Descomplicando os agentes de tratamento com base na LGPD

A Lei Geral de Proteção de Dados Pessoais preconiza no artigo 5, inciso IX, que o controlador e o operador são agentes de tratamento. O controlador é o agente de tratamento responsável, ao qual compete as decisões referentes ao tratamento de dados pessoais. Já o operador trata dados, de acordo com as instruções do controlador.

É importante ressalvar que os empregados, servidores públicos, sócios, assim como outras pessoas naturais, que integram e estão vinculados a uma pessoa jurídica, expressando sua vontade, não poderão ser considerados agentes de tratamento, operadores ou controladores, neste cenário. Na verdade, a entidade responderá pelos atos destes prepostos que agem e tratam dados em seu nome.

Cabe, portanto, entender e identificar os agentes de tratamento de dados pessoais. A LGPD se inspirou inicialmente na Diretiva 94/46/CE, a qual foi promulgada e entrou em vigor após o Regulamento Geral de Proteção de Dados da União Europeia já estar em vigor. É importante destacar que o Regulamento Geral de Proteção de Dados revogou a Diretiva, mas incorporou suas bases legais de legitimidade de tratamento, princípios, assim como vários institutos e conceitos, como dos agentes de tratamento, responsável e subcontratante. 

No Brasil, os agentes de tratamento, nos termos da LGPD são: o controlador e o operador. Assim, de modo bem específico, o controlador é agente de tratamento e poderá ser uma pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. É o principal agente de tratamento responsável. O operador, por sua vez, é agente de tratamento e poderá ser uma pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

O principal elemento distintivo entre estes atores é o poder de decisão, admitindo-se que o controlador forneça instruções para que um terceiro (operador) realize o tratamento em seu nome. Um controlador pode compartilhar dados, por exemplo, para um contador, uma empresa de folha de pagamento, uma transportadora, um courrier, entre outros, os quais apenas poderão tratar dados de acordo com as instruções claras do controlador, não podendo utilizá-los para finalidade distinta ou além daquela determinada pelo controlador.

O operador poderá apenas decidir sobre certos assuntos, como, por exemplo, qual software usar, segregação de acesso e outras medidas técnicas e administrativas de segurança da informação, o que não altera seu papel como operador. Esta diferenciação é fundamental não apenas para os profissionais especializados na área, mas também para o cidadão comum e, principalmente, em uma implementação por uma empresa ou entidade, sobretudo em função do papel assumido pelo controlador como responsável pelas atividades de tratamento, detendo poder de decisão.

De acordo com o "Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado" [1], os agentes de tratamento (controlador e o operador) poderão ser pessoas naturais ou jurídicas, de direito público ou privado, devendo estes ser definidos a partir de seu caráter institucional. Importante destacar que os empregados, como subordinados, os servidores públicos, ou as equipes de trabalho de uma organização, não serão considerados controladores (autônomos ou conjuntos), nem operadores já que atuam sob o poder diretivo do agente de tratamento [2].

Desta forma, um contador que trabalha internamente, como empregado, assim como um departamento de contabilidade, com empregados da entidade controladora, os quais são vinculados à pessoa jurídica, não são agentes de tratamento. Já se a empresa controladora contratar um contador pessoal natural externo ou um escritório externo de contabilidade, por exemplo, estes passarão a ser operadores.

Destaque-se ainda que o guia da Autoridade Nacional de Proteção de Dados — ANPP, ainda preconiza que: sempre que se menciona pessoa jurídica, a organização é que será o agente de tratamento para os fins da Lei Geral de Proteção de Dados Pessoais, sendo que esta estabelecerá as regras para o tratamento de dados pessoais, as quais serão executadas por seus representantes ou prepostos.

A pessoa jurídica, sempre que esta existir, será o agente de tratamento, controlador ou operador. E da mesma forma, poderá ser controlador se tomar decisões e der instruções sobre as atividades de tratamento ou operador se executar essas instruções e apenas tratar os dados de acordo com as orientações lícitas daquele.

Gerentes, sócios e empregados do controlador são vinculados a este e quem responde é o controlador.  Empregados e outras pessoas naturais vinculadas ao operador também atuarão em nome deste. Isto é, se um empregado ou gestor, der causa a um vazamento, assim como um servidor, o responsável será o agente de tratamento, empresa ou entidade empregadora, restando àquele a possibilidade de sofrer sanções disciplinares que lhe poderão ser impostas pelo empregador agente de tratamento, desde uma advertência até uma justa causa, dependendo da proporcionalidade, gravidade e reincidência, além da possibilidade de ação regressiva por dolo ou culpa, se houver prévio ajuste contratual, nos termos do artigo 462 da CLT, parágrafo 1º. Do mesmo modo responderá um servidor, nos termos da Constituição Federal de 1988, artigo 37, parágrafo 6º.

Sendo responsável, é muito importante o agente de tratamento colocar no contrato de trabalho de seus empregados o dever de sigilo relacionado ao tratamento de dados, além de ser necessária uma política de Segurança da Informação com instruções, a qual o empregado irá assinar um termo de responsabilidade de que seguirá as orientações juntamente com os termos de confidencialidade. Também deverão ser oferecidos treinamentos em diferentes graus de profundidade sobre Segurança da Informação.

A política de Segurança da Informação deverá incluir cláusulas como a política da mesa limpa e da tela limpa, proibição de permanência em outros setores, proibição de compartilhamento de senhas, entre outras instruções. Outro ponto importante é que o agente de tratamento será definido para cada operação de tratamento de dados pessoais e por conclusão a mesma empresa ou organização poderá ser controladora e operadora, mas apenas em tratamentos distintos e de acordo com sua atuação, considerando-se diferentes operações de tratamento. Por exemplo, um contador autônomo geralmente é operador quando faz atividade de departamento pessoal terceirizado, mas será controlador em relação aos seus próprios empregados ou em eventual auditoria.

Quando a Lei Geral de Proteção de Dados Pessoais conceitua controlador e operador e traz que estes podem ser pessoas naturais não está se referindo a empregados, equipes, departamentos, gestores, sócios e nem servidores. Se estes fossem agentes de tratamento, os empregados e servidores passariam a estar no polo passivo de ações individuais e coletivas, nos termos do artigo 42 da LGPD, e poderiam sofrer sanções da ANPD, a qual, na sua função educativa, entre outras, como de conscientizar, regulamentar, fiscalizar o cumprimento da LGPD e aplicar sanções, em seu primeiro guia do Brasil, já demonstrou a preocupação com a possibilidade deste cenário diante de interpretações equivocadas, ao eleger este tema como o primeiro para a elaboração de um guia orientativo, entre tantos temas a tratar e regulamentar.

Uma pessoa natural poderá ser controladora, como, por exemplo, um advogado, ou um médico tratando os prontuários de seus pacientes, já que estes tomam decisões nas atividades de tratamento. Da mesma forma, um vendedor que tem sua tenda de pipoca, de cachorro-quente ou uma pequena loja, mas nunca os empregados vinculados a estes. Estas entidades serão "controladoras" sempre que atuarem de acordo com os próprios interesses e tiverem poder de decisão sobre as finalidades e os elementos essenciais de tratamento e serão "operadoras" quando atuarem de acordo com os interesses do controlador, sendo-lhes facultada apenas a definição de elementos não essenciais à finalidade do tratamento.

O guia da Autoridade Nacional de Proteção de Dados, da mesma forma que a guideline 7/2020, da União Europeia, preconiza que os empregados e servidores atuarão em subordinação às decisões do controlador, não se confundindo, portanto, com os operadores de dados pessoais. Daí decorre que não são controladoras as pessoas naturais que atuam como profissionais subordinados a uma pessoa jurídica ou como membros de seus órgãos.

É o caso de empregados, administradores, sócios, servidores e outras pessoas naturais que integram a pessoa jurídica e cujos atos expressam a atuação desta. Nesse sentido, a definição legal de controlador não deve ser entendida como uma norma de distribuição interna de competências e responsabilidades. De forma diversa, trata-se de comando legal que atribui obrigações específicas à pessoa jurídica, de modo que esta assume a responsabilidade pelos atos praticados por seus agentes e prepostos em face dos titulares e da ANPD [3].

O operador deverá ser uma entidade distinta do controlador. Um ótimo exemplo é considerar uma relação existente entre uma empresa "A" e sua contabilidade, ou uma empresa de "gestão de folha de pagamento", ou mesmo uma empresa que oferece serviços em nuvem computacional (cloud computing), sendo que a empregadora tomará as decisões sobre o tratamento destes dados. Neste exemplo, a empresa empregadora será a controladora, a qual toma as decisões referentes aos tratamentos dos dados pessoais, enquanto a segunda (contabilidade, empresa de gestão de folha de pagamento ou uma serviços em nuvem) será a operadora, já que realiza os tratamentos em nome do controlador.

A empresa de contabilidade, operadora, receberá os dados coletados pela controladora. Estes dados serão compartilhados e realizar-se-á o tratamento, de acordo com as suas orientações e determinações, além da finalidade indicada pela controladora. E, caso venha a realizar qualquer tratamento de dados fora do que foi orientado pelo controlador, a contabilidade será responsabilizada.

Para tanto, apresenta-se a seguir três exemplos práticos do Guia Orientativo da Autoridade Nacional de Proteção de Dados para definições dos agentes de tratamento da própria ANPD:

"Exemplo 1: Médica profissional liberal:  Uma médica, profissional liberal, armazena os prontuários e os demais dados pessoais de seus pacientes no computador de seu consultório. A médica, pessoa natural, é a controladora dos dados pessoais [4].

Exemplo 2: Médica empregada de um hospital:  Uma médica é empregada de um hospital, constituído sob a forma de associação civil sem fins lucrativos. Nessa condição, atua como principal representante do hospital junto a um serviço de armazenamento de dados de pacientes em nuvem, inclusive assinando os contratos correspondentes. O hospital, isto é, a associação civil, pessoa jurídica de direito privado, é o controlador na hipótese. A médica, por atuar sob o poder diretivo da organização, não se caracteriza como agente de tratamento [5].

Exemplo 3: Servidores públicos: Uma autarquia, entidade da administração pública indireta, com personalidade jurídica própria, deseja utilizar um novo software para aprimorar o gerenciamento dos funcionários da instituição. Para isso, a Secretaria de Gestão Corporativa da entidade delega à Diretoria de Gestão de Pessoas (DGP) a tarefa de determinar os meios pelos quais este software será implementado. Após algumas reuniões, a DGP decide pela contratação da empresa terceirizada Sierra para desenvolver o software em parceria com a equipe interna da Diretoria de Tecnologia da Informação (DTI). Embora a delegação de decisão quanto aos meios para a DGP possa sugerir que essa diretoria atue como operadora de dados, esta não é a análise correta: como a DGP é uma unidade administrativa da autarquia, a delegação interna não altera o papel do agente de tratamento, uma vez que, como exposto, o operador será sempre pessoa distinta do controlador. O mesmo raciocínio se aplica para a DTI. Desse modo, a autarquia será a controladora de dados e a empresa Sierra será a operadora de dados. A Secretaria e as Diretorias, assim como os seus respectivos servidores, são apenas unidades organizacionais do ente controlador de dados, razão pela qual não se caracterizam como agentes de tratamento" [6].

É importante também compreender o que é controladoria conjunta ou independente (singular). Sempre que se está diante de mais de um responsável pelo tratamento de dados pessoais, ambos com poder de decisão, tomando decisões conjuntas, haverá a formação do que se conceitua como sendo uma controladoria conjunta. Estes agentes responderão solidariamente nos termos do artigo 42, parágrafo 1º, inciso II, que aponta que os controladores que estiverem diretamente envolvidos no tratamento do qual decorrerem danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no artigo 43 da LGPD. Diferente do que ocorre quando há compartilhamento de dados para pagamento de empregados em um banco, um órgão do governo, ou um plano de saúde, que tomam decisões independentes, sendo os responsáveis por seus tratamentos, são, portanto, entendidos como controladores independentes.

A controladoria conjunta existirá sempre que determinados critérios trazidos pela guideline 07/2020 [7] do CEPD da União Europeia e que o Guia orientativo da ANPD para definições de agentes de tratamento forem observados, a saber:

1. Deverá existir o poder de decisão no tratamento de dados pessoais conjunto, ou de mais de um agente de tratamento;
2. Deverá existir interesse mútuo de pelo menos dois controladores e que tenham finalidades próprias no mesmo tratamento
3. Estes controladores conjuntos deverão tomar decisões conjuntas, comuns ou convergentes, tanto sobre os elementos essenciais como sobre as finalidades do tratamento.

Importante destacar-se que todos os critérios deverão ser seguidos concomitantemente para haver controladores ou responsáveis conjuntos. Deste modo, seguem apresentados dois exemplos de controladores conjuntos do Guia Orientativo para Definições dos Agentes de Tratamento:

"Exemplo 1 – Campanha de marketing de empresas I: decisões comuns: As empresas Argentina e Brasil lançaram um produto de marca conjunta Cosmético e desejam organizar um evento para promover este produto. Para esse fim, decidem compartilhar dados de seus respectivos clientes e banco de dados de clientes potenciais e decidir sobre a lista de convidados para o evento com base nesses dados. Eles também concordam sobre as modalidades de envio dos convites para o evento, como coletar feedback durante os eventos e sobre as ações de marketing de acompanhamento. Por fim, contratam a agência de marketing Dinamarca para executar a campanha. A agência traz sugestões de como os clientes poderiam ser mais bem alcançados e define os canais, ferramentas e produtos da campanha. As empresas Argentina e Brasil podem ser consideradas controladores conjuntos para o tratamento de dados pessoais relacionados com a organização do evento e promoção do produto da marca Cosmético, por terem definido, em conjunto, a finalidade e os elementos essenciais dos dados tratados nesse contexto. Já a agência de marketing Dinamarca atuará como operadora de dados para as empresas Argentina e Brasil. Ainda que opine sobre os meios de tratamento, ela não é a responsável pela tomada de decisão final, limitando-se a definir elementos não essenciais como os canais, ferramentas e produtos da campanha. Caso a agência de marketing Dinamarca contrate serviços de terceiros de armazenamento de dados em nuvem, por exemplo, essa empresa prestadora de serviços será caracterizada como suboperadora" [8].

"Exemplo 2 – Campanha de marketing de empresas II: decisões autônomas: Considere-se agora que a campanha descrita no exemplo anterior foi tão bem-sucedida que, em um segundo momento, a empresa Argentina contrata a agência de marketing Dinamarca para divulgar seus produtos Espelho e Faca. Pouco tempo depois, a empresa Brasil toma a mesma decisão para divulgação dos produtos Garrafa e Haltere. Ambas as empresas passam a usar a lista de clientes que haviam compartilhado anteriormente. Nesta situação, que envolve a divulgação de produtos produzidos exclusivamente pela empresa Argentina ou pela empresa Brasil, estas atuarão como controladores singulares, cada uma atuando em suas próprias campanhas. A agência de marketing Dinamarca continuará como operadora de dados para cada empresa" [9].

A Lei Geral de Proteção de Dados Pessoais atribui maior responsabilidade ao controlador, ainda que havendo responsabilidade solidária entre os agentes de tratamento. Dentre suas atribuições este deverá elaborar Relatório de Impacto à Proteção de Dados Pessoais, comunicar incidentes à ANPD, elaborar o Ropa (Registro das Atividades de Tratamento de Dados Pessoais) e sua responsabilidade se dá nos termos dos artigos 42 a 45 da LGPD.

Os controladores, assim como os operadores, serão obrigados a reparar qualquer dano que provocarem, seja patrimonial, moral, individual ou coletivo, em razão do exercício de atividade de tratamento de dados pessoais, em violação à LGPD. E, ainda, o operador deverá agir de acordo com as obrigações previstas na LGPD e seguir as orientações lícitas do controlador, caso contrário, responderá, solidariamente, pelos danos causados em razão do tratamento de dados pessoais realizado.

Finalizando, diante de uma nova cultura e um novo cenário que nasceu, em virtude da crescente necessidade de proteção aos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, trazidos principalmente por novas tecnologias muitas vezes imperceptíveis e por um mundo novo dominado por tecnologias e algoritmos, em que os controladores passam a ser responsáveis pelo compromisso, isoladamente ou em conjunto, com diferentes graus de autonomia e responsabilidade, assim como os operadores, ambos agentes de tratamento, assumindo a responsabilidade pelas suas atividades de tratamento, não seria justo transferir esta responsabilidade aos seus trabalhadores, equipes, departamentos, diretores, gerentes e outros empregados, assim como aos servidores.

[1] ANPD. GUIA ORIENTATIVO PARA DEFINIÇÕES DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS E DO ENCARREGADO. Disponível em: Guia Orientativo para Definições dos Agentes de Tratamento https://www.gov.br › pt-br › assuntos › noticias

[2] ANPD. GUIA ORIENTATIVO PARA DEFINIÇÕES DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS E DO ENCARREGADO. Disponível em: Guia Orientativo para Definições dos Agentes de Tratamento https://www.gov.br › pt-br › assuntos › noticias.  Acesso em 25 jun 2021

[3] ANPD. GUIA ORIENTATIVO PARA DEFINIÇÕES DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS E DO ENCARREGADO. Disponível em: Guia Orientativo para Definições dos Agentes de Tratamento https://www.gov.br › pt-br › assuntos › noticias

[4] Idem.

[5] Idem.

[6] Idem.

[7] EDPB, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, set. 2020. Disponível em: < https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202007_controllerprocessor_en.pdf> Acesso: 25 jun. 2021.

[8] Idem.

[9] Idem.