Enfim, a ANPD dá o primeiro passo

Embora constituída formalmente em meados de 2020, a Autoridade Nacional de Proteção de Dados (ANPD), enfim, deu o primeiro passo concreto no sentido de solucionar as principais dúvidas dos entes públicos e privados quanto à aplicação da Lei Geral de Proteção de Dados (LGPD - lei 13.709/18), por meio da publicação do "Guia orientativo para definições dos agentes de tratamento de dados pessoais e do encarregado"¹.

Embora, logo em seu introito, tenha deixado clara a natureza "não-vinculante" do documento, mostra o compromisso da instituição com a função pedagógica que pretende exercer nesse seu início de vida, promovendo o debate acerca dos pontos polêmicos da LGPD, bem como estimulando novas contribuições da sociedade por meio de canal de comunicação apropriado².

Trata-se, a nosso ver, de verdadeira expressão concreta do conceito de "administração dialógica", vez que reconhece o importante papel daqueles que terão atingidas suas esferas de direitos na construção da melhor solução estatal para a questão.

Além disso, por meio da leitura do documento, observa-se que a ANPD está atenta ao que a doutrina especializada vem apresentando sobre o assunto, vez que incorpora, claramente, entendimentos já abordados pelas maiores autoridades em proteção de dados do país.

Nesse sentido, importa salientar que o referido guia trouxe resposta para alguns importantes questionamentos surgidos desde a publicação da LGPD, especialmente no que tange à definição dos agentes de tratamento de dados e do encarregado, englobando, inclusive, novos conceitos não previstos expressamente na letra da lei, mas que podem ser extraídos de sua interpretação.

O primeiro ponto - e um dos mais importantes, a nosso ver - consiste na delimitação do conceito de agentes de tratamento de dados, retirando de seu espectro "os indivíduos subordinados, tais como os funcionários, os servidores públicos ou as equipes de trabalho de uma organização, já que atuam sob o poder diretivo do agente de tratamento".

Nesse contexto, as pessoas naturais que atuem sob subordinação do controlador ou operador não estão compreendidas, como regra, no conceito de agente de tratamento de dados e, portanto, embora devam respeitar as normas de privacidade dispostas na legislação ou políticas internas, não estão compreendidas na cadeia de responsabilidade prevista nos artigos 42 e seguintes da LGPD.

Outro importante ponto abordado pelo guia consiste no reconhecimento da figura da "controladoria conjunta" que, embora não prevista expressamente na legislação, pode ocorrer em determinadas atividades que envolverem o compartilhamento das decisões relativas ao tratamento de dados entre pessoas distintas.

Segundo o documento, para existir a figura da controladoria conjunta é necessária a observância, cumulativa, de três critérios, quais sejam: 1. Mais de um controlador possui poder de decisão sobre o tratamento de dados; 2. Há interesse mútuo de dois ou mais controladores, com base em finalidades próprias, sobre um mesmo tratamento; e 3. Dois ou mais controladores tomam decisões comuns ou convergentes sobre as finalidades e elementos essenciais do tratamento.

O reconhecimento da figura do controle conjunto é imprescindível não só nas atividades de tratamento de dados realizadas no âmbito privado, mas também no caso da Administração estatal, tendo em vista a execução de políticas públicas de forma sincronizada entre as diversas esferas de governo, bem como no âmbito da própria pessoa jurídica, situação na qual a independência e autonomia dos Poderes ou órgãos devem ser respeitadas, embora vinculados a um mesmo ente personalizado.

Nesse ponto, vale ressaltar que a ANPD também abordou a questão da desconcentração administrativa e sua relação com a LGPD, diferenciando o controlador - que será, necessariamente, a pessoa jurídica de direito público - dos órgãos públicos que exercem "funções típicas de controlador". Assim, no caso da Administração Pública Direta, o controlador será sempre a pessoa jurídica de direito público da respectiva esfera de poder (União, Estados, Municípios ou Distrito Federal), a quem caberá a responsabilidade pela reparação de danos, ao passo que os órgãos públicos³, os quais não possuem personalidade jurídica própria, exercerão "funções típicas de controlador", cabendo a estes as atribuições previstas na LGPD, inclusive a de nomear encarregado.

Por fim, também foi objeto de análise a figura do suboperador, o qual, embora igualmente não conte com previsão expressa na LGPD, pode ser encontrado em determinadas atividades, especialmente envolvendo cadeias complexas de agentes de tratamento e operações múltiplas com dados pessoais.

Segundo o guia orientativo da ANPD, o suboperador é, portanto, alguém "contratado pelo operador para auxiliá-lo a realizar o tratamento de dados pessoais em nome do controlador. A relação direta do suboperador é com o operador e não com controlador". Trata-se, em outras palavras, de uma subcontratação por parte do operador para realizar, integral ou parcialmente, operações de tratamento de dados confiadas pelo controlador.

É o que ocorre, por exemplo, com os serviços de armazenamento de dados em nuvem, em que o operador, buscando maior segurança e eficiência na prestação de serviços, terceiriza a atividade de custódia desses dados virtuais com empresas de reconhecida capacidade técnica, a qual será suboperadora em relação à atividade de tratamento, sendo a responsabilidade desta equiparada à do operador, nos termos do que prevê o art. 42, §1º, I, da LGPD.

Portanto, testemunhamos um importante passo dado pela ANPD no sentido de construir, junto à sociedade, a interpretação oficial dos principais temas relativos à legislação de proteção de dados brasileira, esperando que esse diálogo seja mantido e ampliado, de forma a garantir a efetividade da LGPD e a criação de uma cultura de privacidade no âmbito do nosso país.