A Autoridade Nacional de Proteção de Dados lançou, em 27/4/22, a versão 2.0 do “guia orientativo para a definição dos agentes de tratamento e do encarregado”. Nele, a ANPD traz maiores orientações sobre as atribuições dos agentes controladores de dados e traz maiores esclarecimentos conceituais.
A Autoridade foi criada pela MP 869/181, convertida na lei 13.853/192, e passou a funcionar efetivamente com a nomeação de seu primeiro diretor-presidente, em 05 de novembro de 2020. É um órgão pertencente à administração pública federal, integrante da presidência da República. Possui autonomia técnica e decisória, sendo responsável por zelar pela proteção dos dados pessoais, e por orientar, regulamentar e fiscalizar o cumprimento da legislação.
O Guia vai ao encontro do discurso do presidente da ANPD, que em recente entrevista afirmou que não quer que a autoridade se transforme em uma “indústria da multa”3.
A ideia é atuar de forma preventiva e orientativa, para que os gestores de dados se adequem às necessidades e tenham um processo de tratamento das informações mais maduro. As sanções por descumprimento da LGPD ou por incidentes de segurança de dados podem chegar à R$ 50 milhões de reais ou 2% do faturamento das empresas.
Justamente para que não haja penalidades o Guia traz exemplos práticos das competências e responsabilidades para quem é agente de tratamento. Esses, por sua vez, são as figuras do controlador e o operador de dados pessoais, que podem ser pessoas físicas ou jurídicas, públicas ou privadas.4
Basicamente, o controlador é quem toma as decisões referentes ao tratamento de dados pessoais. O operador é quem realiza o tratamento de dados pessoais em nome do controlador. Já o encarregado de dados é indicado pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD.
O Guia ainda explica as cadeias mais completas, como é o caso do suboperador, que é a pessoa contratada para auxiliar o operador a realizar o tratamento de dados pessoais em nome do controlador. Portanto, a relação direta do suboperador seria com o operador e não com o controlador.
Também traz a diferença entre a controladoria conjunta e a controladoria singular, explicando os critérios que devem ser observados para verificar se existe uma controladoria conjunta na cadeia de tratamento de dados e como deve ser feita a interlocução entre os agentes.
Outro ponto relevante é a adequação das orientações à resolução CD/ANPD 2, de 27 janeiro de 2022, que aprova o regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte, que hoje é um público que encontra grandes dificuldades para aplicar a LGPD em seus negócios.
O conhecimento desses conceitos é fundamental para que os agentes de tratamento de dados possam atuar com segurança e para que haja maior conscientização, dos entes públicos e privados, de que é necessário se criar uma cultura de proteção e para a aplicação de boas práticas de proteção de dados pessoais.