Fale com um especialista +55 11 3141 9009

  • Seguir
  • Seguir
  • Seguir
  • Seguir
  • Seguir
  • Quem Somos
  • LGPD
  • Áreas de Atuação
  • Equipe
  • Imprensa
  • Opinião Jurídica
  • Contato

Consultoria jurídica

Conte conosco para adequação à LGPD

U

Sobre a LGPD

O que é e para quem vale



Materiais Exclusivos

E-books com muita informação sobre LGPD

Preciso de uma consultoria 



Dados Cast

Dados Cast: O podcast do Assis e Mendes

LGPD

Informações sobre Lei Geral de Proteção de Dados


DIREITO DIGITAL

Informações sobre Direito Digital


DIREITO EMPRESARIAL

Informações sobre Direito Empresarial

E-BOOKS PARA DOWNLOAD

b

2021

b

2020

b

2019



Anos anteriores

Fale com o Assis e Mendes

DIVULGADO O GUIA ORIENTATIVO PARA DEFINIÇÕES DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS E DO ENCARREGADO PELA ANPD

Colunistas, LGPD

A Autori­dade Nacional de Pro­teção de Dados (ANPD) pub­li­cou no dia 28 de maio de 2021  o Guia Ori­en­ta­ti­vo para Definições dos Agentes de Trata­men­to de Dados Pes­soais e do Encar­rega­do, que  bus­ca esta­b­ele­cer dire­trizes não-vin­cu­lantes aos agentes de trata­men­to e explicar quem pode exercer a função do con­tro­lador, do oper­ador e do encar­rega­do; as definições legais; os respec­tivos regimes de respon­s­abil­i­dade; casos con­cre­tos que exem­pli­fi­cam as expli­cações da ANPD e as per­gun­tas fre­quentes sobre o assunto.

 

O guia é primeiro do tipo pub­li­ca­do pela Autori­dade e foi estru­tu­ra­do em sete capí­tu­los: 1) Agentes de trata­men­to 2) Con­tro­lador 3) Con­tro­lado­ria con­jun­ta e con­tro­lado­ria sin­gu­lar 4) Oper­ador 5) Sub Oper­ador 6) Encar­rega­do 7) Con­sid­er­ações finais.

 

No capí­tu­lo 1, o agente de trata­men­to é definido para cada oper­ação de trata­men­to de dados pes­soais, por­tan­to, a mes­ma orga­ni­za­ção poderá ser con­tro­lado­ra e oper­ado­ra, de acor­do com sua atu­ação em difer­entes oper­ações de trata­men­to. Serão con­tro­lado­ras quan­do atu­arem de acor­do com os próprios inter­ess­es, com poder de decisão sobre as final­i­dades e os ele­men­tos essen­ci­ais de trata­men­to. Serão oper­ado­ras quan­do atu­arem de acor­do com os inter­ess­es do con­tro­lador, sendo-lhes fac­ul­ta­da ape­nas a definição de ele­men­tos não essen­ci­ais à final­i­dade do tratamento.

 

No capí­tu­lo 2, além da definição legal esta­b­ele­ci­do no art. 5º, VI, da LGPD, esta­b­elece como con­ceito que o “Con­tro­lador é o agente respon­sáv­el por tomar as prin­ci­pais decisões ref­er­entes ao trata­men­to de dados pes­soais e por definir a final­i­dade deste trata­men­to. Entre essas decisões, incluem-se as instruções forneci­das a oper­adores con­trata­dos para a real­iza­ção de um deter­mi­na­do trata­men­to de dados pessoais”.

 

Esse con­ceito é rel­e­vante, pois a LGPD atribui obri­gações especí­fi­cas ao Con­tro­lador, bem como, em regra, os dire­itos dos tit­u­lares são exer­ci­dos em face dele. 

 

Todavia, iden­ti­fi­ca-se uma con­tradição no Guia, na medi­da em que afir­ma que “o papel de con­tro­lador pode decor­rer expres­sa­mente de obri­gações estip­u­ladas em instru­men­tos legais e reg­u­la­mentares ou em con­tra­to fir­ma­do entre as partes” e, em segui­da, ressalta a importân­cia de anal­is­ar-se a situ­ação fáti­ca, com relação às prin­ci­pais decisões rel­a­ti­vas ao tratamento.

 

No capí­tu­lo 3,  traz as definições quan­do uma mes­ma oper­ação de trata­men­to de dados pes­soais envolver mais de um con­tro­lador. Os con­ceitos são basea­d­os  no reg­u­la­men­to europeu, uma vez que a LGPD não traz ess­es conceitos:

 

  • Con­tro­lador con­jun­to quan­do dois ou mais respon­sáveis pelo trata­men­to deter­mi­nam con­jun­ta­mente as final­i­dades e os meios desse trata­men­to, ambos são respon­sáveis con­jun­tos pelo trata­men­to, pois deter­mi­nam por acor­do mútuo as respec­ti­vas respon­s­abil­i­dades. Como exem­p­lo, apre­sen­ta o caso de duas empre­sas, que dese­jam orga­ni­zar um even­to, e  con­jun­ta­mente com­par­til­ham dados de seus clientes, e ban­co de dados de clientes poten­ci­ais, com o obje­ti­vo de pro­mover um pro­du­to de mar­ca comum. Ambas  con­cor­dam com as modal­i­dades de envio de con­vites para o even­to, definição de estraté­gias de mar­ket­ing e cole­ta de feed­back. Nesse caso, são dois agentes de trata­men­to (con­tro­ladores) que tomam decisões con­jun­ta­mente sobre deter­mi­na­do trata­men­to de dados, com a mes­ma final­i­dade, con­fig­u­ran­do como con­tro­ladores conjuntos.

 

  • Con­tro­lado­ria con­jun­ta é “a deter­mi­nação con­jun­ta, comum ou con­ver­gente, por dois ou mais con­tro­ladores, das final­i­dades e dos ele­men­tos essen­ci­ais para a real­iza­ção do trata­men­to de dados pes­soais, por meio de acor­do que esta­beleça as respec­ti­vas respon­s­abil­i­dades quan­to ao cumpri­men­to da LGPD”. Aqui apre­sen­ta-se três critérios para ver­i­fi­cação desse tipo de con­tro­lado­ria: a) mais de um con­tro­lador com poder de decisão sobre o trata­men­to de dados pes­soais; b) inter­esse mútuo de dois ou mais con­tro­ladores, com base em final­i­dades próprias; c) dois ou mais con­tro­ladores tomam decisões comuns ou con­ver­gentes sobre as final­i­dades e ele­men­tos essen­ci­ais ao tratamento.

 

  • Con­tro­lador sin­gu­lar quan­do as decisões ref­er­entes ao mes­mo trata­men­to com­petem tam­bém a outro(s)  controlador(es),  de for­ma inde­pen­dente, ou seja, sem final­i­dades comuns, con­ver­gentes ou com­ple­mentares. Para exem­pli­ficar essa modal­i­dade, traz como exem­p­lo, a con­tinuidade de trata­men­to pelas mes­mas empre­sas que ini­cial­mente atu­avam como con­tro­lado­ras con­jun­tas, na mes­ma base de dados que havi­am com­par­til­ha­do ini­cial­mente, mas o novo trata­men­to com final­i­dades próprias e indi­vid­u­ais. Assim, con­tin­uaram como con­tro­ladores, con­tu­do, pas­san­do a atu­ar como con­tro­ladores singulares.

 

No capí­tu­lo 4, con­ceitua o oper­ador como o agente respon­sáv­el por realizar o trata­men­to de dados em nome do con­tro­lador e con­forme a final­i­dade por este delim­i­ta­da. Por essa definição, delimi­ta a prin­ci­pal difer­ença entre o con­tro­lador e oper­ador, qual seja, o poder de decisão: o oper­ador só pode agir no lim­ite das final­i­dades deter­mi­nadas pelo controlador.

 

Segun­do o Guia Ori­en­ta­ti­vo, ain­da que  “a LGPD não deter­mine expres­sa­mente que o con­tro­lador e o oper­ador devam fir­mar um con­tra­to sobre o trata­men­to de dados, tal ajuste se mostra como uma boa práti­ca de trata­men­to de dados, uma vez que as cláusu­las con­trat­u­ais impõem lim­ites à atu­ação do oper­ador, fix­am parâmet­ros obje­tivos para a alo­cação de respon­s­abil­i­dades entre as partes e reduzem os riscos e as incertezas decor­rentes da operação.”

 

No capí­tu­lo 5, como parâmetro de análise para com­preen­são de cadeias mais com­plexas de trata­men­to de dados, traz o con­ceito de sub­op­er­ador: “é aque­le con­trata­do pelo oper­ador para aux­il­iá-lo a realizar o trata­men­to de dados pes­soais em nome do controlador.”

 

Há uma con­tradição sig­ni­fica­ti­va no Guia, pois ao mes­mo tem­po que a ANPD infor­ma que o “guia ori­en­ta­ti­vo bus­ca esta­b­ele­cer dire­trizes não-vin­cu­lantes”,  apre­sen­ta várias “recomen­dações”, entre elas para que o oper­ador, ao con­tratar o sub­op­er­ador, “obten­ha autor­iza­ção for­mal (genéri­ca ou especí­fi­ca) do con­tro­lador, a qual pode inclu­sive con­star do próprio con­tra­to fir­ma­do entre as partes”, com o obje­ti­vo de evi­tar que se enten­da que, ao con­tratar o sub­op­er­ador, o oper­ador ten­ha exe­cu­ta­do o trata­men­to de dados des­cumprindo ori­en­tações do con­tro­lador, o que pode­ria atrair para o oper­ador respon­s­abil­i­dades que nor­mal­mente são exclu­si­vas do controlador.

 

Assim, fica o ques­tion­a­men­to se as orga­ni­za­ções devem seguir as recomen­dações ou ape­nas tê-las como base, uma vez que não têm efeito vinculante.

 

No capí­tu­lo 6, traz a definição do encar­rega­do como o “indi­ví­duo respon­sáv­el por garan­tir a con­formi­dade de uma orga­ni­za­ção, públi­ca ou pri­va­da, à LGPD”. Por enquan­to, não há reg­u­la­men­tação sobre em que cir­cun­stân­cias uma orga­ni­za­ção deve indicar um encar­rega­do. Assim, deve-se assumir, como regra, que toda orga­ni­za­ção dev­erá indicar uma pes­soa para assumir esse papel.

 

Con­tu­do, nos ter­mos do § 3º do art. 41 da LPGD, nor­ma­ti­vas futuras da ANPD poderão traz­er hipóte­ses de dis­pen­sa da neces­si­dade de indi­cação do encar­rega­do, con­forme a natureza e o porte da enti­dade ou o vol­ume de oper­ações de trata­men­to de dados.

 

Com relação às qual­i­fi­cações profis­sion­ais do Encar­rega­do, estas devem ser definidas medi­ante um juí­zo de val­or real­iza­do pelo con­tro­lador que o indi­ca, con­sideran­do con­hec­i­men­tos de pro­teção de dados e segu­rança da infor­mação em nív­el que aten­da às neces­si­dades da oper­ação da organização.

 

Por fim, no capí­tu­lo 7, nas suas con­sid­er­ações finais a ANPD afir­ma que o: “guia ori­en­ta­ti­vo foi con­struí­do com o obje­ti­vo de traz­er maior segu­rança aos tit­u­lares de dados e agentes de trata­men­to, sanan­do algu­mas das prin­ci­pais dúvi­das que têm sido apre­sen­tadas à ANPD quan­to aos papéis dos agentes de trata­men­tos e do encarregado”.

 

A man­i­fes­tação da Autori­dade através do Guia Ori­en­ta­ti­vo é impor­tante para sanar dúvi­das sobre o tema, todavia, o fato de não esta­b­ele­cer efeito vin­cu­lante às suas próprias definições pode ger­ar ain­da mais dúvi­das e incertezas, pois a LGPD deixou espaços para inter­pre­tações e reg­u­la­men­tação a serem expe­di­das pela ANPD, e a ela incumbe o dev­er de zelar pelos dados pes­soais, bem como reg­u­la­men­tar a Lei e o seu enforce­ment, além de traz­er um dire­ciona­men­to para as organizações.

 

Para saber mais sobre este e out­ros temas rela­ciona­dos à Lei Ger­al de Pro­teção de Dados, a equipe do Assis e Mendes pos­sui espe­cial­is­tas pron­tos para aten­der as neces­si­dades de sua empre­sa. Entre em con­ta­to conosco pelo site www.assisemendes.com.br.

 

KELLY TAKAHASHI NOVAES é advo­ga­da da equipe de Dire­ito Dig­i­tal do Assis e Mendes Sociedade de Advogados. 

 

Categorias

  • Bots
  • Colunistas
  • Compliance
  • Coronavirus
  • Cyberbullying
  • Direito de família
  • Direito digital
  • Direito Empresarial
  • Direito Imobiliário
  • Direito tributário
  • Imprensa
  • Lei da Liberdade Econômica
  • LGPD
  • Não categorizado
  • Privacidade
  • Segurança da Informação
  • Sem categoria
  • Stalking
  • Tecnologia
  • Trabalhista

Inscreva-se para nossa NewsLetter

Tags

ANPD aplicação LGPD assessoria jurídica cibercrime CLT contrato contrato de trabalho contratos contrato societário crimes virtuais direito a privacidade direito digital Direito Empresarial direito trabalhista direito tributário e-commerce empreendedor empreendedorismo empresas featured GDPR impostos internet investimento lei de proteção de dados Lei Geral de Proteção de Dados lei LGPD LGPD loja virtual privacidade privacidade na internet privacidade online proteção de dados redes sociais regime tributário segurança segurança da informação segurança digital segurança jurídica site sociedade startup startups tecnologia vazamento de dados

O escritório

  • Quem Somos
  • Advogados
  • Premiações e reconhecimento
  • Áreas de Atuação

Informações Legais

  • Política de Privacidade
  • Termos de Uso
  • Trabalhe conosco
  • Imprensa
  • Contato

Fale com um especialista

11 3141 9009
Alameda Santos, 1165
Paulista - CEP 01419-001 - SP

Redes Sociais

  • Seguir
  • Seguir
  • Seguir
  • Seguir
  • Seguir

© Assis e Mendes Advogados - Direito Digital, Empresarial e Proteção de Dados - 2020