DIVULGADO O GUIA ORIENTATIVO PARA DEFINIÇÕES DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS E DO ENCARREGADO PELA ANPD

10 de junho de 2021

A Autoridade Nacional de Proteção de Dados (ANPD) publicou no dia 28 de maio de 2021 o Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado, que busca estabelecer diretrizes não-vinculantes aos agentes de tratamento e explicar quem pode exercer a função do controlador, do operador e do encarregado; as definições legais; os respectivos regimes de responsabilidade; casos concretos que exemplificam as explicações da ANPD e as perguntas frequentes sobre o assunto.

O guia é primeiro do tipo publicado pela Autoridade e foi estruturado em sete capítulos: 1) Agentes de tratamento 2) Controlador 3) Controladoria conjunta e controladoria singular 4) Operador 5) Sub Operador 6) Encarregado 7) Considerações finais.

No capítulo 1, o agente de tratamento é definido para cada operação de tratamento de dados pessoais, portanto, a mesma organização poderá ser controladora e operadora, de acordo com sua atuação em diferentes operações de tratamento. Serão controladoras quando atuarem de acordo com os próprios interesses, com poder de decisão sobre as finalidades e os elementos essenciais de tratamento. Serão operadoras quando atuarem de acordo com os interesses do controlador, sendo-lhes facultada apenas a definição de elementos não essenciais à finalidade do tratamento.

No capítulo 2, além da definição legal estabelecido no art. 5º, VI, da LGPD, estabelece como conceito que o “Controlador é o agente responsável por tomar as principais decisões referentes ao tratamento de dados pessoais e por definir a finalidade deste tratamento. Entre essas decisões, incluem-se as instruções fornecidas a operadores contratados para a realização de um determinado tratamento de dados pessoais”.

Esse conceito é relevante, pois a LGPD atribui obrigações específicas ao Controlador, bem como, em regra, os direitos dos titulares são exercidos em face dele.

Todavia, identifica-se uma contradição no Guia, na medida em que afirma que “o papel de controlador pode decorrer expressamente de obrigações estipuladas em instrumentos legais e regulamentares ou em contrato firmado entre as partes” e, em seguida, ressalta a importância de analisar-se a situação fática, com relação às principais decisões relativas ao tratamento.

No capítulo 3, traz as definições quando uma mesma operação de tratamento de dados pessoais envolver mais de um controlador. Os conceitos são baseados no regulamento europeu, uma vez que a LGPD não traz esses conceitos:

Controlador conjunto quando dois ou mais responsáveis pelo tratamento determinam conjuntamente as finalidades e os meios desse tratamento, ambos são responsáveis conjuntos pelo tratamento, pois determinam por acordo mútuo as respectivas responsabilidades. Como exemplo, apresenta o caso de duas empresas, que desejam organizar um evento, e conjuntamente compartilham dados de seus clientes, e banco de dados de clientes potenciais, com o objetivo de promover um produto de marca comum. Ambas concordam com as modalidades de envio de convites para o evento, definição de estratégias de marketing e coleta de feedback. Nesse caso, são dois agentes de tratamento (controladores) que tomam decisões conjuntamente sobre determinado tratamento de dados, com a mesma finalidade, configurando como controladores conjuntos.

Controladoria conjunta é “a determinação conjunta, comum ou convergente, por dois ou mais controladores, das finalidades e dos elementos essenciais para a realização do tratamento de dados pessoais, por meio de acordo que estabeleça as respectivas responsabilidades quanto ao cumprimento da LGPD”. Aqui apresenta-se três critérios para verificação desse tipo de controladoria: a) mais de um controlador com poder de decisão sobre o tratamento de dados pessoais; b) interesse mútuo de dois ou mais controladores, com base em finalidades próprias; c) dois ou mais controladores tomam decisões comuns ou convergentes sobre as finalidades e elementos essenciais ao tratamento.

Controlador singular quando as decisões referentes ao mesmo tratamento competem também a outro(s) controlador(es), de forma independente, ou seja, sem finalidades comuns, convergentes ou complementares. Para exemplificar essa modalidade, traz como exemplo, a continuidade de tratamento pelas mesmas empresas que inicialmente atuavam como controladoras conjuntas, na mesma base de dados que haviam compartilhado inicialmente, mas o novo tratamento com finalidades próprias e individuais. Assim, continuaram como controladores, contudo, passando a atuar como controladores singulares.

No capítulo 4, conceitua o operador como o agente responsável por realizar o tratamento de dados em nome do controlador e conforme a finalidade por este delimitada. Por essa definição, delimita a principal diferença entre o controlador e operador, qual seja, o poder de decisão: o operador só pode agir no limite das finalidades determinadas pelo controlador.

Segundo o Guia Orientativo, ainda que “a LGPD não determine expressamente que o controlador e o operador devam firmar um contrato sobre o tratamento de dados, tal ajuste se mostra como uma boa prática de tratamento de dados, uma vez que as cláusulas contratuais impõem limites à atuação do operador, fixam parâmetros objetivos para a alocação de responsabilidades entre as partes e reduzem os riscos e as incertezas decorrentes da operação.”

No capítulo 5, como parâmetro de análise para compreensão de cadeias mais complexas de tratamento de dados, traz o conceito de suboperador: “é aquele contratado pelo operador para auxiliá-lo a realizar o tratamento de dados pessoais em nome do controlador.”

Há uma contradição significativa no Guia, pois ao mesmo tempo que a ANPD informa que o “guia orientativo busca estabelecer diretrizes não-vinculantes”, apresenta várias “recomendações”, entre elas para que o operador, ao contratar o suboperador, “obtenha autorização formal (genérica ou específica) do controlador, a qual pode inclusive constar do próprio contrato firmado entre as partes”, com o objetivo de evitar que se entenda que, ao contratar o suboperador, o operador tenha executado o tratamento de dados descumprindo orientações do controlador, o que poderia atrair para o operador responsabilidades que normalmente são exclusivas do controlador.

Assim, fica o questionamento se as organizações devem seguir as recomendações ou apenas tê-las como base, uma vez que não têm efeito vinculante.

No capítulo 6, traz a definição do encarregado como o “indivíduo responsável por garantir a conformidade de uma organização, pública ou privada, à LGPD”. Por enquanto, não há regulamentação sobre em que circunstâncias uma organização deve indicar um encarregado. Assim, deve-se assumir, como regra, que toda organização deverá indicar uma pessoa para assumir esse papel.

Contudo, nos termos do § 3º do art. 41 da LPGD, normativas futuras da ANPD poderão trazer hipóteses de dispensa da necessidade de indicação do encarregado, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

Com relação às qualificações profissionais do Encarregado, estas devem ser definidas mediante um juízo de valor realizado pelo controlador que o indica, considerando conhecimentos de proteção de dados e segurança da informação em nível que atenda às necessidades da operação da organização.

Por fim, no capítulo 7, nas suas considerações finais a ANPD afirma que o: “guia orientativo foi construído com o objetivo de trazer maior segurança aos titulares de dados e agentes de tratamento, sanando algumas das principais dúvidas que têm sido apresentadas à ANPD quanto aos papéis dos agentes de tratamentos e do encarregado”.

A manifestação da Autoridade através do Guia Orientativo é importante para sanar dúvidas sobre o tema, todavia, o fato de não estabelecer efeito vinculante às suas próprias definições pode gerar ainda mais dúvidas e incertezas, pois a LGPD deixou espaços para interpretações e regulamentação a serem expedidas pela ANPD, e a ela incumbe o dever de zelar pelos dados pessoais, bem como regulamentar a Lei e o seu enforcement, além de trazer um direcionamento para as organizações.

Para saber mais sobre este e outros temas relacionados à Lei Geral de Proteção de Dados, a equipe do Assis e Mendes possui especialistas prontos para atender as necessidades de sua empresa. Entre em contato conosco pelo site www.assisemendes.com.br.

KELLY TAKAHASHI NOVAES é advogada da equipe de Direito Digital do Assis e Mendes Sociedade de Advogados.

Compartilhe:

Mais Artigos

Desafios da Inadimplência: Estratégias e Alternativas à Judicialização

Descubra estratégias eficazes para lidar com a inadimplência de clientes sem recorrer imediatamente à judicialização. Este artigo explora alternativas viáveis, como o diálogo proativo, negociação amigável, formalização da cobrança e opções de resolução extrajudicial, visando preservar o relacionamento comercial e minimizar os impactos financeiros para sua empresa.

O que fazer se uma réplica do meu produto estiver sendo vendida em Marketplaces?

Marketplaces se tornaram essenciais no comércio online, mas também apresentam desafios, como a venda de produtos falsificados. Este artigo fornece orientações para lidar com réplicas ou falsificações de produtos em marketplaces, incluindo como identificar, denunciar e tomar medidas legais contra os infratores. Consultar um advogado e utilizar plataformas de proteção de marca são passos essenciais para proteger a reputação da marca e a integridade do mercado.

Uso da inteligência artificial e os impactos nas eleições de 2024. Você, candidato, está preparado?

O Tribunal Superior Eleitoral (TSE) aprovou novas regras para as eleições de 2024, incluindo regulamentações sobre o uso de Inteligência Artificial (IA). Candidatos devem estar preparados para usar a IA de maneira eficiente, seguindo as regras estabelecidas. A IA tem sido uma tendência global há décadas e sua regulamentação visa garantir a integridade do processo eleitoral, especialmente diante da disseminação de desinformação. O TSE proíbe o uso de chatbots para simular conversas com candidatos, deepfakes e exige que conteúdos gerados por IA sejam rotulados. As plataformas de mídia social também estão sujeitas a novas regras para promover transparência e combater a desinformação.

Quais as principais cláusulas em um Contrato de Licenciamento de Software?

Os contratos de licenciamento de software estabelecem as responsabilidades entre as partes envolvidas na utilização de um software, incluindo o direito de uso e serviços adicionais como suporte técnico e atualizações. Este artigo explora cláusulas essenciais desses contratos, como objeto, propriedade intelectual, suporte técnico, nível de disponibilidade, limitação de responsabilidade e isenção em casos de ataques hackers. Essas cláusulas são fundamentais para garantir uma negociação transparente, resolver disputas e proteger os interesses das partes envolvidas.

Vesting vs. Stock Option: Definições e Diferenças que você precisa conhecer

Descubra as definições e diferenças cruciais entre Vesting e Stock Option no contexto empresarial e de tecnologia. Este artigo explora os requisitos, aplicabilidade e implicações legais de cada método de incentivo de remuneração, ajudando você a decidir o melhor para sua empresa

Contratação de Software e Serviços em Nuvem para Órgãos Públicos: O que mudou e como se preparar

Uma nova portaria estabelece um modelo obrigatório de contratação de software e serviços em nuvem para órgãos do Poder Executivo Federal, visando garantir segurança da informação e proteção de dados. A partir de abril de 2024, os órgãos públicos deverão adotar esse modelo, que inclui critérios de avaliação, formas de remuneração e níveis de serviço. Fabricantes de tecnologia devem atender a requisitos como segurança de dados, flexibilidade de pagamento e indicadores de serviço.

Entre em contato

Nossa equipe de advogados altamente qualificados está pronta para ajudar. Seja para questões de Direito Digital, Empresarial ou Proteção de Dados estamos aqui para orientá-lo e proteger seus direitos. Entre em contato conosco agora mesmo!

Inscreva-se para nossa NewsLetter

Assine nossa Newsletter gratuitamente. Integre nossa lista de e-mails.