ANPD Guia Orientativo sobre Agentes de Tratamento e Encarregado

Views: 566

ANPD Guia Orientativo sobre Agentes de Tratamento e Encarregado. Documento visa sanar algumas das principais dúvidas sobre o assunto.

ANPD publicou nesta sexta-feira, dia 28/05, o “Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado”. O documento, primeiro do tipo publicado pela Autoridade, busca estabelecer diretrizes não-vinculantes aos agentes de tratamento e explicar quem pode exercer a função do controlador, do operador e do encarregado; as definições legais; os respectivos regimes de responsabilidade; casos concretos que exemplificam as explicações da ANPD e as perguntas frequentes sobre o assunto.

Segundo o site da ANPD, destaca-se que a atual versão é a primeira edição do guia, que está sujeita a comentários e contribuições pela sociedade civil. A ANPD diz ainda que contribuições podem ser enviadas para o e-mail normatizacao@anpd.gov.br. O recebimento de sugestões de aprimoramento do guia é contínuo e o presente guia será atualizado à medida que novas regulamentações e entendimentos forem publicados e estabelecidos pela ANPD.

Para Waldemar Gonçalves Ortunho Junior, Presidente da ANPD, a publicação do guia é um importante passo para função orientativa da ANPD: “A elaboração do guia demonstra a preocupação da ANPD com os questionamentos que têm sido feitos pelos agentes de tratamento e pelos titulares de dados. O documento traz segurança jurídica e sana algumas das principais dúvidas que surgiram ao longo dos primeiros meses de existência da Autoridade”.

Principais pontos do Guia

No intuito de contribuir com nossos leitores, os consultores da MindSec, empresa patrocinadora e mantenedora do blog Minuto da Segurança, traz aos leitores os principais pontos observados nas várias discussões dos projetos de LGPD que participam. Para facilitar seguimos agrupamento de temas similar ao apresentado no guia da ANPD.

Agentes de tratamento de dados

São agentes de tratamento o controlador e o operador de dados pessoais , os quais podem ser pessoas naturais ou jurídicas, de direito público ou privado. Ressalta-se que os agentes de tratamento devem ser definidos a partir de seu caráter institucional. Não são considerados controladores (autônomos ou conjuntos) ou operadores os indivíduos subordinados, tais como os funcionários, os servidores públicos ou as equipes de trabalho de uma organização, já que atuam sob o poder diretivo do agente de tratamento.

No contexto de uma pessoa jurídica, a organização é o agente de tratamento para os fins da LGPD, já que é esta que estabelece as regras para o tratamento de dados pessoais, a serem executadas por seus representantes ou prepostos. Mas, além disso, o agente de tratamento é definido para cada operação de tratamento de dados pessoais, portanto, a mesma organização poderá ser controladora e operadora, de
acordo com sua atuação em diferentes operações de tratamento.

…pessoas naturais podem ser consideradas controladoras ou operadoras de dados pessoais. Serão controladoras quando atuarem de acordo com os próprios interesses, com poder de decisão sobre as finalidades e os elementos essenciais de tratamento. Serão operadoras quando atuarem de acordo com os interesses do controlador, sendo-lhes facultada apenas a definição de elementos não essenciais à finalidade do tratamento. O operador deve ser uma entidade distinta do controlador , isto é, que não atua como profissional subordinado a este ou como membro de seus órgãos. Por outro lado, os funcionários atuarão em subordinação às decisões do controlador, não
se confundindo, portanto, com os operadores de dados pessoais.

Funcionário do agente de tratamento: atua com subordinação (em representação do agente)
X
Operador: atua de acordo com os interesses e finalidades definidos pelo controlador

Controlador

O controlador é o agente responsável por tomar as principais decisões referentes ao tratamento de dados pessoais e por definir a finalidade deste tratamento. Entre essas decisões, incluem-se as instruções fornecidas a operadores contratados para a realização de um
determinado tratamento de dados pessoais. 

Art 5º VI da LGPD: Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais

.. a LGPD atribui obrigações específicas ao controlador, como a de elaborar relatório de impacto à proteção de dados pessoais (art. 387), a de comprovar que o consentimento obtido do titular atende às exigências legais (art. 8º, § 2º8) e a de comunicar à ANPD a ocorrência de incidentes de segurança (art. 48). Além disso, a atribuição de responsabilidades em relação à reparação por danos decorrentes de atos ilícitos é distinta de acordo com a qualificação do agente de tratamento, isto é, se controlador ou operador, conforme o disposto nos arts. 42 a 45.

…Vale mencionar ainda que os direitos dos titulares (art. 18) são, em regra, exercidos em face do controlador, a quem compete, entre outras providências, fornecer informações relativas ao tratamento, assegurar a correção e a eliminação de dados pessoais, receber requerimento de oposição a tratamento.

…Na maioria das vezes, o controlador será uma pessoa jurídica, seja de direito privado ou de direito público. É o que ocorre, por exemplo, quando sociedades empresárias ou entidades públicas tomam as principais decisões a respeito do armazenamento, da eliminação ou do compartilhamento de informações que integram um banco de dados pessoais que é gerido no âmbito da organização

..Daí decorre que não são controladoras as pessoas naturais que atuam como profissionais subordinados a uma pessoa jurídica ou como membros de seus órgãos. É o caso de empregados, administradores, sócios, servidores e outras pessoas naturais que integram a pessoa jurídica e cujos atos expressam a atuação desta. Nesse sentido, a definição legal de controlador não deve ser entendida como uma norma de distribuição interna de competências e responsabilidades. De forma diversa, trata-se de comando legal que atribui obrigações específicas à pessoa jurídica, de modo que esta assume a responsabilidade pelos atos praticados por seus agentes e prepostos em face dos titulares e da ANPD

Uma pessoa natural poderá ser controladora nas situações em que é a responsável pelas principais decisões referentes ao tratamento de dados pessoais. Nessa hipótese, a pessoa natural age de forma independente e em nome próprio – e não de forma subordinada a uma pessoa jurídica ou como membro de um órgão desta. É o que ocorre, por exemplo, com os empresários individuais, os profissionais liberais
(como advogados, contadores e médicos) e os responsáveis pelas serventias extrajudiciais.

... De acordo com o disposto na LGPD, o controlador é o responsável por tomar as “decisões referentes ao tratamento de dados pessoais” (art. 5º, VI).

Extrai-se dessa disposição legal que o tratamento não precisa ser realizado diretamente pelo controlador. Muito embora o controlador também trate dados pessoais, o elemento distintivo é o poder de decisão, admitindo-se que o controlador forneça instruções para que um terceiro (“operador”) realize o tratamento em seu nome (art. 5º, VII; art. 39).

O segundo ponto relevante é a desnecessidade de que todas as decisões sejam tomadas pelo controlador, bastando apenas que este mantenha sob sua influência e controle as principais decisões, isto é, aquelas relativas aos elementos essenciais para o cumprimento da finalidade do tratamento. De fato, especialmente quando há a contratação de um operador, é usual e legítimo que parte das decisões a respeito do tratamento, limitadas aos seus elementos não essenciais, fique sob a alçada do operador. A título de exemplo, podem ser mencionados a escolha dos softwares e equipamentos que serão utilizados e o detalhamento de medidas de prevenção e segurança.

…O terceiro ponto a ser considerado diz respeito à definição dos elementos decisórios que se caracterizam como “principais” ou “essenciais” e que, por isso, devem permanecer sob o domínio do controlador. Dentre esses elementos decisórios principais, destaca-se a definição da finalidade do tratamento.

Controladoria Conjunta e Controladori Singular

A depender do contexto, uma mesma operação de tratamento de dados pessoais pode envolver mais de um controlador. Conforme a LGPD, art. 42, §1º, II, quando mais de um controlador estiver diretamente envolvido no tratamento do qual decorram danos ao titular de dados, estes responderão de forma solidária, à exceção das hipóteses previstas no art. 43.

Assim, embora a LGPD não explicite o conceito de controladoria conjunta, é possível inferir que ele está contemplado no sistema jurídico de proteção de dados. A definição das funções dos controladores conjuntos implica consequências no que diz respeito às funções dos agentes de tratamento e aos direitos dos titulares.

Considerando a inspiração da LGPD no direito europeu, é possível buscar nessa última norma, para esclarecimento, a definição de controladoria conjunta (art. 26 do RGPD):

Quando dois ou mais responsáveis pelo tratamento determinem conjuntamente as finalidades e os meios desse tratamento, ambos são responsáveis conjuntos pelo tratamento. Estes determinam, por acordo entre si e de modo transparente as respectivas responsabilidades pelo cumprimento do presente regulamento, nomeadamente no que diz respeito ao exercício dos direitos do titular dos dados e aos respetivos deveres de fornecer as informações referidas nos artigos 13º e 14º, a menos e na medida em que as suas responsabilidades respectivas sejam determinadas pelo direito da União ou do Estado-Membro a que se estejam sujeitos. O acordo pode designar um ponto de contacto para os titulares dos dados.

Para o regulamento europeu, a controladoria conjunta ocorre quando há uma “participação conjunta” na determinação de “finalidades e meios de tratamento”. Conforme o Comitê Europeu de Proteção de Dados (EDPB), a finalidade do tratamento pode ocorrer a partir de decisões comuns ou convergentes.

..Nas decisões comuns, duas ou mais entidades possuem uma intenção comum sobre as finalidades e meios de tratamento e tomam decisões em conjunto. Em contrapartida, nas decisões convergentes existem decisões distintas sendo tomadas, porém elas se complementam de tal forma que o tratamento não seria possível sem a participação de ambos os controladores.

Entretanto, ainda que o mesmo conjunto de dados seja tratado, não haverá controladoria conjunta se os objetivos do tratamento forem distintos…

…Assim como na controladoria singular, os controladores conjuntos são capazes de determinar os elementos essenciais do tratamento. Essa decisão é tomada de maneira coletiva, mas não há a necessidade de que cada controlador determine todos os elementos envolvidos
em uma operação de tratamento para que a controladoria conjunta se estabeleça.

Cabe, contudo, frisar, que a identificação da controladoria conjunta será contextual e apenas o caso concreto permitirá identificar em que casos a controladoria conjunta foi estabelecida. Uma vez que se configure, a responsabilidade dos controladores será solidária, nos termos do art. 42, §1º, II, o que reforça a importância de que todos estejam em conformidade com a LGPD.

… ao adaptar a concepção europeia para o cenário da LGPD, pode-se entender o conceito de controladoria conjunta como “a determinação conjunta, comum ou convergente, por dois ou mais controladores, das finalidades e dos elementos essenciais para a realização do tratamento de dados pessoais, por meio de acordo que estabeleça as respectivas responsabilidades quanto ao cumprimento da LGPD”

Em resumo, verifica-se a existência de controladoria conjunta quando os seguintes critérios forem observados:

1. Mais de um controlador possui poder de decisão sobre o tratamento de dados pessoais;
2. Há interesse mútuo de dois ou mais controladores, com base em finalidades próprias, sobre um mesmo tratamento; e
3. Dois ou mais controladores tomam decisões comuns ou convergentes sobre as finalidades e elementos essenciais do tratamento.

Operador

O operador é o agente responsável por realizar o tratamento de dados em nome do controlador e conforme a finalidade por este delimitada. A definição legal se encontra no art. 5º, inciso X da LGPD: Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Nesse mesmo sentido é a previsão do art. 39 da LGPD: O operador deverá realizar o tratamento segundo as instruções fornecidas pelo
controlador, que verificará a observância das próprias instruções e das normas sobre a matéria.

…o operador só poderá tratar os dados para a finalidade previamente estabelecida pelo controlador. Isso demonstra a principal diferença entre o controlador e operador, qual seja, o poder de decisão: o operador só pode agir no limite das finalidades determinadas pelo controlador.

…obrigações do operador: (i) seguir as instruções do controlador; (ii) firmar contratos que estabeleçam, dentre outros assuntos, o regime de
atividades e responsabilidades com o controlador; (iii) dar ciência ao controlador em caso de contrato com suboperador.

O conceito e o escopo de atuação do operador indicam, também, a importância das definições contratuais para a relação entre controlador e operador. Ainda que a LGPD não determine expressamente que o controlador e o operador devam firmar um contrato sobre o tratamento de dados, tal ajuste se mostra como uma boa prática de tratamento de dados, uma vez que as cláusulas contratuais impõem limites à atuação do operador, fixam parâmetros objetivos para a alocação de responsabilidades entre as partes e reduzem osriscos e asincertezas decorrentes da operação

…De acordo com a LGPD, pessoas físicas e jurídicas de direito público e privado podem atuar como operadoras. Na maior parte das vezes, o operador é uma pessoa jurídica, que é contratada pelo controlador para realizar o tratamento de dados

…Em caso de pessoa jurídica, importa destacar que a organização ou empresa é entendida como agente de tratamento, de forma que seus funcionários apenas a representam.

…Nesse cenário, empregados, administradores, sócios, servidores e outras pessoas naturais que integram a pessoa jurídica e cujos atos expressam a atuação desta não devem ser considerados operadores, tendo em vista que o operador será sempre uma pessoa distinta do controlador, isto é, que não atua como profissional subordinado a este ou como membro de seus órgãos

Suboperador

…Formalmente, a LGPD, no que se refere aos agentes de tratamento, definiu apenas as figuras do controlador e do operador (art. 5º, incisos VI, VII e IX).

…Muito embora não exista um conceito de suboperador na LGPD, o tema pode ser utilizado como parâmetro de análise para compreensão de cadeias mais complexas de tratamento de dados.

.. Isso porque a falta do conceito de suboperador na LGPD não impossibilita ou torna ilegal que ele exista ou que tenha funções, competências e responsabilidade no ambiente de proteção de dados pessoais brasileiro, principalmente porque pode desempenhar a função de operador em subordinação a outro operador. Dito isso, importa saber que o suboperador é aquele contratado pelo operador para auxiliá-lo a realizar o tratamento de dados pessoais em nome do controlador. A relação direta do suboperador é com o operador e não com controlador.

Porém, independentemente dos arranjos institucionais entre operador e suboperador, para efeitos da LGPD, ambos podem desempenhar, a depender do caso concreto, a função de operador e responder perante a ANPD. 

…Considerando que o operador realiza o tratamento de dados pessoais em nome do controlador, é de se supor que a relação entre eles esteja fundada na confiança. Nesse sentido, é recomendável que o operador, ao contratar o suboperador, obtenha autorização formal (genérica ou específica17) do controlador, a qual pode inclusive constar do próprio contrato firmado entre as partes. Tal medida visa evitar que se entenda que, ao contratar o suboperador, o operador tenha executado o tratamento de dados descumprindo orientações do controlador, o que poderia atrair para o operador responsabilidades que normalmente são exclusivas do controlador.

Encarregado (DPO)

..o controlador de dados deverá indicar um encarregado pelo tratamento de dados pessoais. O encarregado é o indivíduo responsável por garantir a conformidade de uma organização, pública ou privada, à LGPD.

.. Ao contrário de outras legislações de proteção de dados estrangeiras, a LGPD não determinou em que circunstâncias uma organização deve indicar um encarregado. Assim, devese assumir, como regra geral, que toda organização deverá indicar uma pessoa para assumir esse papel.

Contudo, de acordo com o § 3º do art. 41, normativas futuras da ANPD poderão trazer hipóteses de dispensa da necessidade de indicação do encarregado, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

O artigo 41 da LGPD não faz distinção quanto a instituições públicas ou privadas e por isso é importante que ambas estejam cientes da sua obrigação de indicar um encarregado de dados.

A LGPD também não distingue se o encarregado deve ser pessoa física ou jurídica, e se deve ser um funcionário da organização ou um agente externo. Considerando as boas práticas internacionais, o encarregado poderá ser tanto um funcionário da instituição quanto um agente externo, de natureza física ou jurídica. Recomenda-se que o encarregado seja indicado por um ato formal, como um contrato de prestação de serviços ou um ato administrativo.

…considera-se importante que o encarregado tenha liberdade na realização de suas atribuições. No que diz respeito às suas qualificações profissionais, estas devem ser definidas mediante um juízo de valor realizado pelo controlador que o indica, considerando conhecimentos de proteção de dados e segurança da informação em nível que atenda às necessidades da operação da organização.

…Também é importante observar que a LGPD não proíbe que o encarregado seja apoiado por uma equipe de proteção de dados. Ao contrário, considerando as boas práticas, é importante que o encarregado tenha recursos adequados para realizar suas atividades, o que pode incluir recursos humanos. Outros recursos que devem ser considerados são tempo (prazos apropriados), finanças e infraestrutura

…Conquanto a LGPD não impeça que um mesmo encarregado atue em nome de diferentes organizações, é importante que ele seja capaz de realizar suas atribuições com eficiência. Assim, antes de indicar um encarregado, o controlador deve considerar se ele será mesmo capaz de atender às suas demandas e de outras organizações concomitantemente. A responsabilidade pelas atividades de tratamento de dados pessoais continua sendo do controlador ou do operador de dados, conforme estabelece o art. 42 da LGPD.

Atribuições do Encarregado

…De acordo com o § 2º do art. 41, o encarregado possui as seguintes atribuições:

1. aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar
   providências;
2. receber comunicações da autoridade nacional e adotar providências;
3. orientar os funcionários e os contratados da entidade a respeito das práticas a serem
   tomadas em relação à proteção de dados pessoais; e
4. executar as demais atribuições determinadas pelo controlador ou estabelecidas em
   normas complementares.

Por agir como um ponto de contato com os titulares de dados e a ANPD, é importante que os detalhes de contato do encarregado de dados estejam facilmente acessíveis, nos termos do § 1º do art. 41 da LGPD:

A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.

Em alinhamento com o § 3º do art. 41, a ANPD poderá estabelecer normas complementares sobre a definição e atribuições do encarregado.

Ressalte-se que não há necessidade, tendo em vista a ausência de previsão legal ou regulamentar, de comunicação ou de registro da identidade e das informações de contato do encarregado perante a ANPD.

Acesse o documento completo da ANPD aqui. 

FONTE: MINUTO DA SEGURANÇA