Co-Controladores: Os “responsáveis conjuntos” pelo tratamento de dados pessoais

Não raras vezes, os agentes de trata­men­to podem fig­u­rar simul­tane­a­mente como con­tro­lador e oper­ador na mes­ma operação.

Nes­tas situ­ações é per­feita­mente pos­sív­el que exis­tam múlti­p­los con­tro­ladores sob os mes­mos dados pes­soais, o que chamare­mos de “co-con­tro­ladores”.

Impor­tante ressaltar que a LGPD não define a figu­ra deste “agente”, muito menos elen­ca tal hipótese. Tra­ta-se de um entendi­men­to inter­no fir­ma­do com base na Gen­er­al Data Pro­tec­tion Reg­u­la­tion (GDPR) para solução de situ­ações práti­cas e urgentes até que a Autori­dade Nacional de Pro­teção de Dados (ANPD) emi­ta pare­cer ou doc­u­men­to ofi­cial a respeito do tema.

O arti­go 26 da GDPR dispõe:

Arti­go 26.o

Respon­sáveis con­jun­tos pelo tratamento

1.   Quan­do dois ou mais respon­sáveis pelo trata­men­to deter­minem con­jun­ta­mente as final­i­dades e os meios desse trata­men­to, ambos são respon­sáveis con­jun­tos pelo trata­men­to. Estes deter­mi­nam, por acor­do entre si e de modo trans­par­ente as respec­ti­vas respon­s­abil­i­dades pelo cumpri­men­to do pre­sente reg­u­la­men­to, nomeada­mente no que diz respeito ao exer­cí­cio dos dire­itos do tit­u­lar dos dados e aos respetivos deveres de fornecer as infor­mações referi­das nos arti­gos 13.o e 14.o, a menos e na medi­da em que as suas respon­s­abil­i­dades respeti­vas sejam deter­mi­nadas pelo dire­ito da União ou do Esta­do-Mem­bro a que se este­jam sujeitos. O acor­do pode des­ig­nar um pon­to de con­tac­to para os tit­u­lares dos dados.
2.   O acor­do a que se ref­ere o n.o 1 reflete dev­i­da­mente as funções e relações respec­ti­vas dos respon­sáveis con­jun­tos pelo trata­men­to em relação aos tit­u­lares dos dados. A essên­cia do acor­do é disponi­bi­liza­da ao tit­u­lar dos dados.
3.   Inde­pen­den­te­mente dos ter­mos do acor­do a que se ref­ere o n.o 1, o tit­u­lar dos dados pode exercer os dire­itos que lhe con­fere o pre­sente reg­u­la­men­to em relação a cada um dos respon­sáveis pelo trata­men­to.

Note que o con­t­role com­par­til­ha­do dos dados não afe­ta nem prej­u­di­ca o dire­ito do Tit­u­lares, ao con­trário, a GDPR, além de deixar evi­dente a respon­s­abil­i­dade solidária entre eles, indi­ca que todos poderão ser aciona­dos e aces­sa­dos. Ou seja, o tit­u­lar que nor­mal­mente con­taria com a atenção e respos­ta de ape­nas um pon­to de con­ta­to, ago­ra pas­sa a ter vários.

Assim, temos que a pre­visão legal inseri­da na GDPR, além de ser clara­mente bené­fi­ca ao tit­u­lar, esclarece e reg­u­la­men­ta diver­sas situ­ações cotid­i­anas, como, por exem­p­lo a com­pra de pas­sagem aérea e pacote turís­ti­co por um web­site, que ficará respon­sáv­el tam­bém pelo trans­porte e aco­modação. Neste mod­e­lo, muitas vezes, emb­o­ra haja a indi­vid­u­al­iza­ção dos vários proces­sos que tratarão dados pes­soais (trans­porte, aco­modação e pas­seios), pode ser impos­sív­el deter­mi­nar quem é de fato o úni­co con­tro­lador ou o oper­ador daque­le trata­men­to, pela própria natureza sim­bióti­ca for­ma­da (e dese­ja­da) entre os sistemas. 

Em out­ras palavras, em deter­mi­nadas situ­ações é impos­sív­el ao tit­u­lar definir se o preenchi­men­to de deter­mi­na­do for­mulário está sendo, de fato, real­iza­do na platafor­ma que aparenta ser con­tro­la­da pelo web­site vis­i­ta­do (e não dire­ta­mente nos par­ceiros — cias aéreas, hotéis e etc.)

E a omis­são da LGPD em rela­cionar tal situ­ação, por sua vez, muitas vezes faz com que tal fato passe des­perce­bido nos con­tratos que regem a relação entre o web­site e seus par­ceiros, vin­do a tona somente nos momen­tos tor­tu­osos como inci­dentes ou recla­mação dos titulares.

Por este moti­vo se faz alta­mente necessário que a ANPD emi­ta dire­trizes e/ou pre­mis­sas para reg­u­la­men­tação dessas hipóte­ses que exis­tem e não são raras. A mul­ti­pli­ci­dade de con­tro­ladores é fre­quente e, num mun­do alta­mente glob­al­iza­do e conec­ta­do, tende a ser ain­da mais recorrente.

Enquan­to não encon­tramos cam­in­hos genuínos e seguros, nós do Assis e Mendes Advo­ga­dos, con­tin­uare­mos uti­lizan­do as fer­ra­men­tas e práti­cas descritas no cenário inter­na­cional com o intu­ito de suprir as lacu­nas exis­tentes, sem­pre em bus­ca da mel­hor solução para nos­sos clientes.

Caso ten­ha dúvi­das quan­to a posição da sua empre­sa no trata­men­to de dados pes­soais, entre em con­ta­to com nos­sos advo­ga­dos espe­cial­is­tas em Dire­ito Dig­i­tal, Pri­vaci­dade e Pro­teção de Dados Pes­soais, pelo site www.assisemendes.com.br.

BIANCA PINHEIRO é advo­ga­da na área de Dire­ito Dig­i­tal e Pro­teção de Dados no Assis e Mendes Advo­ga­dos. Espe­cial­ista em Dire­ito Públi­co e Lei Ger­al de Pro­teção de Dados. Pós-grad­uan­da em Gov­er­nança de Tec­nolo­gia da Infor­mação pela Uni­camp. Cer­ti­fi­cações: DPO (Data Pro­tec­tion Offi­cer) – LGPD pela Assespro/RS; PDPE (Pri­va­cy and Data Pro­tec­tion Essen­tials) e PDPF (Pri­va­cy and Data Pro­tec­tion Foun­da­tion) – EXIN.