Após a entrada em vigor da Lei Geral de Proteção de dados Pessoais (LGPD – Lei nº 13.709 de agosto de 2018), um dos assuntos que mais gera dúvidas entre todos aqueles que buscam de alguma forma entender a lei e aplicá-la, são as definições que a Lei Geral traz para os agentes de tratamento e suas atribuições.
Para os aplicadores da Lei, empresas obrigadas a aplicá-la, titulares dos dados e demais interessados, havia uma necessidade urgente que a ANPD – Autoridade Nacional de Proteção de Dados, esclarecesse esses conceitos afim de trazer um melhor compreendimento acerca do tema e de sua correta aplicação.
Segundo a ANPD, além de trazer definições, o guia fornece exemplos práticos e explica quem pode exercer a função de controlador, do operador e do encarregado e suas responsabilidades, e traz ainda conceitos presentes em cadeias mais complexas, como por exemplo no caso do suboperador.
Assim, aqui traremos um breve resumo com conceitos e definições trazidas pelo Guia Orientativo.
Agentes de tratamento.
Agentes de tratamento, são então, todos aqueles responsáveis pelo tratamento de dados pessoais, sujeitos às regras da LGPD, sendo então denominados de controlador e o operador.
Assim, podemos entender que, será controlador quando atuar de acordo com seus próprios interesses, com poder decisório sobre as finalidades e os elementos essenciais de tratamento e operador quando atuar de acordo com os interesses do controlador, não havendo óbice de que a mesma pessoa jurídica seja controlador e operador, sempre de acordo com a sua atuação em diferentes operações de tratamento.
Controlador
O Controlador é aquele responsável por tomar decisões referentes ao tratamento de dados pessoais, e por definir a finalidade deste tratamento, na maioria das vezes será pessoa jurídica de direito público ou privado.
Poderá ainda, além do controlador pessoa jurídica de direito privado e a de direito público, existir o controlador pessoal natural, naquelas situações em que é a única responsável pelas principais decisões referentes ao tratamento de dados pessoais, agindo de forma independente e em nome próprio sem subordinação a uma pessoa jurídica, ocorre nos casos dos empresários individuais, profissionais liberais, como advogados, médicos, dentistas, etc.
Operador
O Operador é aquele que realiza o tratamento de dados pessoais em nome do controlador e conforme as finalidades por este delimitada.
Pela definição trazida, implica dizer que, o operador só poderá tratar os dados para as finalidades previamente estabelecida pelo controlador , sendo esta, portanto, a principal diferença entre controlador e operador, qual seja, o poder decisório, sendo que este só poderá agir dentro dos limites das finalidades determinadas pelo controlador.
Ainda, vale ressaltar que não podemos considerar neste caso como operador os indivíduos subordinados, tais como os funcionários, servidores públicos ou as equipes de trabalho de uma organização, já que estes atuam sob o poder diretivo do agente de tratamento.
Poderá ser operador, pessoas físicas ou jurídicas de direito público ou privado, sendo na maioria das vezes o operador uma pessoa jurídica contratada pelo controlador para realizar o tratamento de dados.
Suboperador
O Guia Orientativo traz também a definição do Suboperador, que apesar de não ser referido na LGPD e não ter conceituado a sua figura, entendeu-se importante conceituá-lo já que em operações mais complexas ele aparecerá.
Em linhas gerais o suboperador é aquele contratado pelo operador para auxiliá-lo a realizar o tratamento de dados pessoais em nome do controlador, sendo a sua relação direta com o operador que o contratou e não com o controlador.
Dessa forma, é importante que em relações em que essa figura apareça, é recomendável que o operador, ao contratar o suboperador, obtenha de forma genérica ou específica, autorização formal do controlador para isso.
Ainda, o guia traz a definição do encarregado, figura presente no artigo 41 da LGPD, que desempenhará um papel importante papel de fomentar e disseminar a cultura da proteção de dados pessoais na organização, como, por exemplo de receber solicitações de titulares e da autoridade nacional, adotando providências e ainda orientando funcionários, e contratados a respeito das melhores práticas a serem tomadas relativas à proteção de dados pessoais.
A atualização do guia é resultado da contribuição da sociedade, do amadurecimento do tema e de sua harmonização com as produções normativas da ANPD.
A nova versão agrega esclarecimentos sobre as atribuições do encarregado e a desnecessidade, neste momento, de registro de sua identidade perante a ANPD e relaciona seu teor com a Resolução n. 02, referente à aplicação da LGPD a Agentes de Tratamento de Pequeno Porte.
Todos os guias elaborados pela ANPD têm o propósito de conscientizar e educar sobre as questões que envolvem a proteção de dados pessoais e, muito além disso, os guias são construídos com o objetivo de trazer maior segurança jurídica aos titulares e agentes de tratamento.
Hoje, a ANPD possui 5 guias orientativos que buscam sanar as principais dúvidas sobre proteção de dados pessoais além de servirem como norte para aplicação das boas práticas em proteção de dados pessoais.
