Os Agentes de Tratamento e suas responsabilidades segundo a LGPD

A LGPD impõe sanções pelo descumprimento das suas disposições, mas pode haver várias organizações distintas envolvidas em um tratamento. Sendo assim, como identificar a responsabilidade de cada um? 

Para responder a esse questionamento deve-se entender o conceito de “Agentes de tratamento”. A Lei Geral de Proteção de Dados Pessoais traz a noção de Agentes de tratamento compostos pelo controlador e o operador, a saber:

• Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

• Operador: pessoa natural ou jurídica, de direito público que realiza o tratamento de dados em nome do controlador;

Em que pese a LGPD ter trazido uma definição aparentemente simples da noção de agentes de tratamento, a qualificação de uma organização como controladora ou operadora pode se demonstrar complexa.  

Recentemente a Autoridade Nacional de Proteção de Dados emitiu um guia orientativo para a definição dos agentes de tratamento de dados pessoais. Para uma melhor compreensão de tais conceitos, cabe primeiramente voltar os olhos para o direito estrangeiro, em especial ao Regulamento Geral de Proteção de Dados (RGPD), o ordenamento sobre proteção de dados da União Europeia.

O EDPB (European Data Protection Board) estabeleceu algumas orientações que merecem ser consideradas diante das similaridades entre os ordenamentos e pela adoção de posicionamento da ANPD em consonância com os entendimentos das autoridades europeias. 

Segundo o EDPB, não há nenhuma limitação em relação ao tipo de entidade que pode assumir o papel de um controlador, no entanto, na prática, geralmente uma organização é considerada como tal, e não um indivíduo dentro da organização. Ou seja, um chefe não deve ser considerado como controlador de dados e seus empregados operadores. 

Cabe ao controlador o poder de decidir determinados elementos fundamentais do tratamento. Tal poder decisório pode ser definido pela lei ou surgir a partir da análise de elementos factuais ou circunstanciais do caso. Assim, deve ser considerado um tratamento em específico e ser analisado o porquê o tratamento está sendo realizado, quem decide as finalidades de tratamento e como o tratamento será realizado. 

Para que uma organização seja considerada como controladora é fundamental que ela tenha poder decisório em relação aos meios essenciais do tratamento, ou seja: 

• quais dados deverão ser tratados?
• por quanto tempo os dados deverão ser tratados?
• quem deverá ter acesso aos dados?
• quais serão os titulares de dados?

Em que pese algumas decisões sobre meios não essenciais estar a cargo do operador, o controlador ainda deverá estipular certos elementos no contrato, como por exemplo, os requisitos de segurança que poderão ser adotados. 

Em relação à figura do operador, o EDPB considera duas condições básicas que qualificam uma empresa como tal:

• ser uma entidade separada do controlador; e 
• tratar dados pessoais em nome do controlador.

O operador nesse caso deverá seguir as instruções dadas pelo controlador, pelo menos em relação às finalidades e os elementos essenciais dos meios de tratamento. Como o operador trata os dados em nome do controlador, aquele não deverá tratar dados para as suas próprias finalidades. Nesse contexto, o operador pode ser considerado como controlador caso atue além das instruções dadas pelo controlador e comece a determinar a suas próprias finalidades e meios de tratamento.

Ainda, o EDPS (European Data Protection Supervisor) possui um checklist com algumas perguntas que devem ser levadas em consideração a fim de enquadrar uma organização como controlador ou operador, a saber:

Serei um controlador se:

• Decido tratar dados pessoais ou dei causa para que outra entidade trate dados pessoais
• Decido as finalidades e os resultados que o tratamento precisa ter
• Decido os elementos essenciais do tratamento, por exemplo: quais dados pessoais devem ser coletados; sobre quais indivíduos; o período de retenção; quem terá acesso aos dados, receptores etc.
• Os titulares de dados do tratamento são meus empregados
• Eu exerço um julgamento profissional em linha com as minhas obrigações profissionais no tratamento dos dados pessoais
• Eu tenho um relacionamento direto com os titulares de dados
• Eu tenho autonomia e independência em como os dados pessoais são tratados
• Eu apontei um operador para realizar o tratamento em meu nome, mesmo que ele escolha os elementos técnicos ou organizacionais

Serei um operador se: 

• Sigo as instruções de uma outra parte em relação ao tratamento dos dados pessoais
• Não decido coletar dados pessoais dos indivíduos
• Não decido a base legal para a coleta e o uso dos dados
• Não decido as finalidades para as quais os dados serão tratados
• Não decido se os dados serão disponibilizados ou para quem
• Não decido o período de retenção
• Tomo certas decisões sobre a forma como os dados são tratados, mas implemento tais decisões ao abrigo de um contrato ou acordo vinculativo com controlador
• Não estou interessado no resultado final do tratamento

Conforme mencionado anteriormente, a ANPD emitiu um guia orientativo para a definições dos agentes de tratamento de dados pessoais e do encarregado.

A ANPD por sua vez, consolidou o entendimento de que os agentes de tratamento devem ser definidos a partir do seu caráter institucional. Dessa forma, não são considerados controladores ou operadores os indivíduos subordinados, tais como os funcionários, os servidores públicos ou as equipes de trabalho de uma organização, já que atuam sob o poder diretivo do agente de tratamento.

Ainda, a autoridade também consolidou o entendimento de que uma mesma organização poderá ser controladora e operadora ao mesmo tempo, de acordo com sua atuação em diferentes operações de tratamento. 

Em relação à figura do Controlador é importante destacar que a LGPD estabelece obrigações específicas a este, tais como: (i) elaboração de relatório à proteção de dados pessoais (art. 38); (ii) comprovar que o consentimento obtido do titular atende às exigências legais (art. 8º, §2º) e a de comunicar à ANPD a ocorrência de incidentes de segurança (art. 48); (iv) atendimento às solicitações dos titulares de dados (art. 18). 

Em relação ao Controlador pessoa natural, a ANPD estabelece que este poderá ser considerado como controlador nas situações em que for responsável pelas principais decisões referentes ao tratamento de dados pessoais, vez que atuará de forma independente e em nome próprio, não estando subordinada a uma pessoa jurídica ou como um membro de um órgão desta. Tal disposição se aplica aos empresários individuais, profissionais liberais e responsáveis pelas serventias extrajudiciais. 

Conforme entendimento do RGPD a ANPD também estabelece que o elemento distintivo para a classificação de um agente de tratamento como controlador é o seu poder de decisão. O segundo ponto seria a desnecessidade de que todas as decisões sejam tomadas pelo controlador, de forma que bastaria que este mantenha sob sua influência e controle as principais decisões relativas aos elementos essenciais para o cumprimento da finalidade de tratamento. O terceiro ponto refere-se à definição dos elementos decisórios que se caracterizam como principais ou essenciais, tais como a finalidade do tratamento, natureza dos dados pessoais tratados e da duração do tratamento. Observa-se que tal posicionamento vai de encontro ao entendimento do EDPB. 

A LGPD diferentemente do RGPD não explicita o conceito de controladoria conjunta (joint controller). No entanto, a ANPD consolidou o entendimento da existência desta figura, tendo se inspirado diretamente no artigo 26 do RGPD e no EDPB, o qual estabelece que a controladoria conjunta ocorre quando há uma participação conjunta na determinação de finalidades e meios de tratamento, a qual pode ocorrer a partir de decisões comuns ou convergentes. 

Ainda, sobre a figura do operador a ANPD se manifestou no sentido de que a principal diferença entre os agentes de tratamento é justamente o poder de decisões, vez que o operador só poderá agir no limite das finalidades determinadas pelo controlador. Constituem como obrigações do operador: (i) seguir as instruções do controlador; (ii) firmar contratos que estabeleçam, dentre outros assuntos, o regime de atividades e responsabilidades com o controlador; (iii) dar ciência ao controlador em caso de contrato com o suboperador. 

A ANPD também se posicionou no sentido de considerar como uma boa-prática, ainda que não esteja determinado expressamente pela LGPD, a celebração de um contrato, vez que as cláusulas impõem limites à atuação do operador, fixam parâmetros objetivos para a alocação de responsabilidades entre as partes e reduzem os riscos e as incertezas decorrentes da operação.

No mais, a ANPD se manifestou em relação ao suboperador, figura essa presente no RGPD como subprocessor ou subcontratado e que não restou definido formalmente na LGPD. Dessa forma, a autoridade compreende que suboperador é aquele contratado pelo operador para auxiliá-lo a realizar o tratamento de dados pessoais em nome do controlador. Note que a relação direta do suboperador é com o operador e não com o controlador, no entanto, para efeitos da LGPD, ambos podem desempenhar a função de operador e responder perante a ANPD. 

A Autoridade, ainda, estabelece como boa prática, a obtenção de autorização formal do controlador, a qual poderá constar do próprio contrato firmado entre as partes. 

Na prática, a diferenciação entre controlador, controlador conjunto, operador e suboperador tem implicação direta em relação à responsabilidade, conforme visto, os controladores possuem mais obrigações do que os operadores e maior responsabilidade. 

A LGPD, primeiramente, estabelece que qualquer dano, seja ele patrimonial, moral, individual ou coletivo decorrente da violação da legislação de proteção de dados pelo controlador ou operador, em razão do exercício da atividade de tratamento de dados pessoais, deve ser reparado. No entanto, a LGPD não estabeleceu de forma expressa qual deve ser o regime de responsabilidade civil aplicável, ou seja, se será considerado a responsabilidade objetiva mais voltada ao Código de Defesa do Consumidor ou se será subjetiva pelos ditames do Código Civil. 

O controlador, segundo a LGPD, possui responsabilidade ampla em relação ao tratamento de dados, de forma que responderá solidariamente por qualquer violação à legislação e/ou danos causados tanto pelo operador quanto por outros controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular de dados.

Em relação aos controladores conjuntos, ao ser configurada a controladoria conjunta a responsabilidade dos controladores será solidária, nos termos do art. 42 §1º, II da LGPD, reforçando a necessidade de todas as partes envolvidas no tratamento dos dados pessoais estarem em conformidade com a Lei. 

O operador, por seu turno, responderá solidariamente pelos danos causados quando descumprir as obrigações da LGPD ou quando não tiver seguido as instruções do controlador, hipótese em que se equipara ao controlador. 

A LGPD ainda estabelece o direito de regresso em face aos responsáveis pelo evento danoso, exceto quando for provado pelos agentes de tratamento:

• que não realizaram o tratamento de dados pessoais que lhes é atribuído;
• que, embora tenham realizado o tratamento de dados, não houve violação à LGPD; ou
• que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros.

À luz do exposto, se demonstra fundamental uma análise precisa da classificação de uma entidade como controladora ou operadora para a definição de responsabilidades em contratos firmados entre agentes de tratamento e na adoção das medidas contratuais adequadas a fim de mitigar riscos inerentes do tratamento de dados pessoais. 

Nosso escritório possui profissionais preparados para assessorar sua empresa na classificação dos agentes de tratamento e na adoção das medidas adequadas que devem constar dos seus contratos. Em caso de dúvida sobre quaisquer aspectos relacionados à proteção de dados pessoais e direito digital, procure o Chenut Oliveira Santiago.