1.Introdução
Os agentes de tratamento são o controlador e o operador e estes poderão responder solidariamente por desconformidades, já que a Lei Geral de Proteção de Dados reconhece a responsabilidade solidária entre os agentes de tratamento, resguardas as situações nas quais existe excludente de responsabilidade de ambos, ou do operador.
A LGPD preconiza no artigo 5, inciso IX, que o controlador e o operador são agentes de tratamento.
O controlador é o agente de tratamento responsável, ao qual competem as decisões referentes ao tratamento de dados pessoais. Este é quem determina os objetivos e meios do processamento, assim como os seus meios e objetivos.
Na legislação da União Europeia, o controlador se denomina contratante, ou responsável pelo tratamento e passou a ser tarefa imprescindível, na jornada de implementação e conformidade, definir quem é o controlador e quem é o operador. Em regra, o controlador é uma entidade que decide sobre os elementos-chave de um processamento.
Já o operador trata dados, de acordo com as instruções do controlador. Podemos dizer que consiste em uma verdadeira "terceirização de atividades de tratamento" para outras entidades, seja por pessoas jurídicas, ou naturais, Não existe impedimento para uma pessoa natural ser contratada como operadora em atividades específicas de tratamento de dados, sendo considerada operadora de dados, mas os empregados, os servidores públicos, os sócios, assim como outras pessoas naturais, que integram e estão vinculados a uma pessoa jurídica, expressando sua vontade, não poderão ser considerados agentes de tratamento, operadores, ou controladores, neste cenário. Na verdade, a entidade responderá pelos atos destes prepostos que agem e tratam dados em seu nome.
O Parecer 1/2010 do Grupo de Trabalho do artigo 29, na União Europeia, ainda elaborado durante a vigência da Diretiva 95/46/CE, sobre os conceitos de responsável pelo tratamento, ou controlador e operador, ou subcontratante, WP 169, já nos brindava com o conceito de responsável pelo tratamento dos dados e trazia a sua relação com o conceito de subcontratante, que corresponde ao operador, no Brasil.
O controlador, era inicialmente denominado, na Convenção 108 do Conselho da Europa, de 'responsável pelo ficheiro', e o termo foi substituído por "responsável pelo tratamento" de dados pessoais. A Diretiva introduziu também o conceito de "subcontratante", que não era mencionado na Convenção 108.
Os conceitos iniciais foram formulados durante as negociações relativas ao projeto de proposta da Diretiva 95/46/CE, no início da década de 90 e o conceito inicial de responsável pelo tratamento foi basicamente retirado da Convenção de número 108 do Conselho da Europa, adotada em 1981.
BRASIL
EQUIVALENTE NA UNIÃO EUROPEIA
CONTROLADOR
RESPONSÁVEL
OPERADOR
SUBCONTRATANTE
2.Identificando os agentes de tratamento
A LGPD do Brasil se inspirou inicialmente na Diretiva 94/46/CE, foi promulgada e entrou em vigor durante o Regulamento Geral de Proteção de Dados da União Europeia. É importante destacar que o Regulamento Geral de Proteção de Dados revogou a Diretiva, mas incorporou suas bases legais de legitimidade de tratamento, princípios, assim como vários institutos e conceitos, como dos agentes de tratamento, responsável e subcontratante.
No Brasil, os agentes de tratamento, nos termos da Lei Geral de Proteção de Dados, são: o controlador e o operador.
CONTROLADOR: é agente de tratamento e poderá ser uma pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados6 pessoais. É o agente de tratamento responsável, principal.
OPERADOR: é agente de tratamento e poderá ser uma pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
O principal elemento distintivo entre estes atores é o poder de decisão, admitindo-se que o controlador forneça instruções para que um terceiro ("operador") realize o tratamento em seu nome. Um controlador pode compartilhar dados, por exemplo, para um contador, uma empresa de folha de pagamento, uma transportadora, um courrier, entre outros, os quais apenas poderão tratar dados de acordo com as instruções claras do controlador, não podendo utilizá-los para finalidade distinta, ou além daquela determinada pelo controlador.
O operador, subcontratante, na União Europeia, poderá apenas decidir sobre certos assuntos, como, por exemplo, qual software usar, segregação de acesso e outras medidas técnicas e administrativas de segurança da informação, o que não altera seu papel como operador.
Talvez ficasse mais claro, se no Brasil tivéssemos repetido as nomenclaturas eleitas e utilizadas pela legislação da União Europeia, não dando uma falsa ideia de que o empregado, um servidor, uma equipe, ou departamento, poderiam ser agentes de tratamento e assim polo passivo em uma ação judicial dos entes legitimados para ações civis públicas, ou mesmo em uma ação individual, ou uma sanção da Autoridade Nacional de Proteção de Dados.
Esta diferenciação é fulcral não apenas para os profissionais especializados na área, mas também para o cidadão comum e principalmente em uma implementação por uma empresa ou entidade, principalmente pelo papel assumido pelo controlador, como responsável pelas atividades de tratamento, que detém poder de decisão.
Tínhamos já anteriormente importantes documentos que nos ajudavam na interpretação da Lei Geral de Proteção de Dados e nas diferenças entre os agentes de tratamento e mesmo o DPO, ou encarregado, (o qual não é agente de tratamento), como a guideline da União Europeia de número 07/2020 do CEPD (Comitê Europeu de Proteção de Dados) e o anterior parecer do Grupo de Trabalho do Artigo 29 de número 1/2010.
A Autoridade Nacional de Proteção de Dados, no Brasil, preocupada com a identificação dos agentes de tratamento e as dúvidas recorrentes sobre esta temática, constatada não apenas em empresas privadas, mas principalmente em órgãos públicos, publicou o "Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado"1, em 2021, o qual pode ser encontrado no site do governo federal.
De acordo com este guia, os agentes de tratamento (controlador e o operador) poderão ser pessoas naturais ou jurídicas, de direito público ou privado, devendo estes ser definidos a partir de seu caráter institucional. Importante destacar que os empregados, como subordinados, os servidores públicos, ou as equipes de trabalho de uma organização, não serão considerados controladores (autônomos ou conjuntos), nem operadores já que atuam sob o poder diretivo do agente de tratamento.2
Desta forma, um contador que trabalha internamente, como empregado, assim como um departamento de contabilidade, com empregados da entidade controladora, os quais são vinculados à pessoa jurídica, não são agentes de tratamento. Já se a empresa controladora contratar um contador pessoa natural externo, ou um escritório externo de contabilidade, por exemplo, estes passarão a ser operadores.
Destaquemos ainda, que o guia da Autoridade Nacional de Proteção de Dados ainda preconiza que: sempre que falamos de pessoa jurídica, a organização é que será o agente de tratamento para os fins da Lei Geral de Proteção de Dados, sendo que esta que estabelecerá as regras para o tratamento de dados pessoais, as quais serão executadas por seus representantes ou prepostos.
A pessoa jurídica, sempre que esta existir, será o agente de tratamento, controlador ou operador. Será controlador se tomar decisões e der instruções sobre as atividades de tratamento. Será operador se seguir estas instruções e apenas tratar os dados de acordo com as orientações lícitas daquele.
Gerentes, sócios e empregados do controlador são vinculados a este e quem responde é o controlador. Empregados e outras pessoas naturais vinculadas ao operador também atuarão em nome deste. Isto é, se um empregado, ou gestor, der causa a um vazamento, assim como um servidor, o responsável será o agente de tratamento, empresa ou entidade empregadora, restando àquele a possibilidade de sofrer sanções disciplinares, que lhe poderão ser impostas pelo empregador agente de tratamento, desde uma advertência até uma justa causa, dependendo da proporcionalidade, gravidade e reincidência, além da possibilidade de ação regressiva por dolo ou culpa, se houver prévio ajuste contratual, nos termos do artigo 462 da CLT, parágrafo 1º. Do mesmo modo responderá um servidor, nos termos da Constituição Federal de 1988, artigo 37, parágrafo 6º.
Sendo responsável, é muito importante o agente de tratamento colocar no contrato de trabalho de seus empregados o dever de sigilo, no tratamento de dados, além de ter uma política de segurança da informação com instruções, da qual o empregado irá assinar termo de responsabilidade de que seguirá as orientações, além dos termos de confidencialidade. Também deverão ser oferecidos treinamentos de segurança da informação.
A política de segurança da informação deverá incluir cláusulas como a política da mesa limpa e da tela limpa, proibição de permanência em outros setores, proibição de compartilhamento de senhas, entre outras instruções.
Outro ponto importante é que o agente de tratamento será definido para cada operação de tratamento de dados pessoais e por conclusão a mesma empresa ou organização poderá ser controladora e operadora, mas apenas se em tratamentos distintos e de acordo com sua atuação, em diferentes operações de tratamento. Por exemplo, um contador geralmente é operador quando faz atividade de departamento pessoal, assim como em relação aos próprios empregados, mas será controlador em eventual auditoria.
3. Pessoa natural como agente de tratamento
Quando a Lei Geral de Proteção de Dados conceitua controlador e operador e traz que estes podem ser pessoas naturais não está se referindo a empregados, equipes, departamentos, gestores, sócios e nem servidores. Se estes fossem agentes de tratamento, os empregados e servidores passariam a estar no polo passivo de ações individuais e coletivas, nos termos do artigo 42 da LGPD e poderiam sofrer sanções da Autoridade Nacional, a qual, na sua função educativa, entre outras, como de conscientizar, regulamentar, fiscalizar o cumprimento da LGPD e aplicar sanções, em seu primeiro guia do Brasil, já demonstrou a preocupação com a possibilidade deste cenário com as interpretações equivocadas, no Brasil, ao eleger este tema como o primeiro para a elaboração de um guia orientativo, entre tantos temas a tratar e regulamentar.
Uma pessoa natural poderá ser controladora, como, por exemplo, um advogado, ou um médico tratando os prontuários de seus pacientes, já que estes tomam decisões nas atividades de tratamento. Da mesma forma, um vendedor que tem sua tenda de pipoca, ou cachorro quente, ou uma pequena loja, mas nunca os empregados vinculados a estes.
Estas entidades serão controladoras sempre que atuarem de acordo com os próprios interesses e tiverem poder de decisão sobre as finalidades e os elementos essenciais de tratamento e serão operadoras quando atuarem de acordo com os interesses do controlador, sendo-lhes facultada apenas a definição de elementos não essenciais à finalidade do tratamento.
O guia da Autoridade Nacional de Proteção de Dados, da mesma forma que a guideline 07/2020, da União Europeia, reza que os funcionários atuarão em subordinação às decisões do controlador, não se confundindo, portanto, com os operadores de dados pessoais:
"Daí decorre que não são controladoras as pessoas naturais que atuam como profissionais subordinados a uma pessoa jurídica ou como membros de seus órgãos. É o caso de empregados, administradores, sócios, servidores e outras pessoas naturais que integram a pessoa jurídica e cujos atos expressam a atuação desta. Nesse sentido, a definição legal de controlador não deve ser entendida como uma norma de distribuição interna de competências e responsabilidades. De forma diversa, trata-se de comando legal que atribui obrigações específicas à pessoa jurídica, de modo que esta assume a responsabilidade pelos atos praticados por seus agentes e prepostos em face dos titulares e da ANPD"3
Trazemos alguns exemplos didáticos trazidos pela Autoridade Nacional de Proteção de Dados.
Um ótimo exemplo seria considerarmos uma relação existente entre uma empresa A e sua contabilidade, ou uma empresa de gestão de folha de pagamento, ou mesmo uma nuvem, sendo que a empregadora tomará as decisões sobre o tratamento destes dados. Neste exemplo, a empresa empregadora seria a controladora, a qual toma as decisões referentes aos tratamentos dos dados pessoais, enquanto a segunda (contabilidade, empresa de gestão de folha de pagamento ou uma nuvem) seria a operadora, já que realiza os tratamentos em nome do controlador.
A empresa de contabilidade, operadora, receberá os dados coletados pela controladora. Estes dados serão compartilhados e realizar-se-á o tratamento, de acordo com as suas orientações e determinações, além da finalidade indicada pela controladora e caso venha a realizar qualquer tratamento de dados fora do que foi orientado pelo controlador, a contabilidade será responsabilizada.
4.Exemplos práticos do Guia Orientativo da Autoridade Nacional de Proteção de Dados para Definições dos Agentes de Tratamento da Autoridade Nacional de Proteção de Dados
"Exemplo 1 - Médica profissional liberal:
Uma médica, profissional liberal, armazena os prontuários e os demais dados pessoais de seus pacientes no computador de seu consultório. A médica, pessoa natural, é a controladora dos dados pessoais."[4] (destaques nossos)
"Exemplo 2 - Médica empregada de um hospital:
Uma médica é empregada de um hospital, constituído sob a forma de associação civil sem fins lucrativos. Nessa condição, atua como principal representante do hospital junto a um serviço de armazenamento de dados de pacientes em nuvem, inclusive assinando os contratos correspondentes. O hospital, isto é, a associação civil, pessoa jurídica de direito privado, é o controlador na hipótese. A médica, por atuar sob o poder diretivo da organização, não se caracteriza como agente de tratamento."5(destaques nossos)
"Exemplo 3 - Servidores públicos:
Uma autarquia, entidade da administração pública indireta, com personalidade jurídica própria, deseja utilizar um novo software para aprimorar o gerenciamento dos funcionários da instituição. Para isso, a Secretaria de Gestão Corporativa da entidade delega à Diretoria de Gestão de Pessoas (DGP) a tarefa de determinar os meios pelos quais este software será implementado. Após algumas reuniões, a DGP decide pela contratação da empresa terceirizada SIERRA para desenvolver o software em parceria com a equipe interna da Diretoria de Tecnologia da Informação (DTI). Embora a delegação de decisão quanto aos meios para a DGP possa sugerir que essa diretoria atue como operadora de dados, esta não é a análise correta: como a DGP é uma unidade administrativa da autarquia, a delegação interna não altera o papel do agente de tratamento, uma vez que, como exposto, o operador será sempre pessoa distinta do controlador. O mesmo raciocínio se aplica para a DTI. Desse modo, a autarquia será a controladora de dados e a empresa SIERRA será a operadora de dados. A Secretaria e as Diretorias, assim como os seus respectivos servidores, são apenas unidades organizacionais do ente controlador de dados, razão pela qual não se caracterizam como agentes de tratamento."6(destaques nossos)
"Exemplo 4 - Órgão público contratante de um serviço de inteligência artificial:
Um órgão público, vinculado à União, contrata uma solução de inteligência artificial fornecida por uma sociedade empresária com a finalidade específica de realizar o tratamento automatizado de decisões com base em um banco de dados gerido pelo órgão. Seguindo as instruções fornecidas pelo gestor público responsável e estabelecidas em contrato, a sociedade empresária realiza as operações necessárias para viabilizar o tratamento dos dados em questão. A União, pessoa jurídica de direito público, é a controladora na hipótese. Não obstante, o órgão público responsável detém obrigações legais específicas em face dos titulares e da ANPD, conforme previsto na LGPD. A sociedade empresária é a operadora, uma vez que realiza o tratamento dos dados conforme as instruções fornecidas pelo controlador. Por fim, o gestor público responsável, por atuar como servidor público subordinado à União, não se caracteriza como agente de tratamento." 7(destaques nossos)
5. Controladoria conjunta
Sempre que estivermos diante de mais de um responsável pelo tratamento de dados pessoais, ambos com poder de decisão, tomando decisões conjuntas, teremos uma controladoria conjunta. Estes agentes responderão solidariamente nos termos do artigo 42, parágrafo 1º, inciso II, que reza que os controladores que estiverem diretamente envolvidos no tratamento do qual decorrerem danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no artigo 43 da LGPD. Diferente do que ocorre quando compartilhados dados para pagamento de empregados em um banco, um órgão do governo, ou um plano de saúde, que tomam decisões independentes, sendo os responsáveis por seus tratamentos, como controladores independentes.
A controladoria conjunta estará presente sempre que presentes critérios trazidos pela guideline 07/208 do CEPD da União Europeia e que o Guia orientativo da ANPD para definições de agentes de tratamento for observado:
1- Deverá existir o poder de decisão no tratamento de dados pessoais conjunto, ou de mais de um agente de tratamento.
2- Deverá existir interesse mútuo de pelo menos dois controladores e que tenham finalidades próprias no mesmo tratamento.
3- Estes controladores conjuntos deverão tomar decisões conjuntas, comuns ou convergentes, tanto sobre os elementos essenciais como sobre as finalidades do tratamento.
Importante destacarmos que todos os critérios deverão ser seguidos concomitantemente para termos controladores ou responsáveis conjuntos.
Seguem alguns exemplos de controladores conjuntos do Guia Orientativo para Definições dos Agentes de Tratamento:
"Exemplo 1 - Campanha de marketing de empresas I: decisões comuns.
As empresas ARGENTINA e BRASIL lançaram um produto de marca conjunta COSMÉTICO e desejam organizar um evento para promover este produto. Para esse fim, decidem compartilhar dados de seus respectivos clientes e banco de dados de clientes potenciais e decidir sobre a lista de convidados para o evento com base nesses dados. Eles também concordam sobre as modalidades de envio dos convites para o evento, como coletar feedback durante os eventos e sobre as ações de marketing de acompanhamento. Por fim, contratam a agência de marketing DINAMARCA para executar a campanha. A agência traz sugestões de como os clientes poderiam ser mais bem alcançados e define os canais, ferramentas e produtos da campanha. As empresas ARGENTINA e BRASIL podem ser consideradas controladores conjuntos para o tratamento de dados pessoais relacionados com a organização do evento e promoção do produto da marca COSMÉTICO, por terem definido, em conjunto, a finalidade e os elementos essenciais dos dados tratados nesse contexto. Já a agência de marketing DINAMARCA atuará como operadora de dados para as empresas ARGENTINA e BRASIL. Ainda que opine sobre os meios de tratamento, ela não é a responsável pela tomada de decisão final, limitando-se a definir elementos não essenciais como os canais, ferramentas e produtos da campanha. Caso a agência de marketing DINAMARCA contrate serviços de terceiros de armazenamento de dados em nuvem, por exemplo, essa empresa prestadora de serviços será caracterizada como suboperadora." 9( destaques nossos)
"Exemplo 2 - Campanha de marketing de empresas II: decisões autônomas
Considere-se agora que a campanha descrita no exemplo anterior foi tão bem-sucedida que, em um segundo momento, a empresa ARGENTINA contrata a agência de marketing DINAMARCA para divulgar seus produtos ESPELHO e FACA. Pouco tempo depois, a empresa BRASIL toma a mesma decisão para divulgação dos produtos GARRAFA e HALTERE. Ambas as empresas passam a usar a lista de clientes que haviam compartilhado anteriormente. Nesta situação, que envolve a divulgação de produtos produzidos exclusivamente pela empresa ARGENTINA ou pela empresa BRASIL, estas atuarão como controladores singulares, cada uma atuando em suas próprias campanhas. A agência de marketing DINAMARCA continuará como operadora de dados para cada empresa." 10( destaques nossos)
A Lei Geral de Proteção de Dados atribui maior responsabilidade ao controlador, ainda que havendo responsabilidade solidária entre os agentes de tratamento. Dentro de suas atribuições este deverá elaborar Relatório de Impacto à Proteção de Dados Pessoais, comunicar incidentes à ANPD, elaborar o ROPA (registro das atividades de tratamento de dados pessoais) e sua responsabilidade se dá nos termos dos artigos 42 a 45 da LGPD.
Os controladores, assim como os operadores, serão obrigados a reparar qualquer dano que provocarem, seja patrimonial, moral, individual ou coletivo, em razão do exercício de atividade de tratamento de dados pessoais, em violação à LGPD.
O operador deverá agir de acordo com as obrigações previstas na LGPD e seguir as orientações lícitas do controlador, caso contrário, responderá, solidariamente, pelos danos causados em razão do tratamento de dados pessoais realizado.
Qualquer desconformidade à Lei Geral de Proteção de Dados, ou a não observância a um ou a mais de um dos seus dispositivos poderá gerar sanções da Autoridade Nacional de Proteção de Dados, ou de outras entidades, como o Procon, nas relações de consumo, além de ações individuais e coletivas, no judiciário, com pedido de dano moral individual ou coletivo e eventual dano material.
No rigor da lei, o tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular pode esperar.
Conclusão
Diante de uma nova cultura e um novo cenário que nasceu, em virtude da crescente necessidade de proteção aos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, trazida principalmente por novas tecnologias muitas vezes imperceptíveis e por um mundo novo dominado por tecnologia e algoritmos, em que os controladores passam a ser responsáveis pelo compromisso, isoladamente ou em conjunto, com diferentes graus de autonomia e responsabilidade, assim como os operadores, ambos agentes de tratamento, assumindo a responsabilidade pelas suas atividades de tratamento, não seria justo transferir esta responsabilidade aos seus trabalhadores, equipes, departamentos, diretores, gerentes e outros empregados, assim como aos servidores.
Os empregados, administradores, sócios, servidores e outras pessoas naturais são apenas vinculados à pessoa jurídica, ou uma entidade e seus atos expressam a atuação desta, podendo responder apenas posteriormente, em ação regressiva, nos termos da Consolidação das Leis do Trabalho, se empregados, por dolo, ou culpa, quando ajustado contratualmente e até ser dispensados por justa causa, ou nos termos de outras legislações para os demais, ao descumprirem as políticas internas de segurança da informação e instruções da empresa. Mesmo os sócios não responderão inicialmente, em eventual demanda judicial, mas sim a entidade, sem que haja inicialmente um incidente de desconsideração de personalidade jurídica, ou por sanções da ANPD.
Com exemplos específicos trazidos e retirados da experiência diária das autoridades de proteção de dados em guias e pareceres, neste pequeno artigo, fizemos esforços em orientar e contribuir de forma clara, eficaz e didática, em uma das dúvidas que mais nos deparamos nas entidades que iniciam esta nova jornada de conformidade, que não terá mais volta, devido ao avanço tecnológico que vivemos e tende a aumentar.
________________
1 ANPD. GUIA ORIENTATIVO PARA DEFINIÇÕES DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS E DO ENCARREGADO. Disponível aqui.
2 ANPD. GUIA ORIENTATIVO PARA DEFINIÇÕES DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS E DO ENCARREGADO. Disponível aqui. Acesso em 25 jun 2021
3 ANPD. GUIA ORIENTATIVO PARA DEFINIÇÕES DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS E DO ENCARREGADO.
4 ANPD. GUIA ORIENTATIVO PARA DEFINIÇÕES DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS E DO ENCARREGADO.
5 ANPD. GUIA ORIENTATIVO PARA DEFINIÇÕES DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS E DO ENCARREGADO.
6 ANPD. GUIA ORIENTATIVO PARA DEFINIÇÕES DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS E DO ENCARREGADO.
7 ANPD. GUIA ORIENTATIVO PARA DEFINIÇÕES DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS E DO ENCARREGADO.
8 EDPB, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, set. 2020. Disponível aqui. Acesso: 25 jun. 2021.
9 ANPD. GUIA ORIENTATIVO PARA DEFINIÇÕES DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS E DO ENCARREGADO.
10 ANPD. GUIA ORIENTATIVO PARA DEFINIÇÕES DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS E DO ENCARREGADO.