MIGALHAS DE PESO

  1. Home >
  2. De Peso >
  3. ANPD define que funcionário e servidor não são agentes de tratamento de dados pessoais

ANPD define que funcionário e servidor não são agentes de tratamento de dados pessoais

O suboperador, assim como o operador, também tem responsabilidades e deve responder por elas perante a ANPD.

segunda-feira, 31 de maio de 2021

Atualizado às 14:30

 (Imagem: Arte Migalhas)

(Imagem: Arte Migalhas)

"De acordo com a LGPD, eu sou um operador de dados?" Essa era uma dúvida contumaz dos funcionários e servidores de organizações públicas e privadas. A Autoridade Nacional de Proteção de Dados- ANPD, ciente dessa das diversas discussões e interpretações que a Lei Geral de Proteção de Dados Pessoais (LGPD) incitava, publicou, no último dia 27 de maio, o seu primeiro Guia Orientativo, definindo claramente as atribuições dos agentes de tratamento - controlador e operador - e o papel do encarregado de dados. O documento, intitulado Guia Orientativo para Definições de Agentes de Tratamento de Dados Pessoais e do Encarregado1, está disponível na página web da ANPD.

Esse guia traz importantes definições para esclarecer o papel dos funcionários e servidores à luz da LGPD, preenchendo lacunas que davam margem a interpretações diversas e consequente insegurança jurídica sobre as atribuições de todos os envolvidos no processo de tratamento de dados pessoais. A ANPD busca, com esse guia, exercer o seu papel de regulamentação e enforcement da LGPD. O guia está sujeito a atualizações, uma vez que, segundo a própria ANPD, está aberto a comentários e contribuições por parte da sociedade em geral.

Agentes de tratamento, por definição, são aqueles que exercem o papel de controlador ou operador de dados pessoais. Pela LGPD, os agentes podem ser pessoas naturais ou jurídicas, de direito público ou privado. Até aqui, tudo como está na letra da lei. Mas e os funcionários e servidores públicos, podem ser considerados controladores ou operadores?

Para demonstrar a variedade de interpretações, vamos citar dois exemplos. O Ministério Público do Estado do Rio Grande do Sul definiu por meio Provimento 68/202 que todos os seus membros, servidores e estagiários são considerados operadores de dados pessoais3. O Tribunal de Justiça do Distrito Federal e dos Territórios e definiu por meio da Resolução 09 de 2 de setembro de 204 que o seu presidente é controlador e que os vice-presidentes e o corregedor são "controladores-adjuntos". Além disso, definiu todos os servidores e terceirizados são operadores5. O TJDFT chegou a classificar os operadores em 3 níveis6, com estabelecimento de revisão do fluxo de tratamento entre esses níveis de operador.

1. Afinal, funcionário ou servidor são operadores?

Pessoas naturais podem ser agentes de tratamento - operadoras ou controladoras. Segundo o guia, pessoas naturais são controladores quando agirem "de acordo com os próprios interesses, com poder de decisão sobre as finalidades e elementos essenciais de tratamento". Pessoas naturais serão operadoras quando "atuarem de acordo com os interesses do controlador, sendo-lhes facultada apenas a definição de elementos não essenciais à finalidade do tratamento". Por exemplo, médicos ou advogados, como profissionais liberais, que lidam com informações pessoais de pacientes ou clientes, estão atuando como controladores e como operadores ao tratarem tais dados pessoais.

Destaca-se que a principal diferença entre controlador e operador é o poder de decisão que compete ao primeiro.

Segundo o guia divulgado pela ANPD, "não são considerados controladores ou operadores os indivíduos subordinados, tais como os funcionários, os servidores públicos ou as equipes de trabalho de uma organização, já que atuam sob o poder diretivo do agente de tratamento". Eles atuarão mediante subordinação às decisões do controlador.

2. Diferenças básicas entre Controlador e Operador

O controlador também pode fazer tratamento de dados pessoais. A diferença do controlador para o operador é o poder de decisão que o controlador possui. E esse poder de decisão permite que ele contrate um operador para realizar o tratamento em seu nome.

Outro ponto que restou esclarecido pelo Guia é a "desnecessidade de que todas as decisões sejam tomadas pelo controlador". A ANPD definiu que o controlador deve definir somente as principais decisões sobre o tratamento de dados, chamadas de elementos essenciais para o cumprimento da finalidade do tratamento. Um desses elementos essenciais é a definição da finalidade do tratamento dos dados, incluindo os objetivos e base legal do tratamento.

O Guia destaca algumas atribuições do operador: "(i) seguir as instruções do controlador; (ii) firmar contratos que estabeleçam, dentre outros assuntos, o regime de atividades e responsabilidades com o controlador; (iii) dar ciência ao controlador em caso de contratação de suboperador."

Aqui cabe um destaque em relação ao estabelecimento de relação contratual entre o controlador e o operador. A ANPD recomenda como boa prática que seja feito um contrato entre o controlador e o operador, limitando expressamente a atuação do operador às diretrizes do controlador, definindo objeto, duração, natureza e finalidade do tratamento de dados, tipos de dados envolvidos, obrigações das partes e fixando parâmetros objetivos em relação às responsabilidades de cada parte,

O operador, em caso de pessoa jurídica, é a organização em si. Os seus funcionários são apenas seus subordinados ou representantes. Assim, "empregados, administradores, sócios, servidores e outras pessoas naturais que integram a pessoa jurídica e cujos atos expressam a atuação desta não devem ser considerados operadores". O operador será sempre uma pessoa distinta do controlador,

Em relação ao papel de operador, o Guia traz o conceito de suboperador, que é "aquele contratado pelo operador para auxiliá-lo a realizar o tratamento de dados pessoais em nome do controlador". Embora a relação direta do suboperador seja com o operador - o que deve ser formalizado em ajuste próprio -, é importante que o controlador dê sua autorização formal e até contratual, uma vez que este é quem tem o poder de decisão sobre o tratamento de dados. O suboperador, assim como o operador, também tem responsabilidades e deve responder por elas perante a ANPD.

Outro conceito trazido pelo Guia refere-se à possibilidade de o cenário envolver mais de um controlador, que tomarão decisões em conjunto, especialmente quanto à finalidade do tratamento de um mesmo conjunto de dados. Neste caso, os controladores envolvidos responderão de forma solidária perante a ANPD, de acordo com a LGPD, art. 42, §1º, II. Com base na regulamentação europeia - General Data Protection Regulament (GDPR) - a ANPD definiu que a controladoria conjunta como "a determinação conjunta, comum ou convergente, por dois ou mais controladores, das finalidades e dos elementos essenciais para a realização do tratamento de dados pessoais, por meio de acordo que estabeleça as respectivas responsabilidades quanto ao cumprimento da LGPD".

3. Considerações Finais

Uma das funções da ANPD é a orientação e regulamentação de pontos indefinidos da LGPD, que podem dar margem a interpretações conflituosas. Com o Guia Orientativo recém-publicado, a Autoridade brasileira avança nessa direção, iniciando por esclarecer um ponto que têm sido alvo de calorosos debates na sociedade civil. Contudo, a responsabilidade pela proteção de dados pessoais não se resume aos atores conceituados na LGPD - controlador, operador e encarregado. O fato de o funcionário ou servidor não serem enquadrados como agentes de tratamento não os isenta da responsabilidade de zelar pela proteção dos dados pessoais com os quais eles trabalham. O mais importante é que todos criem uma cultura de proteção de dados, aprimorando um olhar clínico para identificar os limites de sua atuação dentro de suas atribuições e de acordo com as diretrizes do controlador. Todos devem ter em mente os princípios da LGPD, especialmente a finalidade, adequação e necessidade. E tudo isso, guiado pelo princípio universal da boa-fé.

_________________

1 Clique aqui

3 Art. 6.º No âmbito do Ministério Público do Estado do Rio Grande do Sul, os operadores de dados pessoais são os membros, servidores e estagiários da Instituição.

5 Art. 5º No Tribunal, o Controlador e os Operadores são respectivamente o Presidente do Tribunal, assessorado pelo Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais - CGSI, e os servidores e colaboradores que exerçam atividade de tratamento de dados pessoais na instituição ou terceiros, em contratos e instrumentos congêneres firmados com o Tribunal.

6 Art. 7º No Tribunal, os operadores são organizados em níveis:
I - Nível 1: os operadores do nível 1 são os supervisores e seus subordinados;
II - Nível 2: os operadores do nível 2 são os subsecretários, os coordenadores e os titulares dos núcleos permanentes;
III - Nível 3: os operadores do nível 3 são os componentes da Administração Executiva, os secretários, os magistrados, os assessores de gabinete e os diretores de secretaria responsáveis pela gestão finalística.

Fabio Correa Xavier

Fabio Correa Xavier

Diretor do Departamento de Tecnologia da Informação do Tribunal de Contas do Estado de São Paulo. Mestre em Ciência da Computação (USP). MBA em Gestão Estratégica de Negócios (IBMEC). Pós-graduado em Gestão Pública e Responsabilidade Fiscal e em Projetos de Redes.

AUTORES MIGALHAS

Busque pelo nome ou parte do nome do autor para encontrar publicações no Portal Migalhas.

Busca