Guia Orientativo 2.0 da ANDP traz mais segurança jurídica na aplicação da LGPD

A publicação da LGPD representou um marco para o país, sociedade e empresas ao dispor sobre o tratamento de dados, apresentar conceitos e buscar estruturar, nacionalmente, um sistema efetivo de proteção de dados pessoais.

Com base em suas atribuições institucionais previstas na lei e considerando a necessidade de esclarecimentos a respeito de conceitos para a atuação de organizações públicas e privadas no tratamento de dados pessoais, a ANPD lançou, em abril deste ano, a versão 2.0 do “Guia Orientativo para a Definição dos Agentes de Tratamento e do Encarregado”.

A nova versão traz alguns ajustes de redação pontuais, fornece exemplos práticos para facilitar a compreensão do conteúdo abordado, inclui algumas instruções a respeito do Encarregado pelo Tratamento dos Dados Pessoais – também conhecido como Data Protection Officer (DPO) –e adiciona um fluxograma para oferecer um formato mais amigável ao tratar da aplicação dos conceitos de controlador e operador.

O Guia apresenta os conceitos e as definições legais sobre o controlador, a controladoria conjunta, o operador, o suboperador e o encarregado. Alguns pontos centrais de cada agente de tratamento – e encarregado – merecem destaque e devem ser interpretados com atenção, principalmente pelas instituições que estão realizando seu processo de adaptação e conformidade à LGPD:

O controlador é o agente responsável por tomar as principais decisões referentes ao tratamento de dados pessoais e por definir a finalidade deste processo. Entre essas decisões, incluem-se as instruções fornecidas a operadores contratados para a realização de um determinado tratamento de dados pessoais (art. 5º, VI, da LGPD) .

Pode ser pessoa natural ou jurídica e sua identificação deve partir do conceito legal e dos parâmetros auxiliares indicados neste Guia, sempre considerando o contexto fático e as circunstâncias relevantes do caso.

Não são classificados comocontrolador pessoas naturais que atuam como profissionais subordinados a uma pessoa jurídica ou como membros de seus órgãos, tais como empregados, administradores, sócios, servidores e demais pessoas naturais que integram a PJ e cujos atos expressam a atuação desta.

A LGPD atribui obrigações específicas ao controlador, tais como elaborar relatório de impacto à proteção de dados pessoais (art. 38); comprovar que o consentimento obtido do titular atende às exigências legais (art. 8º, § 2º); comunicar à ANPD a ocorrência de incidentes de segurança (art. 48); responsabilidades em relação à reparação por danos decorrentes de violação à legislação de proteção de dados pessoais (art. 42); fornecer aos titulares informações relativas ao tratamento, assegurar a correção e a eliminação de dados pessoais e receber requerimento de oposição a tratamento (art. 18).

“Apesar de o controlador ser o responsável por tomar as decisões referentes ao tratamento de dados pessoais, o elemento distintivo entre ele e o operador é o poder de decisão. Contudo, não é necessário que todas as decisões sejam tomadas pelo controlador, bastando apenas que este mantenha sob sua influência e controle as principais decisões, isto é, aquelas relativas aos elementos essenciais para o cumprimento da finalidade do tratamento”, explica a advogada, sócia do Lima & Reis Sociedade de Advogados,  Renata Lima.

AControladoria conjunta pode ser entendida como a determinação conjunta, comum ou convergente, por dois ou mais controladores, das finalidades e dos elementos essenciais para a realização do tratamento de dados pessoais, por meio de acordo que estabeleça as respectivas responsabilidades quanto ao cumprimento da LGPD.

“A depender do contexto, uma mesma operação de tratamento de dados pessoais pode envolver mais de um controlador. Quando mais de um controlador estiver diretamente envolvido no tratamento do qual decorram danos ao titular de dados, estes responderão de forma solidária (art. 42, §1º, II)”, salienta Renata.

Verifica-se a existência de controladoria conjunta quando os seguintes critérios forem observados: i) Mais de um controlador possui poder de decisão sobre o tratamento de dados pessoais; ii) Há interesse mútuo de dois ou mais controladores, com base em finalidades próprias, sobre um mesmo tratamento; e iii) Dois ou mais controladores tomam decisões comuns ou convergentes sobre as finalidades e elementos essenciais do tratamento.

O operador é o agente responsável por realizar o tratamento de dados em nome do controlador e conforme a finalidade por este delimitada (art. 5º, inciso VII). Também pode ser pessoa natural ou jurídica e possui como obrigações: (i) seguir as instruções do controlador; (ii) firmar contratos que estabeleçam, dentre outros assuntos, o regime de atividades e responsabilidades com o controlador; (iii) dar ciência ao controlador em caso de contrato com suboperador.

“Ainda que a LGPD não determine expressamente que o controlador e o operador devam firmar um contrato sobre o tratamento de dados, o conceito e o escopo de atuação do operador indicam a importância das definições contratuais para a relação entre controlador e operador”, emenda o advogado Carlos Salgado, sócio do mesmo escritório.

Segundo ele, tal ajuste se mostra como uma boa prática de tratamento de dados, “uma vez que as cláusulas contratuais impõem limites à atuação do operador, fixam parâmetros objetivos para a alocação de responsabilidades entre as partes e reduzem os riscos e as incertezas decorrentes da operação”, argumenta.

O suboperador – muito embora não exista um conceito para ele na LGPD – pode ser utilizado como parâmetro de análise para compreensão de cadeias mais complexas de tratamento de dados.No que se refere às responsabilidades, o suboperador pode ser equiparado ao operador perante a LGPD em relação às atividades para as quais foi contratado para executar. Ocorre, dessa forma, a ampliação da cadeia de responsabilidade solidária prevista no art. 42, § 1º, I, da LGPD.

O encarregado pelo tratamento de dados, por sua vez, deverá indicar um encarregado pelo tratamento de dados pessoais (art. 41); No exercício de suas atribuições, pode desempenhar um importante papel de fomentar e disseminar a cultura da proteção de dados pessoais na organização, por exemplo, ao receber solicitações de titulares e da autoridade nacional e adotar providências ou, ainda, ao orientar funcionários e contratados a respeito das práticas a serem tomadas em relação à proteção de dados pessoais.

Com exceção das instituições enquadradas como agente de pequeno porte (Resolução CD/ANPD nº 2, de 27 janeiro de 2022), todas as organizações, sejam elas públicas, privadas ou do Terceiro Setor, devem indicar um encarregado de dados. Ele pode ser pessoa física ou jurídica, um funcionário da organização ou um agente externo contratado. É importante que o encarregado tenha liberdade para a realização de suas atribuições.

No que diz respeito às suas qualificações profissionais, estas devem ser definidas mediante um juízo de valor realizado pelo controlador que o indica, considerando conhecimentos de proteção de dados e segurança da informação em nível que atenda às necessidades das operações de tratamento de dados pessoais da organização.

O encarregado possui as seguintes atribuições: aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da autoridade nacional e adotar providências; orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares (art. 41, § 2º).

Por agir como um ponto de contato com os titulares de dados e a ANPD, é importante que os detalhes de contato do encarregado de dados estejam facilmente acessíveis. Sua identidade e informações de contato deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador (art. 41, § 1º).

O presente Guia Orientativo foi construído com o objetivo de trazer maior segurança aos titulares de dados e aos agentes de tratamento, sanando algumas das principais dúvidas que têm sido apresentadas à ANPD quanto aos papéis desses agentes e do encarregado.

Apesar de não buscar estabelecer diretrizes vinculantes aos agentes de tratamento e ao encarregado, a publicação do Guia reforça a função orientativa da ANPD e demonstra sua preocupação com os questionamentos relativos à privacidade e proteção de dados que têm sido feitos por todos os setores da sociedade.

“Esta versão traz segurança jurídica e sana algumas das principais dúvidas que surgiram ao longo da vigência da LGPD, estando sujeita a comentários e contribuições pela sociedade de forma contínua, sendo este Guia atualizado a critério da ANPD, à medida que novas regulamentações e entendimentos forem publicados”, complementa a advogada Renata.

Fonte: Lima & Reis Sociedade de Advogados

Publicado por: Renata Lima

Artigo publicado em:

https://www.conjur.com.br/2022-jun-23/limae-salgado-guia-orientativo-20-anpd e

https://www.contabeis.com.br/noticias/52135/seguranca-juridica-na-aplicacao-da-lgpd/

//]]>