O papel dos agentes de tratamento e do encarregado de dados no cenário da LGPD?

A Autoridade Nacional de Proteção de Dados (ANPD), criada por força da Lei Geral de Proteção de Dados (LGPD), possui diversas competências e, entre as principais, destacam-se a incumbência de fiscalizar e aplicar sanções em caso de descumprimento à legislação, elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais, promover o conhecimento das sobre proteção de dados pessoais, além de elaborar estudos sobre práticas nacionais e internacionais de proteção de dados pessoais e regulamentar a LGPD.

Em suma, segundo o guia, o agente de tratamento deve ser definido para cada operação de tratamento de dados pessoais, isto é, em um cenário uma organização poderá ser controladora e em outro poderá ser operadora, a depender de sua atuação em cada operação analisada. Ademais, esclarece-se que os controladores atuam de acordo com os seus interesses, com poder de decisão sobre as finalidades e os elementos essenciais de tratamento, ao passo que os operadores atuam de acordo com os interesses e instruções do controlador, sendo-lhes facultada apenas a definição de elementos não essenciais à finalidade do tratamento, como medidas técnicas.

Pode-se citar como exemplo prático o pagamento de vale-refeição pelo empregador a seus funcionários por intermédio de um cartão. Nesse caso, o titular de dados é o empregado, o controlador é o empregador e o operador é a empresa especializada contratada para instrumentalizar a operação. Nesse cenário, a empresa contratante define a finalidade (pagamento de benefício de vale-refeição) e a empresa contratada deverá tratar os dados pessoais tão somente para tal finalidade, não podendo, por exemplo, ofertar outros benefícios, sendo, todavia, facultada à empresa contratada a definição dos locais em que o vale-refeição será aceito, a senha do cartão e suas condições de uso.

Vale ressaltar, visto que é uma questão comumente mal interpretada, que o operador deve ser uma entidade distinta do controlador e em hipótese alguma será um profissional subordinado a este. Isto é, o funcionário de uma empresa está revestido do mesmo papel que aquela empresa exerce dentro de um cenário de tratamento de dados pessoais, pois atuam em representação do agente, o que não se confunde com o conceito de operador (entidade distinta que atua em favor do controlador).

Sobre o encarregado, como boa prática, é de suma importância que esse profissional, seja ele um funcionário ou um agente externo à empresa, tenha total liberdade na realização de suas atribuições. No tocante a suas qualificações profissionais, estas devem ser definidas mediante juízo de valor realizado pelo controlador, considerando seus conhecimentos de proteção de dados e segurança da informação em nível que atendam às necessidades da operação da organização, sendo que não há — ao menos neste momento — nenhum dispositivo legal ou regulamentação que determine qual deve ser a formação ou a qualificação do encarregado.

Por fim, vale destacar que a versão do guia publicada em maio está sujeita a comentários e contribuições pela sociedade civil, podendo ser atualizado à medida em que novas regulamentações e entendimentos forem estabelecidos pela ANPD. Desse modo, considerando que compreender o conceito e os aspectos relacionados ao papel de cada um dos agentes de tratamento e do encarregado é fundamental para a correta aplicação da LGPD, o guia publicado pela ANPD, apesar de suas diretrizes não serem vinculantes, é um passo significativo no cenário de proteção de dados pessoais brasileiro.