Obra procura sanar algumas das principais dúvidas que têm sido apresentadas à Autoridade ao longo dos seus primeiros meses de existência
Maria Carla Musumeci e Danilo Weiller Roque (*)
A Autoridade Nacional de Proteção de Dados (ANPD) publicou, sexta-feira (28/05), o “Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado”. O Guia busca estabelecer diretrizes não-vinculantes sobre a classificação e as funções dos controladores, dos operadores e do encarregado de dados pessoais, sanando algumas das principais dúvidas que têm sido apresentadas à ANPD ao longo dos primeiros meses de existência da Autoridade sobre os temas.
Esse é o primeiro Guia elaborado pela ANPD com base em suas atribuições institucionais de regulamentar a Lei Geral de Proteção de Dados Pessoais (LGPD) e zelar pelos dados pessoais.
Além de explicar quem pode exercer a função de controlador, operador e encarregado e definir diretrizes aos agentes de tratamento, o Guia apresenta também as definições legais, regimes de responsabilidade e casos concretos que exemplificam as explicações da ANPD.
Entre os temas tratados temos alguns entendimentos relevantes que poderão ser aplicados nas relações entre controladores e operadores, baseados na experiência europeia com a General Data Protection Regulation (GDPR), lei que inspirou a LGPD.
Um dos temas abordados no Guia, por exemplo, é a distinção entre as obrigações e responsabilidade dos controladores e operadores. A ANPD reforça o entendimento de que a responsabilidade solidária estabelecida no inciso I, § 1º do art. 42 da LGPD, prevista para os casos de danos causados em razão do tratamento irregular realizado por operador, por descumprimento às obrigações da legislação ou pela não observância das instruções do controlador, pode ser considerada como uma excepcionalidade, já que em regra a responsabilidade será do controlador.
Outro ponto esclarecido é que empregados ou indivíduos subordinados a uma organização não poderão ser considerados como operadores, já que atuam sob o poder diretivo do agente de tratamento. Nesse sentido, o operador será sempre uma entidade distinta do controlador.
O Guia ainda esclarece que, apesar de a LGPD não definir o conceito de controle conjunto, é possível essa estrutura no cenário da LGPD, sendo a identificação do controle conjunto realizada no caso concreto. Para essa conclusão, a ANPD buscou a definição de controladoria conjunta prevista na GDPR. A definição das funções dos controladores conjuntos é importante pois implica consequências no que diz respeito às funções dos agentes de tratamento.
Definição de suboperador
Outra importante definição é a de suboperador que, apesar de não ter seu conceito previsto na LGPD, é aquele contratado pelo operador para auxiliá-lo a realizar o tratamento de dados pessoais em nome do controlador. Isso porque, conforme explica a ANPD, a falta do conceito de suboperador na LGPD não impossibilita ou torna ilegal que ele exista ou que tenha funções, competências e responsabilidade no ambiente de proteção de dados pessoais brasileiro. A relação do suboperador é com o operador, sendo recomendável que o operador obtenha autorização formal (genérica ou específica) do controlador, por exemplo, no próprio contrato firmado entre as partes.
Vale ressaltar, ainda, que o Guia está sujeito a comentários e contribuições pela sociedade civil, que poderão ser enviadas à ANPD pelo e-mail normatizacao@anpd.gov.br.
Por fim, a ANPD destaca que o Guia será atualizado à medida que novas regulamentações e entendimentos forem publicados e estabelecidos pela ANPD e não substitui futuras regulamentações sobre os temas elencados.
(*) Sócios do escritório FAS Advogados