Publicada a primeira orientação da ANPD sobre agentes de tratamento e DPO

A Autoridade Nacional de Proteção de Dados (ANPD) publicou no último dia 28 o "Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado". Trata-se de uma iniciativa ocorrida no âmbito de sua competência de promover conhecimento das normas, políticas públicas e práticas de proteção de dados no Brasil, conforme disposto em nossa Lei Geral de Proteção de Dados Pessoais (LGPD) [1].

Neste breve artigo, exploraremos, em ordem, os seguintes tópicos aventados no recém-publicado guia da ANPD: 1) possibilidade de servidores e outros funcionários de órgãos públicos (e privados) serem considerados agentes de tratamento autônomos nos termos da LGPD; 2) relação entre controlador e operador e seus limites de atuação; 3) as figuras do controlador conjunto e do suboperador; e 4) o papel de encarregado de tratamento de dados (DPO) no Brasil.

Quase que em uma mensagem direta para órgãos públicos que, por meio de provimentos e outros normativos publicados em 2020, sinalizaram que servidoras(es) sob sua autoridade teriam o papel de operadores conforme a LGPD, a ANPD deixou bem claro que profissionais pessoas físicas subordinadas(os) ao controlador não podem se confundir com operadores. Nada mais justo (e óbvio): interpretação diversa nos levaria a um cenário absurdo em que, como servidor ou empregado contratado por uma entidade pública ou privada, eu deveria adotar às minhas expensas uma série de procedimentos de governança e segurança de dados, sob pena de poder ser responsabilizado até mesmo pelos desmandos de quem manda em mim.

Sobre o tema da relação entre o controlador e o operador, a ANPD abordou com certo nível de detalhe um ponto essencial que diz respeito à definição desses agentes de tratamento, qual seja, o seu poder decisório relativamente às atividades de tratamento de dados pessoais e suas finalidades. Se, por lei, competem ao controlador as decisões referentes ao tratamento, cabendo ao operador tratar os dados compartilhados pelo controlador por sua conta e ordem, é muito importante para esses agentes que eles saibam com clareza o espectro desse poder decisório.

Importante para o controlador, que faz a interface e responde diretamente pelos danos causados aos titulares de dados, e para o operador, que, caso extravase o seu poder decisório e seja considerado controlador, terá mais deveres e obrigações legais, aumentando os seus custos de transação e também se responsabilizando diretamente perante os titulares.

Nessa toada, a ANPD deixou claro que é usual e legítimo que o operador tome algumas decisões sobre o tratamento, desde que não essenciais, a exemplo da escolha dos meios de tratamento (softwares e equipamentos utilizados). Mesmo que muito ainda precise ser esclarecido (e vivido na prática), as orientações da ANPD dão a mínima segurança aos operadores no sentido de que estes poderão continuar atuando a partir de alguns processos e fornecedores já estabelecidos e referendados internamente, no que alterações drásticas em suas operações não seriam tão prováveis quanto se poderia imaginar [2].

No guia publicado, a ANPD também traz à baila as figuras do controlador conjunto e do suboperador, que, apesar de não definidas expressamente na LGPD, fazem parte do ecossistema de proteção de dados no Brasil e, há mais tempo, na União Europeia — em cuja legislação a LGPD foi inspirada. Da mesma forma que muitas autoridades de proteção de dados europeias, a ANPD esclareceu que mais de um controlador pode decidir de forma comum ou convergente os parâmetros de determinada atividade de tratamento de dados pessoais, inaugurando-se uma relação de controladoria conjunta com consequências legais, como a responsabilidade solidária perante os titulares de dados.

Noutra ponta, a ANPD também esclareceu a possibilidade de o operador subcontratar outro(s) operador(es) para proceder às atividades de tratamento por conta e ordem do operador, no que a relação entre operador e (sub)operador seria regulada por contrato e a contratação deveria ser previamente aprovada, de forma genérica ou específica, pelo controlador.

Por fim, a ANPD separou espaço para cuidar da figura do encarregado pelas atividades de tratamento de dados dos agentes (controlador ou operador) — o tal DPO ou data protection officer. Apesar de alguns esclarecimentos terem sido feitos, o guia pouco inovou e repetiu a regra geral que, até o momento, não comporta exceções no Brasil: todo controlador ou operador brasileiro deve nomear o seu DPO. Infelizmente, muitos que ansiavam pelas exceções, a exemplo das pequenas e médias empresas, ainda terão que esperar por novas sinalizações da ANPD que, espera-se, deverá continuar esclarecendo e aprofundando temas tão caros ao ecossistema da proteção de dados no Brasil, incluindo-se os temas do próprio guia que publicou hoje.