MIGALHAS DE PESO

  1. Home >
  2. De Peso >
  3. Descomplicando: Agentes de tratamento

Descomplicando: Agentes de tratamento

O objetivo deste artigo é analisar a aplicação de tais conceitos e propor parâmetros objetivos para facilitar sua correta atribuição.

quarta-feira, 13 de maio de 2020

Atualizado às 13:36

t

Afinal de contas: quem é controlador e quem é operador? A Lei Geral de Proteção de Dados Pessoais (LGPD) foi aprovada em agosto de 2018 e, até hoje, escritórios, consultorias e empresas ainda encontram dificuldade em estabelecer esses papéis na prática. O objetivo deste artigo é analisar a aplicação de tais conceitos e propor parâmetros objetivos para facilitar sua correta atribuição.

O artigo 5º, inciso VI, da LGPD estabelece que "controlador" é a pessoa física ou jurídica "a quem competem as decisões referentes ao tratamento de dados pessoais". O inciso VII do mesmo artigo determina que "operador" é a pessoa física ou jurídica "que realiza o tratamento de dados pessoais em nome do controlador". De acordo com essas definições, o primeiro passo na delimitação de papéis é verificar se quem vai ocupar essa posição é pessoa física ou jurídica.

Para essa análise, é fundamental verificar o âmbito do tratamento. Quando o tratamento é restrito a um profissional pessoa física - como uma médica profissional liberal atendendo seus pacientes ou um contador autônomo prestando serviços a seus clientes -, então essa pessoa física será enquadrada como "controladora" ou "operadora" desses dados pessoais. Nos exemplos citados, a médica seria definida como controladora e o contador, como operador dos dados pessoais, conforme parâmetros definidos ao longo deste texto.

Ainda reforçando a importância do contexto do tratamento de dados pessoais para a definição dos papéis de controlador ou operador para pessoa física ou jurídica, quando os dados pessoais são tratados por uma organização, ainda que envolva o trabalho de pessoas físicas, é a organização que assumirá o papel de controladora ou operadora dos dados pessoais, e não a pessoa física. Por exemplo, no âmbito do tratamento de dados de usuários de um e-commerce, a empresa de e-commerce será a controladora desses dados, as empresas que fornecem a tecnologia da plataforma para o e-commerce, o gateway de pagamento e a nuvem para armazenar os dados serão operadores dos dados pessoais dos usuários, e os funcionários de todas essas empresas não serão nem "controladores" nem "operadores" dos dados pessoais de forma individual, mas tão-somente parte ou representantes (lato sensu) da empresa controladora ou operadora. Em resumo, a pessoa jurídica, quando envolvida em determinado tratamento de dados pessoais, prevalece na assunção dos papéis definidos pela LGPD.

Superada a definição de qual pessoa assumirá a posição de controladora ou operadora, deve-se prosseguir para a análise da operação de tratamento em si e da relação contratual que a rege. Em 7 de novembro último, o European Data Protection Supervisor publicou as EDPS Guidelines on the concepts of controller, processor and joint controllership under Regulation (EU) 2018/1725 com uma lista de 8 perguntas para auxiliar uma entidade a descobrir se ela atua ou não como processadora. No entanto, as perguntas são demasiadamente abertas e em número par, sendo que a entidade poderia ser considerada processadora se obtivesse a maioria das respostas às perguntas como "sim". Para facilitar a definição do papel de uma pessoa física ou jurídica como controladora ou operadora (também chamada de processadora, quando considerado o GDPR), é necessário voltar ao conceito definido no diploma legal e analisá-lo com atenção, conforme a seguir.

O controlador é definido como a pessoa "a quem competem as decisões referentes ao tratamento de dados". E que decisões são essas? Para responder a essa pergunta, é necessário consultar o General Data Protection Regulation (GDPR), que inspirou a redação da nossa LGPD. O artigo 4º, item nº 7, define como controladora (na versão em inglês, ou "responsável pelo tratamento" na versão de Portugal) a pessoa que "determina as finalidades e os meios de tratamento de dados pessoais". Desse modo, a entidade que decidir sobre a finalidade de tratamento dos dados pessoais sob questão e decidir sobre os meios de tratamento, será a controladora desses dados.

De outro modo, pela definição de operador como a pessoa "que realiza o tratamento de dados pessoais em nome do controlador" (muito similar à definição do artigo 4º, item 8 do GDPR), a entidade que atuar como operadora somente poderá tratar os dados para a finalidade previamente autorizada (contratada) pelo controlador, e utilizando os meios de tratamento também previamente autorizados (contratados) pelo controlador (conforme artigo 39, LGPD), realizando essa operação "em nome" do controlador - expressão que deixa claro a quem pertence a responsabilidade principal sobre o tratamento dos dados pessoais (controlador).

Vamos voltar ao exemplo prático do e-commerce: a nuvem, a plataforma e o gateway de pagamento foram contratados pela empresa de e-commerce para realizar operações específicas com os dados pessoais dos usuários compradores do e-commerce, e não podem, por si só, definirem novas finalidades de uso desses dados não previstas no contrato. Qualquer nova finalidade de uso dos dados deve ser objeto de análise de legalidade e de um novo acordo entre as partes. Semelhantemente, os operadores não possuem autonomia para tomar decisões de tratamento que impactem na escolha contratada pelo controlador, na operação do controlador, e/ou tenha impacto sobre a legalidade do tratamento.

Em outras palavras, a empresa que fornece o serviço de armazenamento em nuvem não pode simplesmente decidir que os dados sob responsabilidade do e-commerce (controlador) não mais serão armazenados em servidores no Brasil, mas passarão a ser armazenados nos EUA ou na Índia. Essa intenção deve ser notificada previamente ao e-commerce (controlador) para que ele decida se (a) aceitará essa mudança e assinará aditivo que permita essa transferência internacional, além de comunicar seus usuários sobre essa mudança (conforme o princípio da transparência), ou (b) se não concordará com essa mudança e buscará um outro provedor do serviço de armazenamento em nuvem (concorrente) que mantenha os dados armazenados no Brasil.

Vale destacar que não são todas as decisões relacionadas ao tratamento que cabem ao controlador, mas somente aquelas que podem gerar impacto direto em sua operação e na legalidade do tratamento, como no exemplo anterior em que a mudança de local do servidor implicaria uma transferência internacional de dados pessoais não prevista em contrato. Ainda nessa linha, é importante lembrar que o contrato entre as partes pode permitir certa flexibilidade, como já prever uma lista de países em que a operadora (nuvem) poderá armazenar os dados pessoais sob responsabilidade do controlador (e-commerce), ocasião em que, já tendo previamente acordado com essa lista, a operadora terá liberdade de transferir os dados de um local ao outro sem necessidade de buscar uma nova autorização, pois já está previamente autorizada para essas hipóteses. A mudança de técnicas ou ferramentas de segurança da informação utilizadas pela operadora também não dependerão de nova decisão por parte do controlador, desde que as novas técnicas ou ferramentas mantenham um nível de segurança da informação igual ou maior do que o previamente ajustado em contrato com o controlador.

E a definição dos papéis não é exclusiva, pois é possível que uma empresa seja definida, ao mesmo tempo, como controladora e operadora de dados pessoais. Isso acontece porque as organizações tratam dados pessoais de diferentes titulares e para finalidades diversas, devendo cada tipo de tratamento ser analisado individualmente para a correta atribuição dos conceitos. A empresa que fornece serviço de nuvem, por exemplo, é operadora dos dados pessoais de usuários do e-commerce e, ao mesmo tempo, controladora dos dados pessoais de seus funcionários, terceirizados e dos representantes de clientes, parceiros e fornecedores.

Uma última pergunta: existe "co-controlador"? Apesar de tal nomenclatura não estar presente de forma explícita na LGPD, a prática demonstra que de fato há entidades que atuam como "co-controladoras" de dados pessoais. Essa expressão tem origem no artigo 26 do GDPR, que prevê a atuação de controladores com responsabilidades conjuntas, concomitantes no tratamento de dados pessoais, determinadas mediante acordo entre as partes (contrato). Essa responsabilidade conjunta traduz-se na faculdade de cada uma das partes determinar as finalidades e os elementos essenciais do tratamento dos dados pessoais, mesmo que apenas uma das partes tenha acesso aos dados. Na língua portuguesa, o prefixo "co" tem o significado de "concomitância, simultaneidade", daí a expressão "co-controladores" para os controladores concomitantes dos mesmos dados pessoais.

Dada essa responsabilidade conjunta, é facultado ao titular do dado o exercício de seus direitos perante um ou outro controlador. Por exemplo: um marketplace e uma loja anunciante são, ambos, controladores dos mesmos dados pessoais de identificação do usuário que fez a compra e têm responsabilidade conjunta por esses dados. São, portanto, "co-controladores" e devem garantir o efetivo exercício de direitos pelo titular independente de o titular procurar exercê-los diretamente em face do marketplace ou da loja anunciante, embora contratualmente os agentes de tratamento possam definir os seus papéis e responsabilidades na garantia desses direitos.

Em resumo, a definição dos papéis de agentes de tratamento deve ocorrer, na prática e para cada tipo de tratamento, da seguinte forma: (I) verificação de pessoa física ou jurídica envolvida no tratamento, (II) verificação de autonomia ou não para definição de novas finalidades e decisões de grande impacto no tratamento, (III) no caso de entidade controladora, verificação de responsabilidade isolada ou conjunta. Esses três parâmetros definem, de forma clara, se uma entidade é operadora, controladora única ou controladora conjunta (co-controladora) de dados pessoais.

_________

*Daniela M. Monte Serrat Cabella é advogada especialista em Privacidade e Proteção de Dados. Pós-graduada em Gestão da Inovação e Direito Digital pela FIA, Bacharel em Direito pela FDPR-USP.

*Raíssa Moura Ferreira é Legal Law Master em Direito Corporativo pelo IBMEC e bacharel em Direito pela UNICAP. Representante do Capítulo Recife do movimento internacional de direito e tecnologia Legal Hackers.

t

AUTORES MIGALHAS

Busque pelo nome ou parte do nome do autor para encontrar publicações no Portal Migalhas.

Busca