimitação da finalidade que guiará o tratamento de dados pessoais. O Guia Orientativo da ANPD traz como exemplo o seguinte cenário: uma Empresa opta por encaminhar propagandas aos seus clientes e para isso contrata uma Agência de Marketing, a qual utilizará os dados pessoais com ela compartilhados para confecção e envio da propaganda. Nessa hipótese, a Empresa continua enquadrada como Controladora, uma vez que essa é a agente que particulariza a finalidade da coleta de dados.
O documento oficial reitera que o Controlador pode ser pessoa jurídica ou pessoa física. No caso de pessoa jurídica, assume a atribuição a organização como um todo – excluídas, portanto, as pessoas naturais subordinadas profissionalmente à pessoa jurídica. A regra é de que os órgãos e agentes da organização não sejam responsabilizados individualmente, de modo que os titulares exerçam seus direitos face à pessoa jurídica. Exceção à essa regra são as pessoas jurídicas de Direito Público: ainda que a União (pessoa jurídica) seja aquela em face da qual os titulares exercerão seus direitos, aos órgãos públicos não-personalizados são impostas as mesmas obrigações dos controladores.
A pessoa natural, por sua vez, caracteriza-se como Controladora principalmente quando atua como empresária individual, ou ainda como profissional liberal, não submetida a uma organização superior.
OPERADORES E SUBOPERADORES
O Guia da ANPD esclarece também a figura dos Operadores e Suboperadores. O Operador atua como um subcontratado do Controlador, com a função principal de realizar operações de tratamento de dados pessoais em favor deste. Enquanto o Controlador detém o poder decisório, o Operador procede conforme as diretrizes estipuladas pelo primeiro. O documento é claro ao expor que o Operador não se confunde com o Controlador, ou seja, o primeiro não será profissional subordinado ou membro dos órgãos internos do segundo. De acordo com o Guia, portanto, o Operador será necessariamente um agente externo em relação ao Controlador.
Embora a norma geral seja a de responsabilização do Controlador, e não do Operador, este continua a deter deveres de transparência e pode ser imputado judicialmente por dano patrimonial, moral ou coletivo, em algumas hipóteses bem delimitadas, por exemplo, o descumprimento da legislação ou das instruções lícitas do Controlador.
Muito embora a LGPD não tenha previsto expressamente o conceito de suboperador, a diretiva em análise se ocupou de definir, também, esse como um agente de tratamento de dados pessoais. Suboperadores são como operadores indiretos do Controlador: ao invés de serem acionados diretamente pelo Controlador, são contratados por um de seus Operadores prévios, numa espécie de subcontratação. A ANPD aconselha, portanto, que haja autorização expressa do Controlador para que seu Operador empregue terceiros suboperadores para a realização de atividades que envolvam o tratamento de dados pessoais.
ENCARREGADO PELA PROTEÇÃO DE DADOS
O Guia Orientativo da ANPD adota uma posição abrangente no que se refere ao conceito de Encarregado pela Proteção de Dados (na legislação e literatura estrangeiras, referenciado como Data Protection Officer). A diretiva esclarece que, não havendo dispensa expressa para nomeação do Encarregado, as quais deverão constar em lei ou normativas da ANPD, todas as instituições – públicas ou privadas – são obrigadas a indicar um Encarregado, podendo ser este pessoa física ou pessoa jurídica. A Autoridade também menciona que o Encarregado poderá ser tanto um funcionário vinculado à organização quanto um agente externo contratado para a prestação desse serviço.
O Encarregado será o ente responsável por supervisionar a proteção de dados dentro da organização, garantindo a conformidade à LGPD e constituindo, assim, a via de conexão do Controlador com os titulares de dados pessoais e a própria ANPD. O Guia é igualmente amplo sobre as qualificações profissionais do Encarregado, descrevendo apenas como necessário que este possua conhecimento suficiente sobre segurança da informação e proteção de dados.
O documento oficial elucida que não há necessidade de registro oficial do Encarregado perante a ANPD – sugerindo, todavia, que suas informações de contato estejam acessíveis aos titulares de dados.
O primeiro Guia Orientativo da Agência Nacional de Proteção de Dados é um passo importante para a potencialização da segurança jurídica e a efetividade da Lei Geral de Proteção de Dados, bem como a conscientização da população e do Mercado acerca dos conceitos introduzidos pela legislação ainda recente. Futuras regulamentações conduzidas pelo órgão poderão alterar alguns dos entendimentos previstos na lei, entretanto, os conceitos apresentados ajudam, desde já, uma melhor compreensão da LGPD.