Em virtude de suas peculiaridades, o tratamento de dados pessoais no âmbito das relações previdenciárias firmadas entre entidades fechadas de previdência complementar ("EFPC"), seus participantes, assistidos e beneficiários e as patrocinadoras dos planos de benefícios demanda uma análise casuística e específica para definição da posição dos agentes de tratamento para fins da Lei Geral de Proteção de Dados Pessoais - LGPD, cujo compartilhamento de dados pessoais entre a EFPC e sua(s) patrocinadora(s) ocorre para fins de cumprimento de disposições legais, regulatórias, contratuais e até mesmo para suporte às operações previdenciárias.
Registre-se desde já que a importância da análise de cada tratamento para definição clara e bem delimitada dos agentes é apontada antes mesmo da entrada em vigor da LGPD por organizações europeias relevantes no âmbito da regulamentação europeia de proteção de dados (General Data Protection Regulation - "GDPR"), e utilizadas como referência para documentos e posicionamentos emitidos pela autoridade brasileira1.
Especificamente em relação à necessidade de conformidade com as definições legais, a ICO - Information Commissioner’s Office, autoridade de proteção de dados do Reino Unido, determina que a adequação da posição do agente de tratamento às definições impostas caracteriza-se como fator crucial para a adequação à lei, principalmente diante das diferentes obrigações determinadas ao controlador e ao operador, inclusive no que diz respeito a observação aos direitos dos titulares de dados2.
A despeito da caracterização do agente de tratamento como controlador ou operador estar baseada em critérios diversos, sendo estes inclusive descritos/exemplificados por meio de checklist disponibilizada pela ICO3, a pergunta principal a se fazer para identificação da figura do controlador é: "Quem determina as finalidades para as quais os dados são processados e os meios de processamento?". Destarte, conforme ressalta a própria autoridade, uma empresa/organização não é por natureza controlador ou operador; o que determina a sua condição como um destes agentes de tratamento é a avaliação quanto à determinação dos objetivos/finalidade do tratamento de dados4.
Ainda na perspectiva europeia, destaca-se a definição de critério considerado essencial para a correta designação de um controlador pelo Comitê Europeu de Proteção de Dados Pessoais (European Data Protection Board - EDPB) em Guia sobre os conceitos de controlador e operador no GDPR5: a capacidade do agente de tratamento decidir sobre a finalidade e os elementos essenciais dos meios de tratamento. Vale ressaltar que a ideia de controle das decisões relacionadas às atividades de tratamento, no entanto, não significa que inexiste poder de decisão pelo operador6.
I. AGENTES DE TRATAMENTO NA LGPD E SUA APLICAÇÃO NA ATUAÇÃO DAS EFPC COM SUAS PATROCINADORAS
Conforme art. 5º, incisos VI e VII da LGPD - controlador é aquele "a quem competem as decisões referentes ao tratamento de dados pessoais" e operador aquele que "realiza o tratamento de dados pessoais em nome do controlador" e segundo suas instruções, conforme disposto no art. 39 da lei. Caberá ao controlador verificar se suas instruções e as normas pertinentes foram observadas pelo operador7, inclusive para fins de apuração de responsabilidade civil.
Não obstante a lei seja clara ao definir cada agente de tratamento, estas figuras não são fixas e, portanto, uma mesma pessoa poderá atuar na posição de controlador e/ou operador, a depender da operação de tratamento realizada, sendo fundamental diferenciar em quais atividades a pessoa jurídica está a desempenhar funções em cada papel, como esclarece a Autoridade Nacional de Proteção de Dados ("ANPD") no Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado ("Guia")8.
No Guia, além de enfatizar que é o controlador o agente responsável pelas principais decisões referentes aos dados pessoais, a ANPD indica que a este agente cabe também definir a finalidade do tratamento9 e, consequentemente, a base legal que fundamenta cada operação. Ainda, o controlador possui, na prática, responsabilidades específicas, dispostas em lei e enfatizadas pela ANPD, que abrangem:
14. [...] a de elaborar relatório de impacto à proteção de dados pessoais (art. 387), a de comprovar que o consentimento obtido do titular atende às exigências legais (art. 8º, § 2º8) e a de comunicar à ANPD a ocorrência de incidentes de segurança (art. 48). Além disso, a atribuição de responsabilidades em relação à reparação por danos decorrentes de atos ilícitos é distinta de acordo com a qualificação do agente de tratamento, isto é, se controlador ou operador, conforme o disposto nos arts. 42 a 45.
15. Vale mencionar ainda que os direitos dos titulares (art. 18) são, em regra, exercidos em face do controlador, a quem compete, entre outras providências, fornecer informações relativas ao tratamento, assegurar a correção e a eliminação de dados pessoais, receber requerimento de oposição a tratamento [...]
Para além da definição legal dos agentes de tratamento, sem afastar a margem de decisão do próprio operador, a ANPD considera, como principal elemento distintivo entre operador e controlador, o poder de decisão do controlador, especialmente em relação aos elementos essenciais do tratamento, apontando que o tratamento não precisa ser realizado diretamente pelo controlador:
Muito embora o controlador também trate dados pessoais, o elemento distintivo é o poder de decisão, admitindo-se que o controlador forneça instruções para que um terceiro ("operador") realize o tratamento em seu nome (art. 5º, VII; art. 39)10.
Dentre os elementos decisórios principais, os quais devem estar sob responsabilidade do controlador, encontram-se a definição da finalidade do tratamento (objetivos e base legal), a natureza dos dados pessoais tratados, a duração do tratamento, dentre outros. Sendo assim, caracteriza-se como essencial a análise, no caso concreto, de qual organização efetivamente realiza e decide a respeito dos principais fatores relativos ao tratamento de dados, não bastando mero instrumento legal ou relação aparente:
[...] O papel de controlador pode decorrer expressamente de obrigações estipuladas em instrumentos legais e regulamentares ou em contrato firmado entre as partes. Não obstante, a efetiva atividade desempenhada por uma organização pode se distanciar do que estabelecem as disposições jurídicas formais, razão pela qual é de suma importância avaliar se o suposto controlador é, de fato, o responsável pelas principais decisões relativas ao tratamento11.
Portanto, no âmbito da LGPD, a definição do agente de tratamento decorre do tratamento de dados pessoais realizado e não da origem dos dados pessoais. Por isso, sabendo-se que o vínculo jurídico previdenciário firmado com a EFPC é autônomo em relação ao vínculo jurídico empregatício existente com a patrocinadora, o tratamento de dados relativo a cada um desses vínculos ensejará controladores de dados diferentes para cada finalidade (previdenciária ou empregatícia).
Sendo a finalidade do tratamento dos dados o elemento determinante para o papel de controlador e não quem possui acesso aos dados cronologicamente antes, a EFPC figurará, a rigor, na posição de controladora dos dados pessoais de participantes, assistidos e beneficiários dos planos por ela administrados. Para tanto, a natureza dos dados pessoais (quais dados pessoais) a serem tratados também são definidos pela referida entidade (a partir dos limites regulatórios impostos pela PREVIC), porque a esta cabe dispor sobre os elementos necessários para implementar o objetivo do tratamento voltado ao vínculo previdenciário com o titular de dados.
Nesta posição a entidade age como única tomadora de decisões relativamente aos tratamentos de dados pessoais de participantes, assistidos e beneficiários; vale dizer, não compartilha com nenhum outro controlador a definição da finalidade do tratamento (objetivos e base legal), a natureza dos dados pessoais tratados, a duração do tratamento ou outro elemento da relação firmada com a pessoa física – de modo que não se configura o fenômeno da controladoria conjunta.
De outro lado, em situações específicas, as entidades fechadas de previdência complementar poderão figurar como operadora de dados, quando realizarem tratamento de dados sob controle de outra pessoa jurídica, inclusive em situações nas quais atua como controladora a patrocinadora. São os casos por exemplo, dos seguros, planos de saúde e outros benefícios firmados pelo indivíduo com a patrocinadora (sua empregadora) e que sejam arcados mediante desconto nos benefícios previdenciários pagos pela entidade, e demais hipóteses nas quais a EFPC não atua ou realiza operações de tratamento em relação à sua atividade fim e não terá poder decisório sobre os elementos essenciais do tratamento de dados pessoais.
II. CONTROLADORIA CONJUNTA E RISCOS INERENTES À ASSUNÇÃO IRREGULAR DESTA POSIÇÃO PARA PATROCINADORAS EM RELAÇÃO AOS PLANOS DE PREVIDÊNCIA COMPLEMENTAR
Embora a definição de controlador para cada atividade seja uma tônica usual pela abordagem legal, a LGPD prevê a possibilidade de controladoria conjunta nas hipóteses em que controladores estiverem conjuntamente incumbidos das decisões de tratamento de dados pessoais, sujeitando-se, portanto, ao regime de responsabilidade solidária12. Neste sentido, a ANPD define13 que a controladoria ocorrerá quando, cumulativamente:
i. mais de um controlador possui poder de decisão sobre o tratamento de dados pessoais;
ii. há interesse mútuo de dois ou mais controladores, com base em finalidades próprias, sobre um mesmo tratamento; e
iii. dois ou mais controladores tomam decisões comuns ou convergentes sobre as finalidades e elementos essenciais do tratamento.
Com base nisto, as decisões relacionadas às atividades de tratamento de dados para o cumprimento de contrato previdenciário e de obrigações legais/regulatórias decorrentes de tal contrato ou relação jurídica com o titular de dados pessoais (participante, assistido ou beneficiário) somente configurariam controladoria conjunta nas hipóteses em que além da EFPC administradora do plano de benefícios, outra pessoa jurídica estivesse, com esta, à frente das decisões do tratamento de dados do plano14.
Nos termos da LC 109, de 29 de maio de 2001, que disciplina o Regime de Previdência Complementar, porém, apenas entidades de previdência complementar e sociedades seguradoras estão autorizadas legalmente a operar planos de benefícios, e, por conseguinte, somente perante estas o contrato previdenciário poderá ser firmado pela pessoa física contratante15.
Patrocinadoras e instituidoras, segundo o art. 12 da referida lei, são pessoas jurídicas que instituirão os planos para que seus empregados ou associados possam a ele se filiar – por meio de contrato com a entidade de previdência, exclusivamente. Ou seja, a patrocinadora não é sequer parte contratante no termo de adesão ao qual o indivíduo (participante) adere ao plano, mas tão somente a entidade de previdência complementar.
Não por outro motivo, a LC 109/2001 expressamente consigna que "As contribuições do empregador, os benefícios e as condições contratuais previstos nos estatutos, regulamentos e planos de benefícios das entidades de previdência complementar não integram o contrato de trabalho dos participantes" (art. 68).
Eventual assunção de controladoria conjunta entre EFPC e patrocinadora acarreta consequências significativas para as obrigações e responsabilidades das partes envolvidas: poder de decisão sobre os elementos essenciais do tratamento (finalidade, fundamentos legais) e terão, consequentemente, iguais responsabilidades em relação às obrigações determinadas pela LGPD, inclusive a elaboração de relatórios de impacto à proteção de dados, gerenciamento de consentimento nas hipóteses cabíveis, notificação à autoridade e aos titulares sobre incidentes de segurança, atendimento à requisição de titulares e, inclusive, responsabilidade civil por danos decorrentes de atos ilícitos.
Por fim, pode-se concluir que as EFPC atuam em nome próprio e exclusivamente no tratamento de dados pessoais de participantes, assistidos e beneficiários para exercício de atividade previdenciária, de forma autônoma e dissociada da relação trabalhista mantida entre patrocinadora e seus colaboradores (relação empregatícia), não se configurando a controladoria conjunta para efeitos de LGPD.
1 O Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado, elaborado e divulgado pela Autoridade Nacional de Proteção de Dados Pessoais – ANPD e, maio de 2021, possui inúmeras referências à GDPR e seus instrumentos interpretativos, demonstrando alinhamento dos entendimentos da ANPD com aqueles proferidos em relação à GDPR.
4 "How do you determine whether you are a controller or processor? It is important to remember that an organisation is not by its nature either a controller or a processor. Instead you need to consider the personal data and the processing activity that is taking place, and consider who is determining the purposes and the manner of that specific processing." Disponível aqui.
6 Como esclarece a autoridade britânica de proteção de dados, a definição da finalidade de determinada atividade de tratamento de dados pessoais pelo operador implicará, além da desconformidade legal, na sua equiparação ao controlador, sendo a ele imposta a mesma responsabilidade que um controlador: "If a processor acts without the controller’s instructions in such a way that it determines the purpose and means of processing, including to comply with a statutory obligation, it will be a controller in respect of that processing and will have the same liability as a controller." (Clique aqui)
7 LGPD, art. 39. O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria.
8 "... o agente de tratamento é definido para cada operação de tratamento de dados pessoais, portanto, a mesma organização poderá ser controladora e operadora, de acordo com sua atuação em diferentes operações de tratamento". Autoridade Nacional de Proteção de Dados. Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Brasília, DF. Maio de 2021. Pág. 06.
9 Id. Pág. 07.
10 Id. Pág. 10 e 11.
11 Id. Pág. 07.
12 Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
§ 1º A fim de assegurar a efetiva indenização ao titular dos dados:
II - os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta Lei.
13 Autoridade Nacional de Proteção de Dados. Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Brasília, DF. Maio de 2021. Pág. 13.
14 Hipoteticamente, quando da transferência de gerenciamento de planos entre entidades de previdência complementar; e mesmo neste caso, temporariamente até que a operação seja concluída e definido o controlador exclusive de dados pessoais como sendo a entidade de previdência complementar destinatária.
15 Art. 6o As entidades de previdência complementar somente poderão instituir e operar planos de benefícios para os quais tenham autorização específica, segundo as normas aprovadas pelo órgão regulador e fiscalizador, conforme disposto nesta Lei Complementar.
(...)
Art. 36. As entidades abertas são constituídas unicamente sob a forma de sociedades anônimas e têm por objetivo instituir e operar planos de benefícios de caráter previdenciário concedidos em forma de renda continuada ou pagamento único, acessíveis a quaisquer pessoas físicas.
Parágrafo único. As sociedades seguradoras autorizadas a operar exclusivamente no ramo vida poderá ser autorizadas a operar os planos de benefícios a que se refere o caput, a elas se aplicando as disposições desta lei complementar.