A Autoridade Nacional de Proteção de Dados (ANPD) lançou um Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado, em 27 de maio de 2021.

O guia inicia esclarecendo que são agentes de tratamento o controlador e o operador de dados pessoais, os quais

podem ser pessoas naturais ou jurídicas, de direito público ou privado. O guia também esclarece que indivíduos subordinados, incluindo administradores, não podem ser controladores ou operadores, já que atuam sob o poder diretivo do agente de tratamento. Sócios e servidores públicos estão incluídos nesse impedimento.

Um ponto interessante salientado pelo código é que uma pessoa jurídica que seja controladora para um determinado tratamento de dados pode ser operadora para outro tratamento de dados, de acordo com a sua atuação.

O controlador é o agente responsável por tomar as principais decisões referentes ao tratamento de dados pessoais e por definir a finalidade deste tratamento. Em regra, será uma pessoa jurídica. São salientadas as seguintes obrigações específicas do controlador:

‍

1. Elaborar relatório de impacto à proteção de dados pessoais

2. Comprovar que o consentimento obtido do titular atende às exigências legais

3. Comunicar à ANPD a ocorrência de incidentes de segurança

4. Fornecer informações relativas ao tratamento

5. Assegurar a correção e a eliminação de dados pessoais

6. Receber requerimento de oposição a tratamento

‍

Já com respeito ao serviço público, a situação é sui generis, já que o controlador é uma pessoa jurídica de direito público, tal como União, Estados, Municípios ou Distrito Federal, focando na Administração Pública Direta, mas a LGPD atribuiu aos órgãos públicos despersonalizados obrigações típicas de controlador.

Dessa forma, nas operações de tratamento de dados pessoais conduzidas por órgãos públicos despersonalizados. a pessoa jurídica de direito público a que os órgãos sejam vinculados é a controladora dos dados pessoais e, portanto, responsável pelo cumprimento da LGPD. E, com respeito à Administração Pública Indireta, é seguido o regramento de pessoa jurídica estabelecido pela LGPD.

O controlador poderá ser, entretanto, uma pessoa natural (indivíduo) caso seja responsável pelas principais decisões referentes a tratamento de dados, como empresários individuais, autônomos etc.

O que diferencia o controlador do operador é que aquele tem o poder de decisão sobre o tratamento de dados. Desse modo, deve ser atribuições do controlador estabelecer:

‍

1. A finalidade do tratamento

2. A natureza dos dados pessoais tratados

3. A duração do tratamento

‍

O guia recorre também ao Art. 26 da lei de proteção de dados europeia (GDPR) para definir a controladoria conjunta – quando há a presença de dois ou mais controladores em um mesmo tratamento, tomando decisões comuns (duas ou mais entidades possuem uma intenção comum sobre as finalidades e meios de tratamento e tomam decisões em conjunto) ou convergentes (as decisões se complementam de tal forma que o tratamento não seria possível sem a participação de ambos os controladores).

Quando dois ou mais responsáveis pelo tratamento determinam conjuntamente as finalidades e os meios desse tratamento, ambos são responsáveis conjuntos pelo tratamento. Estes determinam, por acordo entre si e de modo transparente, as respectivas responsabilidades pelo cumprimento do presente regulamento, nomeadamente no que diz respeito ao exercício dos direitos do titular dos dados e aos respetivos deveres de fornecer as informações referidas nos artigos 13º e 14º, a menos e na medida em que as suas responsabilidades respectivas sejam determinadas pelo direito da União ou do Estado-Membro a que se estejam sujeitos. O acordo pode designar um ponto de contato para os titulares dos dados.

Porém, o guia deixa claro que não haverá controladoria conjunta se os objetivos do tratamento forem distintos. Se estas finalidades não forem comuns, convergentes ou complementares, ambos serão controladores singulares em relação ao tratamento de dados.

Já o operador, que na maior parte das vezes é uma pessoa jurídica, é o agente responsável por realizar o tratamento de dados em nome do controlador e conforme a finalidade por este delimitada, ou seja, o operador só pode agir no limite das finalidades determinadas pelo controlador.

O guia destaca as principais obrigações do operador:

É também recomendado um contrato entre o controlador e o operador regulando os seguintes itens: (i) o objeto, (ii) a duração, (iii) a natureza e (iv) a finalidade do tratamento dos dados, os tipos de dados pessoais envolvidos e os direitos e obrigações e responsabilidades relacionados ao cumprimento da LGPD.

A única hipótese que iguala o operador ao controlador é com respeito à responsabilidade solidária, estabelecida no inciso I do Art. 42 da LGPD, quando ocorre danos causados em decorrência de tratamento irregular realizado pelo operador, ao descumprir a legislação ou ao não observar as instruções do controlador.

A seguir, o guia infere a figura do suboperador – que, apesar de não estar explícito na lei, pode ser encontrado em cadeias mais complexas de tratamento de dados – cuja responsabilidade a ANPD considera solidária com o operador e controlador, nos termos do dispositivo legal acima citado. Suboperador, portanto, é aquele contratado pelo operador para auxiliá-lo a realizar o tratamento de dados pessoais em nome do controlador. É recomendado que o operador solicite autorização formal do controlador para contratar um suboperador.

Finalmente, o guia traz a figura do encarregado, que pode ser uma pessoa natural ou jurídica, funcionário da organização ou agente externo, definindo-o como o indivíduo responsável por garantir a conformidade de uma organização, pública ou privada, à LGPD. Como regra geral, toda organização deverá indicar uma pessoa para assumir o papel de encarregado. Entretanto, normativas futuras da ANPD poderão trazer hipóteses de dispensa da necessidade de indicação do encarregado, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

O guia elenca as principais obrigações do encarregado:

‍

1. Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências

2. Receber comunicações da autoridade nacional e adotar providências

3. Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais

4. Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

‍