CARTILHA DA ANPD SOBRE OS AGENTES DE TRATAMENTO

Você sabe o que é a LGPD? E quem são os Agentes de Tratamento? Primeiramente é importante termos fresquinho na memória o que são dados pessoais e pessoais sensíveis e o que é tratamento de dados!

A Lei Geral de Proteção de Dados nº 13.709/2018, conhecida como LGPD, visa proteger de forma efetiva dados pessoais. Para tanto, dispõe sobre o tratamento desses dados por meios físicos e digitais, por pessoas jurídicas, mas também por pessoas físicas. O dado pessoal, segundo a lei, é a informação que relaciona a pessoa natural, como nome, RG, CPF; e dado pessoal sensível é aquele relacionado a origem, etnia, imagem, biometria, dentre outros. Assim, fica mais fácil de visualizarmos que “toda operação realizada com dados pessoais”1 como coleta, utilização, armazenamento, transferência, eliminação, etc., é considerada tratamento de dados. Nota-se, portanto, que no dia a dia estamos sempre tratando dados pessoais, mesmo sem perceber.

Agora, que temos em mente o que são dados e o que é considerado tratamento, conseguimos entender melhor quem são os Agentes de Tratamento!

São considerados Agentes de Tratamento os denominados Controlador e Operador. Ambos podem ser pessoas naturais ou jurídicas, de direito público ou privado, competindo ao Controlador “as decisões referentes ao tratamento de dados pessoais” e ao Operador realizar “o tratamento de dados pessoais em nome do controlador”2.

Mas quem pode exercer as funções dos Agentes de Tratamento? A Autoridade Nacional de Proteção de Dados – ANPD esclareceu que não são Controladores e Operadores indivíduos subordinados como funcionários, servidores públicos ou as equipes de trabalho de uma organização, uma vez que “já atuam sob o poder diretivo do agente de tratamento.”3

O Agente de Tratamento, portanto, segundo a ANPD, é definido para cada operação de tratamento de dados pessoais, podendo ser a mesma organização Controladora e Operadora. Observa-se que o Controlador é que decidirá quais serão as operações realizadas com o dado pessoal e dado pessoal sensível, atua de acordo com seus próprios interesses e determina as finalidades do tratamento. A alçada do Operador, por outro, se restringe as atividades que envolvam elementos não essenciais à finalidade do tratamento. Atuando de forma autônoma, não subordinada ao Controlador, mas consoante os interesses e as finalidades de tratamento definidas por ele. 

A ANPD esclareceu que além da possibilidade do Controlador ser pessoa natural e pessoa jurídica de direito privado, poderá ser também pessoa jurídica de direito público. Situação essa peculiar, cujas competências decisórias serão distribuídas internamente entre diferentes órgãos públicos, de sorte que de um lado tem-se a União como Controlador e de outro lado órgãos públicos com obrigações típicas de controlador4. A Autoridade Nacional esclareceu, ainda, sobre a possibilidade da realização de controladoria conjunta, ao adaptar a

concepção europeia para o cenário da LGPD, esta controladoria se faz presente quando tivermos basicamente, mas não só, mais de um controlador com poder de decisão sobre o tratamento de dados pessoais.

Dentre as atividades que competem a este agente, a ANPD destaca: estabelecer a finalidade do tratamento; decidir quais serão os elementos essenciais para o cumprimento desta finalidade; quanto tempo irá durar os tratamentos dos dados; a natureza dos dados pessoais tratados; etc. Corroborando com estas atividades, a LGPD atribui, ainda, obrigações específicas ao Controlador, como: comprovação de que o consentimento obtido do titular atende as exigências da lei5; a elaboração de relatório de impacto à proteção de dados pessoais6; a comunicação à ANPD de ocorrências de incidentes de segurança7.

Quanto as atividades e obrigações do Operador, a ANPD ressaltou aquelas principais que devem ser observadas, como: seguir as instruções do Controlador; a possibilidade de contratar suboperadores, mediante ciência do Controlador, a fim de auxiliá-lo a realizar o tratamento dos dados pessoais; firmar contrato que estabeleça o regime de suas atividades e responsabilidades para com o Controlador. 8

Diante destas considerações, é possível perceber que as atividades dos Agentes de Tratamento se complementam e, portanto, a LGPD determina o compartilhamento de obrigações e responsabilidades. Nesse mesmo contexto, a ANPD assegura a ampliação da cadeia de responsabilidade solidária, frente ao suboperador, que poderá ser equiparado ao Operador perante a LGPD em face às atividades as quais fora contratado para executar9. Logo, os Agentes de Tratamento responderão solidariamente quando, em razão de tratamento irregular de dados pessoais, causarem ao Titular danos de ordem patrimonial, moral, individual ou coletivo10.

 

Thayse Fernandes da Cunha Supervisora de Direito Digital

Russell Bedford

 

1 Art. 5º, inciso X, da LGPD.

2 Art. 5º, inciso VI e VII, da LGPD

3 Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Governo Federal. Maio de 2021. Brasília/DF. p.5.

4 Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Governo Federal. Maio de 2021. Brasília/DF. p.8.

5 Art. 8º, §2º, da LGPD

6 Art. 38, da LGPD

7 Art. 48, da LGPD.

8 Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Governo Federal. Maio de 2021. Brasília/DF. p.16.

9 Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Governo Federal. Maio de 2021. Brasília/DF. p.20.

10 Art. 42, da LGP

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *