Guia Orientativo 2.0 da ANPD: mais segurança jurídica na aplicação da LGPD

A publicação da Lei Geral de Proteção de Dados Pessoais (LGPD) — Lei nº 13.709, de 14 de agosto de 2018 — representou um marco ao país, à sociedade e às empresas, ao dispor sobre o tratamento de dados, apresentar conceitos e buscar estruturar, nacionalmente, um sistema efetivo de proteção de dados pessoais.

A nova versão traz alguns ajustes de redação pontuais, fornece exemplos práticos para facilitar a compreensão do conteúdo abordado, inclui algumas instruções a respeito do Encarregado pelo Tratamento dos Dados Pessoais — também conhecido como Data Protection Officer (DPO) — e adiciona um fluxograma para oferecer um formato mais amigável ao tratar da aplicação dos conceitos de controlador e operador.

O guia apresenta os conceitos e as definições legais sobre o controlador, a controladoria conjunta, o operador, o suboperador e o encarregado. Alguns pontos centrais de cada agente de tratamento — e encarregado — merecem destaque e devem ser interpretados com atenção, principalmente pelas instituições que estão realizando seu processo de adaptação e conformidade à LGPD:

Controlador
É o agente responsável por tomar as principais decisões referentes ao tratamento de dados pessoais e por definir a finalidade deste processo. Entre essas decisões, incluem-se as instruções fornecidas a operadores contratados para a realização de um determinado tratamento de dados pessoais (artigo 5º, VI, da LGPD).

Pode ser pessoa natural ou jurídica e sua identificação deve partir do conceito legal e dos parâmetros auxiliares indicados neste guia, sempre considerando o contexto fático e as circunstâncias relevantes do caso.

Não são classificados como controlador pessoas naturais que atuam como profissionais subordinados a uma pessoa jurídica ou como membros de seus órgãos, tais como empregados, administradores, sócios, servidores e demais pessoas naturais que integram a PJ e cujos atos expressam a atuação desta.

A LGPD atribui obrigações específicas ao controlador, tais como elaborar relatório de impacto à proteção de dados pessoais (artigo 38); comprovar que o consentimento obtido do titular atende às exigências legais (artigo 8º, § 2º); comunicar à ANPD a ocorrência de incidentes de segurança (artigo 48); responsabilidades em relação à reparação por danos decorrentes de violação à legislação de proteção de dados pessoais (artigo 42); fornecer aos titulares informações relativas ao tratamento, assegurar a correção e a eliminação de dados pessoais e receber requerimento de oposição a tratamento (artigo 18).

Apesar de o controlador ser o responsável por tomar as "decisões referentes ao tratamento de dados pessoais", o elemento distintivo entre ele e o operador é o poder de decisão. Contudo, não é necessário que todas as decisões sejam tomadas pelo controlador, bastando apenas que este mantenha sob sua influência e controle as principais decisões, isto é, aquelas relativas aos elementos essenciais para o cumprimento da finalidade do tratamento.

Controladoria conjunta e singular
Controladoria conjunta pode ser entendida como a determinação conjunta, comum ou convergente, por dois ou mais controladores, das finalidades e dos elementos essenciais para a realização do tratamento de dados pessoais, por meio de acordo que estabeleça as respectivas responsabilidades quanto ao cumprimento da LGPD.

A depender do contexto, uma mesma operação de tratamento de dados pessoais pode envolver mais de um controlador. Quando mais de um controlador estiver diretamente envolvido no tratamento do qual decorram danos ao titular de dados, estes responderão de forma solidária (artigo 42, §1º, II).

Verifica-se a existência de controladoria conjunta quando os seguintes critérios forem observados: 1) Mais de um controlador possui poder de decisão sobre o tratamento de dados pessoais; 2) Há interesse mútuo de dois ou mais controladores, com base em finalidades próprias, sobre um mesmo tratamento; e 3) Dois ou mais controladores tomam decisões comuns ou convergentes sobre as finalidades e elementos essenciais do tratamento.

Operador
É o agente responsável por realizar o tratamento de dados em nome do controlador e conforme a finalidade por este delimitada (artigo 5º, inciso VII).

Operador também pode ser pessoa natural ou jurídica e possui como obrigações: (1) seguir as instruções do controlador; (2) firmar contratos que estabeleçam, dentre outros assuntos, o regime de atividades e responsabilidades com o controlador; (3) dar ciência ao controlador em caso de contrato com suboperador.

Ainda que a LGPD não determine expressamente que o controlador e o operador devam firmar um contrato sobre o tratamento de dados, o conceito e o escopo de atuação do operador indicam a importância das definições contratuais para a relação entre controlador e operador. Tal ajuste se mostra como uma boa prática de tratamento de dados, uma vez que as cláusulas contratuais impõem limites à atuação do operador, fixam parâmetros objetivos para a alocação de responsabilidades entre as partes e reduzem os riscos e as incertezas decorrentes da operação.

Suboperador
Muito embora não exista um conceito de suboperador na LGPD, o tema pode ser utilizado como parâmetro de análise para compreensão de cadeias mais complexas de tratamento de dados.

No que se refere às responsabilidades, o suboperador pode ser equiparado ao operador perante a LGPD em relação às atividades para as quais foi contratado para executar. Ocorre, dessa forma, a ampliação da cadeia de responsabilidade solidária prevista no artigo 42, § 1º, I, da LGPD.

Encarregado pelo tratamento de dados
O controlador de dados deverá indicar um encarregado pelo tratamento de dados pessoais (artigo 41).

No exercício de suas atribuições, o encarregado pode desempenhar um importante papel de fomentar e disseminar a cultura da proteção de dados pessoais na organização, por exemplo, ao receber solicitações de titulares e da autoridade nacional e adotar providências ou, ainda, ao orientar funcionários e contratados a respeito das práticas a serem tomadas em relação à proteção de dados pessoais.

Com exceção das instituições enquadradas como agente de pequeno porte (Resolução CD/ANPD nº 2, de 27 janeiro de 2022), todas as organizações, sejam elas públicas, privadas ou do Terceiro Setor, devem indicar um encarregado de dados.

O encarregado pode ser pessoa física ou jurídica, um funcionário da organização ou um agente externo contratado. É importante que o encarregado tenha liberdade para a realização de suas atribuições.

No que diz respeito às suas qualificações profissionais, estas devem ser definidas mediante um juízo de valor realizado pelo controlador que o indica, considerando conhecimentos de proteção de dados e segurança da informação em nível que atenda às necessidades das operações de tratamento de dados pessoais da organização.

O encarregado possui as seguintes atribuições: aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da autoridade nacional e adotar providências; orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares (artigo 41, § 2º).

Por agir como um ponto de contato com os titulares de dados e a ANPD, é importante que os detalhes de contato do encarregado de dados estejam facilmente acessíveis. Sua identidade e informações de contato deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador (artigo 41, § 1º).

O presente guia orientativo foi construído com o objetivo de trazer maior segurança aos titulares de dados e aos agentes de tratamento, sanando algumas das principais dúvidas que têm sido apresentadas à ANPD quanto aos papéis desses agentes e do encarregado.

Apesar de não buscar estabelecer diretrizes vinculantes aos agentes de tratamento e ao encarregado, a publicação do guia reforça a função orientativa da ANPD e demonstra sua preocupação com os questionamentos relativos à privacidade e proteção de dados que têm sido feitos por todos os setores da sociedade.

Esta versão traz segurança jurídica e sana algumas das principais dúvidas que surgiram ao longo da vigência da LGPD, estando sujeita a comentários e contribuições pela sociedade de forma contínua, sendo este guia atualizado a critério da ANPD, à medida que novas regulamentações e entendimentos forem publicados.